Wer ist denn nun verantwortlich?

Ich bin etwas überrascht, wie die meisten Kommentatoren mit einem Selbstverständnis dazu übergehen, den jetzigen Begriff der „verantwortlichen Stelle“ auf den „Verantwortlichen“ zu übertragen. Das ist aber meines Erachtens zu kurz gedacht. Auch wenn die Datenschutz-Richtlinie 95/46/EG, die zu der Formulierung im jetzigen BDSG geführt hat, denselben Inhalt hat wie jetzt Art. 4 (7) DSGVO, sollte man sich die Zeit nehmen, den Wortlaut genau zu analysieren.

Hier der englische Wortlaut, Art. 4 (7) DSGVO: „‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law;“

§ 3 (7) BDSG besagt, eine „verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt…“

Es geht bei Art. 4 (7) DSGVO aber nicht um die Datenverarbeitung an sich, sondern um die Entscheidung über die Mittel und Zwecke der Datenverarbeitung. Für ein Einzelunternehmen ist das einfach zu beantworten. Es verwendet die Daten und entscheidet dabei auch über die Mittel und Zwecke. Aber wer entscheidet über die Zwecke und Mittel im Konzern? Das einzelne Unternehmen oder der Entscheider im Konzern wie z.B. die Holding? Und ist das „und“ alternativ oder kumulativ gemeint? Reicht es, dass man nur über die Zwecke oder die Mittel entscheidet, oder muss man Entscheider über Beides sein? Meines Erachtens bleibt auch bei Konzernvorgaben -also der faktischen Entscheidungsgewalt beim Konzern- die jeweilige Geschäftsführung der Entscheider vor Ort. In einem solchen Fall legen damit zwei Verantwortliche die Zwecke und Mittel der Verarbeitung fest; dazu passt dann auch Art. 26 der DSGVO („Joint controller“), der Regeln für gemeinsame für die Verarbeitung Verantwortliche festlegt.

Stephanie Iraschko-Luscher

18.10.2017

MGDS – Ihre Unternehmensberatung für Datenschutz in Hamburg