a) Zwischen rechtlichen Einheiten: Zuweisung des Status als Verantwortlicher
224
Nach der hier vertretenen Ansicht ermöglicht die DSGVO, dass datenverarbeitende Stellen den Status als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO in Bezug auf bestimmte Verarbeitungsverfahren ganz oder teilweise an eine andere Stelle übertragen können.
225
Dies kann insbesondere bei Datenverarbeitungsvorgängen relevant sein, die übergreifend über mehrere Niederlassungen einer Unternehmensgruppe hinweg durchgeführt werden. Zu den Niederlassungen können dabei sowohl bloße Zweigstellen des Verantwortlichen als auch (rechtlich unabhängige) Tochtergesellschaften zählen (vgl. ErwG 22). Von dem gleichen Verständnis des Niederlassungsbegriffs geht letztlich auch der EuGH aus.460 Sowohl ErwG 22 als auch die Aussagen des EuGH beziehen sich zwar jeweils auf den Kontext der Anwendbarkeit europäischen Datenschutzrechts. Nicht ersichtlich ist jedoch, dass dem Begriff der Niederlassung im vorliegenden Zusammenhang ein anderes Verständnis innewohnt.461
aa) Grundregel: Verantwortung innerhalb des eigenen Einflussbereichs
226
Grundsätzlich gilt, dass auch im Falle einer niederlassungsübergreifenden Datenverarbeitung jede Niederlassung für die Einhaltung der Datenschutzbestimmungen in ihrem jeweiligen Einflussbereich (getrennt) verantwortlich ist. Vor diesem Hintergrund trägt jede Niederlassung grundsätzlich die datenschutzrechtliche Verantwortung in dem Umfang bzw. bis zu dem Punkt, in dem sie über den Zweck und die Mittel einer niederlassungsübergreifenden Datenverarbeitung entscheidet bzw. entscheiden kann.462 Rechtlich nicht selbstständige Niederlassungen werden jedoch in aller Regel nicht über die nötigen Einrichtungen oder Organe verfügen, um derartige Entscheidung autark bzw. unabhängig von der jeweils kontrollierenden Stelle zu treffen. Demgemäß wird Letztere grundsätzlich bereits initial die Datenverarbeitung im Rahmen einer solchen Niederlassung steuern und daher auch die datenschutzrechtliche Verantwortung tragen. Im Einzelfall kann es hier jedoch auch Abweichungen geben.
bb) Zuweisung des Status als Verantwortlicher an eine andere Stelle
227
Nach der hier vertretenen Ansicht ermöglicht die DSGVO eine Zuweisung der Entscheidungsbefugnis über Zwecke und Mittel eines bestimmten Datenverarbeitungsvorgangs auch dann, wenn der Datenverarbeitungsvorgang bei einer anderen Stelle durchgeführt wird. So kann eine Stelle als Verantwortlicher für einen Datenverarbeitungsvorgang fungieren, auch wenn der Verarbeitungsvorgang bei einer anderen Stelle stattfindet, sofern erstere Stelle die Zwecke und (wesentlichen) Mittel des Datenverarbeitungsvorgangs umfassend und abschließend festlegt.
228
Dieses Verständnis lässt sich insoweit aus dem Konzept der „Hauptniederlassung“ nach Art. 4 Nr. 16 lit. a DSGVO ableiten, das gedanklich voraussetzt, dass Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einer Niederlassung eines Verantwortlichen getroffen werden und diese Niederlassung befugt ist, diese Entscheidungen in einer anderen Niederlassung umsetzen zu lassen. Die entscheidungsbefugte Niederlassung gilt in solchen Fällen als Hauptniederlassung i.S.v. Art. 4 Nr. 16 lit. a DSGVO.463 In diesem Zusammenhang präzisiert ErwG 36 weiter, dass diejenige Niederlassung als Hauptniederlassung anzusehen sei, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden. Überdies sei nicht ausschlaggebend, ob diese Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird.
229
Vor dem Hintergrund, dass die Hauptniederlassung nach der Entscheidungsbefugnis hinsichtlich Zwecke und Mittel eines Datenverarbeitungsvorgangs bestimmt wird, ist davon auszugehen, dass diese Niederlassung in aller Regel auch als Verantwortlicher für diesen konkreten Verarbeitungsvorgang zu klassifizieren sein wird.464 Insofern spricht auch Art. 56 Abs. 1 DSGVO bei der Bestimmung der für eine Hauptniederlassung zuständigen federführenden Aufsichtsbehörde von diesem Verantwortlichen und impliziert damit, dass ein und derselbe Verantwortliche mehrere (auch rechtlich selbstständige) Niederlassungen umfassen kann. Hieraus folgt, dass zum einen ein mit einer Unternehmensgruppe verbundenes Unternehmen als Verantwortlicher für eine Datenverarbeitung fungieren kann, die bei einem anderen Unternehmen der Unternehmensgruppe angesiedelt ist, sowie, dass es zum anderen grundsätzlich möglich ist, die Verantwortlichkeit für bestimmte Datenverarbeitungsvorgänge einem anderen Unternehmen der gleichen Unternehmensgruppe zuzuordnen. Hierbei muss die Kompetenz zur Bestimmung der Zwecke und der Mittel der jeweiligen Datenverarbeitung diesem Unternehmen zugewiesen werden (z.B. durch Zuweisung im Rahmen einer Unternehmenssatzung). Die Delegation muss jedoch tatsächlich umgesetzt werden und die Gegebenheiten in der Praxis widerspiegeln; eine lediglich „auf dem Papier“ existierende Zuweisung genügt daher nicht.465 Nicht ersichtlich ist, warum dies nicht grundsätzlich auch außerhalb von Unternehmensgruppen möglich sein sollte.
230
Die Zuordnung dieser Befugnisse an eine bestimmte Stelle hat zur Folge, dass die jeweilige Stelle zum Verantwortlichen wird und somit für die Einhaltung der Datenschutzbestimmungen und die Erfüllung der vorstehenden Verpflichtungen des Verantwortlichen aus dem Verarbeitungsvorgang einstehen muss. Umgekehrt folgt daraus auch, dass die Stelle, bei welcher der Datenverarbeitungsvorgang tatsächlich stattfindet (ohne die Befugnis, die Zwecke und Mittel zu beeinflussen), kein Verantwortlicher ist und damit auch nicht die Verantwortung für die Verarbeitung trägt.466 In der Praxis sind hierbei freilich graduelle Abstufungen bei der Verantwortlichkeit möglich. Insofern kann es durchaus sein, dass die beteiligten Stellen durch die Delegation als gemeinsam Verantwortliche anzusehen sein können oder die Verantwortlichkeit für gewisse Abschnitte eines Datenverarbeitungsverfahrens bei der abtretenden Stelle verbleiben.467 Dies bestimmt sich danach, ob und wenn ja, wie weit eine Entscheidungsbefugnis im Hinblick auf Zwecke und Mittel der jeweiligen Datenverarbeitung bei der „kontrollierten“ Stelle verbleibt.
231
Auch wertungsmäßig muss eine solche Betrachtung keinen Widerspruch darstellen: Insofern macht es für den Schutz der Betroffenen keinen Unterschied, ob ihre Daten durch eine rechtlich unselbstständige Zweigstelle (deren Datenverarbeitung in der Regel originär der jeweils verantwortlichen Hauptniederlassung zugeordnet wird) oder eine rechtlich selbstständige Niederlassung (die ihre datenschutzrechtliche Verantwortung auf die Hauptniederlassung delegiert hat) verarbeitet werden, sofern die Zwecke und Mittel der Datenverarbeitung durch eine andere Stelle (etwa eine Muttergesellschaft) vorgegeben werden. Entscheidend sollte vielmehr sein, dass die Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Bestimmung klar (etwa an eine Muttergesellschaft) und für die Betroffenen transparent zugewiesen ist, und der jeweilige Verantwortliche auch in der Lage ist, seine Pflichten als Verantwortlicher (insbesondere gegenüber den Betroffenen) umfassend zu erfüllen. Sofern dabei keine Schutzlücken zu befürchten sind, besteht insoweit kein Bedarf für einen „zusätzlichen“ Verantwortlichen.
232
Für den Fall, dass die abtretende Stelle mangels hinreichender Entscheidungsbefugnis keine Stellung als Verantwortlicher trifft, ist fraglich, welche Funktion sie in der datenschutzrechtlichen Nomenklatur einnimmt. Für eine Stellung als Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO spricht, dass sie personenbezogene Daten auf Weisung einer anderen Stelle verarbeitet, für welche Letztere Verantwortlicher im datenschutzrechtlichen Sinne ist. Im Unterschied zur gewöhnlichen Auftragsverarbeitungssituation besteht jedoch der Unterschied, dass die „kontrollierte“ Stelle keine „fremden“ Daten im Auftrag des Verantwortlichen, sondern vielmehr eigene Geschäftsprozesse betreffende Daten nach Maßgabe des Verantwortlichen verarbeitet. Demgemäß besteht nicht die eine Auftragsverarbeitung charakterisierende Risikolage, dass personenbezogene Daten an eine andere Stelle übermittelt werden, um dort für den jeweils Verantwortlichen von einem Außenstehenden (dem Auftragsverarbeiter) verarbeitet zu