unselbstständige Zweigstellen betrachtet werden, deren Datenverarbeitungstätigkeiten der jeweils „kontrollierenden“ Stelle zuzurechnen sind.468 Hierfür spricht ferner die Definition des „Dritten“ nach Art. 4 Nr. 10 DSGVO, wonach Personen (neben u.a. Auftragsverarbeitern) gerade nicht als Dritte anzusehen sind, sofern sie unter der unmittelbaren Verantwortung des Verantwortlichen befugt sind, personenbezogene Daten zu verarbeiten, da sie der Sphäre des Verantwortlichen zuzurechnen sind (was sich auch bereits aus der funktionalen Betrachtung des Verantwortlichkeitsbegriffs ergibt, vgl. oben Rn. 184ff.). Anerkannt ist, dass hierunter nicht lediglich (unmittelbare) Angestellte des Verantwortlichen zu fassen sind, sondern vielmehr auch Externe, sofern und soweit sie funktional für den Verantwortlichen tätig werden und diesem fachlich unterstellt sind;469 nicht ersichtlich ist, warum dies nicht auch entsprechend für unselbstständige Zweigstellen bzw. selbstständige, jedoch im obigen Sinne „kontrollierte“ Niederlassungen gelten sollte.470 Der Wortlaut der Definition enthält insoweit auch keine Beschränkung auf natürliche Personen; demnach könnten darunter grundsätzlich auch juristische Personen oder anderweitige Stellen gefasst werden.
cc) Übertragung bestimmter Verantwortlichen-Pflichten auf andere Stellen
233
Darüber hinaus können Verantwortliche die Ausführungen von einzelnen Datenschutzverpflichtungen auf andere Stellen übertragen. Vorausgesetzt, dass eine solche Übertragung nicht dazu führt, dass die andere Stelle in die Lage versetzt wird, Entscheidungen in Bezug auf Zweck und Mittel des jeweiligen Datenverarbeitungsvorgangs zu treffen, wird weder die abtretende Stelle frei von ihrer Stellung als Verantwortlicher (bzw. von der gesetzlichen Pflicht zur Erfüllung der abgetretenen Pflicht), noch wird die übernehmende Stelle alleinig oder gemeinsam Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO. Eine solche Übertragung kann daher im Falle von Unterstützungs- und (in begrenzten Fällen) (Infra-)Strukturaufgaben sinnvoll sein, z.B. um eine ordnungsgemäße Dokumentation sicherzustellen oder IT-Sicherheitsmaßnahmen umzusetzen.
234
Vice versa ist zu berücksichtigen, dass, sobald die beauftragte Stelle im Zuge der Erfüllung der übertragenen Aufgabe personenbezogene Daten weisungsgebunden und im Auftrag des Verantwortlichen verarbeitet, diese Stelle als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO anzusehen ist. In der Konsequenz wäre der Verantwortliche dann verpflichtet, einen Auftragsverarbeitungsvertrag in Übereinstimmung mit den Anforderungen nach Art. 28 Abs. 3 DSGVO abzuschließen.
b) Innerhalb einer rechtlichen Einheit: Aufbau einer Datenschutz-Organisation
235
Sofern es sich bei dem Verantwortlichen um keine natürliche Person handelt, trifft die (interne) Verantwortung zur Einhaltung datenschutzrechtlicher Vorgaben originär die Geschäftsleitung.471 Die Geschäftsleitung kann jedoch die Verantwortung für die einzelnen Datenverarbeitungsvorgänge auf einzelne Mitarbeiter delegieren. Je nach Größe und Tätigkeitsfeld der jeweiligen Stelle kann der Aufbau einer solchen Datenschutz-Organisation als organisatorische Datenschutzmaßnahme i.S.v. Art. 24 i.V.m. Art. 39 Abs. 1 lit. b DSGVO sogar verpflichtend sein.472 Für Unternehmen bzw. die Unternehmensleitung kann sich eine entsprechende Pflicht aus § 130 Abs. 1 (i.V.m. § 9 Abs. 1) OWiG ergeben, wonach Unternehmensinhaber bzw. die Geschäftsleitung verpflichtet sind, Aufsichtsmaßnahmen zu ergreifen, um Verstöße gegen Gesetze zu verhindern, die mit Bußgeldern geahndet werden;473 dies gilt insofern auch für Verstöße gegen die Bestimmungen der DSGVO.
236
Im Falle einer solchen Delegation sind die jeweiligen Mitarbeiter (intern) verpflichtet, die Einhaltung der ihnen übertragenen datenschutzrechtlichen Pflichten bzw. die datenschutzrechtliche Konformität der ihnen anvertrauten Datenverarbeitungsverfahren zu gewährleisten. Die Verantwortlichkeiten der einzelnen Mitarbeiter müssen hierbei jedoch klar definiert und kommuniziert werden.474 Soweit die Verantwortlichkeiten nicht eindeutig definiert sind, bleibt die Geschäftsleitung für solche Verstöße verantwortlich. Für die Art und Weise der Pflichtendelegation auf Unternehmensmitarbeiter enthält die DSGVO keine verbindlichen Vorgaben. Die Pflicht zur Einhaltung einer oder mehrerer der vorgenannten Verpflichtungen kann pro Gesellschaft, pro Geschäftseinheit, pro Geschäftsprozess oder für jeden einzelnen Datenverarbeitungsvorgang übertragen werden.
237
Jede Delegation muss in der Praxis auch umsetzbar sein. Demgemäß müssen die verantwortlichen Mitarbeiter in der Lage sein, ihren Verpflichtungen nachzukommen. Entscheidend ist hierbei insbesondere, dass die verantwortliche Person die Befugnis haben muss, die betreffenden Datenverarbeitungsaktivitäten zu ändern, d.h. die Verantwortung für die Einhaltung bestimmter datenschutzrechtlicher Vorgaben darf nicht an eine Person delegiert werden, die nicht befugt ist, (verbindliche) Weisungen zu derartigen Datenschutzvorgängen zu erteilen. Daher kann die Verantwortung für die Einhaltung geltender Datenschutzbestimmungen nicht niedriger übertragen werden als die Ebene, auf welcher die inhaltliche und operative Entscheidungsbefugnis über die Datenverarbeitung liegt. In der Regel können daher lediglich leitende Angestellte sowie Prozessverantwortliche für die materielle Rechtmäßigkeit der Datenverarbeitung verantwortlich sein, die (intern) die Entscheidung darüber treffen können, welche personenbezogenen Daten zu welchem Zweck und mit welchen Mitteln verarbeitet werden.475
IX. Auftragsverarbeiter (Nr. 8)
1. Allgemeines/Gesetzessystematischer Zusammenhang
a) Rechtlicher Hintergrund
238
Die Begriffsbestimmung des Auftragsverarbeiters nach Art. 4 Nr. 8 DSGVO ist im engen Zusammenhang mit der Definition des Verantwortlichen nach Art. 4 Nr. 7 DSGVO zu sehen. Beide Begriffe dienen in erster Linie dem Zweck, an einem Datenverarbeitungsvorgang beteiligte Akteure im Hinblick auf die Verantwortlichkeit zur Einhaltung diesbezüglich einschlägiger datenschutzrechtlicher Vorschriften voneinander abzugrenzen. Auftragsverarbeiter können so von Verantwortlichen mit der Verarbeitung personenbezogener Daten beauftragt werden, ohne hierfür (umfassende) datenschutzrechtliche Verantwortlichkeit tragen zu müssen.476 Im Hinblick auf einen bestimmten Datenverarbeitungsvorgang bzw. auf bestimmte abgrenzbare Verarbeitungsabschnitte schließen sich ein datenverarbeitendes Tätigwerden als Verantwortlicher oder Auftragsverarbeiter daher gegenseitig aus.477
b) Datenschutzrechtliche Klassifizierung der Auftragsverarbeitung
239
Auftragsverarbeiter sind Empfänger i.S.v. Art. 4 Nr. 9 DSGVO, nicht hingegen Dritte i.S.v. Art. 4 Nr. 10 DSGVO.478 Welche Konsequenzen diese Kategorisierung für die datenschutzrechtliche Klassifizierung der Weitergabe personenbezogener Daten an Auftragsverarbeiter nach sich zieht, ist umstritten. Uneinigkeit besteht insoweit darüber, ob Datenweitergaben an einen Auftragsverarbeiter generell privilegiert sind oder ob die Weitergabe der zu verarbeitenden personenbezogenen Daten an den Auftragnehmer eine datenschutzrechtlich relevante und somit zu rechtfertigende Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 2 DSGVO darstellt,479 mithin der Auftraggeber dem Auftragsverarbeiter zur Durchführung des Auftrags ungeprüft alle notwendigen personenbezogenen Daten zur Verfügung stellen darf, oder ob er vorher sicherstellen muss, dass hierfür eine Erlaubnis in Gestalt einer Einwilligung oder eines gesetzlichen Erlaubnistatbestands greift.480
240
Das Auftrags- sowie Vertragsverhältnis zwischen dem Auftraggeber und dem Auftragsverarbeiter unterliegt dabei den Anforderungen von Art. 28 DSGVO.481 Der Abschluss eines Auftragsverarbeitungsvertrags wirkt jedoch nicht konstitutiv; vielmehr erfordert die Vorlage einer Auftragsverarbeitungskonstellation482 den Abschluss eines den Anforderungen von Art. 28 DSGVO entsprechenden Vertrags.