Die Verantwortung für den Datenschutz nach DSGVO

Sind die Verantwortlichkeiten geklärt?

Zu einem funktionierenden Datenschutzkonzept gehört es natürlich, die Verantwortung für den Datenschutz festzulegen, auch schon deshalb, weil alle Verantwortlichen bei der Entwicklung und Pflege des Datenschutzkonzeptes einbezogen werden müssen. Andernfalls können sie ihrer Verantwortung nicht gerecht werden.

Die DSGVO sagt zu den Pflichten eines Verantwortlichen: Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

Gibt es gemeinsam Verantwortliche?

Auf den ersten Blick ist die Verantwortung für den Datenschutz schnell geklärt, immerhin gibt es in der DSGVO den Begriff „Verantwortlicher“: Dies ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auf den zweiten Blick fällt „Gemeinsam mit anderen” auf, es gibt also Fälle, in denen nicht nur der eine Entscheider über die Datenverarbeitung, also die Geschäftsführerin oder der Geschäftsführer, verantwortlich ist.

Je nach Verfahren zur Verarbeitung personenbezogener Daten kann es auch „gemeinsam Verantwortliche” geben: Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.

Das Datenschutzkonzept muss für diese Fälle eine Vereinbarung in transparenter Form vorsehen, wer von den Verantwortlichen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nachkommt.

Ein Beispiel für eine gemeinsame Verantwortung, das so manche Unternehmen überrascht hat: Der Europäische Gerichtshof (EuGH) bestätigte die gemeinsame Verantwortung von Facebook und Fanpage-Betreibern. Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Findet Auftragsverarbeitung statt?

Einen besonderen Fall bilden Verfahren, die eine Auftragsverarbeitung darstellen. Ein Auftragsverarbeiter ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Der Auftraggeber bleibt dann Verantwortlicher im Sinne des Datenschutzes.

Allerdings hat auch ein Auftragsverarbeiter eine Verantwortung, denn er muss seine Vertragspflichten im Hinblick auf den Datenschutz erfüllen. Nutzt ein Auftragsverarbeiter zum Beispiel die Daten seines Auftraggebers zu anderen Zwecken als den vertraglich vereinbarten, wird er selbst verantwortlich. Laut DSGVO gilt: Ein Auftragsverarbeiter, der unter Verstoß gegen die DSGVO die Zwecke und Mittel der Verarbeitung bestimmt, ist in Bezug auf diese Verarbeitung ein Verantwortlicher.

Damit alle Verfahren und auch die Verfahren mit Auftragsverarbeitung berücksichtigt und die Klärung der Verantwortlichkeiten jeweils sichergestellt ist, gehört zu einem Datenschutzkonzept nach DSGVO zwingend das sogenannte Verzeichnis von Verarbeitungstätigkeiten.

Die DSGVO fordert: Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
• die Zwecke der Verarbeitung
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie die Dokumentierung geeigneter Garantien
• wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Sind alle Rollen besetzt?

Die geforderten Inhalte des Verzeichnisses von Verarbeitungstätigkeiten sehen auch die Nennung des oder der Datenschutzbeauftragten (DSB) vor, sofern eine oder ein DSB zu benennen ist. Datenschutzbeauftragte sind nicht etwa die eigentlich Verantwortlichen für den Datenschutz. Die DSGVO fordert nur, dass der oder die DSB bei der Erfüllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung trägt, wobei sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Ob ein DSB benannt werden muss oder nicht, regelt in Deutschland das neue Bundesdatenschutzgesetz (BDSG). Das Datenschutzkonzept muss also auch vorsehen, dass die Benennungspflicht geprüft werden muss. Doch auch wenn kein DSB benannt werden muss, bleiben alle Aufgaben und Verantwortlichkeiten nach DSGVO bestehen.

Es kann sinnvoll sein, die Rolle eines DSB freiwillig zu besetzen, auch ohne Pflicht zur Benennung. Eine Aufsichtsbehörde für den Datenschutz hat hierzu erklärt: „Die DSGVO stellt übrigens klar, dass die freiwillige Benennung von Datenschutzbeauftragten immer möglich ist. Wenn eine Einrichtung einen DSB auf freiwilliger Basis ernennt, so unterliegen dessen Benennung, Stellung und Aufgabenbereich den Anforderungen wie bei einer obligatorischen Benennung.“

Die Aufsichtsbehörde erklärt weiter: Einer Einrichtung, die zur Benennung eines DSB nicht gesetzlich verpflichtet ist und die nicht gewillt ist, einen solchen auf freiwilliger Basis zu benennen, steht es frei, Mitarbeiter oder externe Berater/Beraterinnen mit Aufgaben zu betrauen, die mit dem Schutz personenbezogener Daten in Zusammenhang stehen. In einem solchen Fall gilt es, jegliche Unklarheit hinsichtlich ihrer Funktionsbezeichnung, ihres Status, ihrer Stellung und ihres Aufgabenfelds zu vermeiden.

Es zeigt sich: Die Klärung von Verantwortlichkeiten und Rollen im Datenschutz ist durchaus eine anspruchsvollere Aufgabe, als man denken könnte. Ohne diese Klärung kann es aber kein funktionierendes Datenschutzkonzept geben.