Wer ist Verantwortlicher im Sinne der DSGVO?

Gemäß Art. 4 Ziffer 7 DSGVO ist die jetzt noch heißende „verantwortliche Stelle“ „die natürliche
oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (im englischen: „determines“)“.
Dies entspricht auch dem Wortlaut aus der EU-Datenschutzrichtlinie, die dem jetzigen BDSG zugrunde liegt. Der Bundesgesetzgeber hat daraus gemacht (§ 3 Abs. 7 BDSG): „Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“
Das klingt nur auf den ersten Blick gleich, aber im Falle der DSGVO geht es letzlich um die Entscheidungsbefugnis, im Falle des BDSG um die konkrete Datenverwendung. Für einen Konzern könnte das bedeuten, dass nur das Headquarter „Verantwortlicher“ ist. Meines Erachtens würde aber dadurch die Verantwortung den Verantwortlichen wie selbständigen juristischen Personen entzogen; soweit kann das Datenschutzrecht nicht gehen. Es würde auch im Sinne des Datenschutzes keinen Sinn machen, da dadurch die Betroffenen nicht mehr Schutz erfahren. Meines Erachtens, eher im Gegenteil viel weniger, da eine zentrale, länderübergreifende Datenschutzumsetzung nicht ins Detail gehen kann.
Also, auch für die DSGVO gilt: Verantwortlicher ist die selbständige juristische Person (oder andere Person oder Stelle).
Stephanie Iraschko-Luscher
01.09.2017
MGDS – Ihre Unternehmensberatung für Datenschutz