Die Funk­ti­on als Ver­ant­wort­li­cher, gemein­sam Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter ist für Unter­neh­men vor allem in Haf­tungs­si­tua­tio­nen rund um den Daten­schutz von zen­tra­ler Bedeu­tung. Pri­mär steht zwar der Ver­ant­wort­li­che in der Haf­tung, doch auch die ande­ren Akteu­re unter­lie­gen stren­gen Vor­schrif­ten, die bei Ver­stoß zu hohen Buß­gel­dern füh­ren kön­nen. Unter­neh­men soll­ten daher sorg­fäl­tig prü­fen, in wel­chem Umfang sie für was Ver­ant­wor­tung tragen.

Der fol­gen­de Bei­trag gibt zunächst eine kur­ze Defi­ni­ti­on der jewei­li­gen Rol­len, bevor auf deren Haf­tungs­um­fang ein­ge­gan­gen wird.

Unab­hän­gig von der Aus­ge­stal­tung der gemein­sa­men Ver­ant­wor­tung, gilt in Haf­tungs­fäl­le immer Art. 82 Abs. 4 DSG-VO, wel­cher eine gesamt­schuld­ne­ri­sche Haf­tung nor­miert. – Marei­ke Jockers

Ver­ant­wort­li­cher
Art. 4 Nr. 7 DSGVO defi­niert den Ver­ant­wort­li­chen als „natür­li­che oder juris­ti­sche Per­son […] oder ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det“. Das bedeu­tet, Ver­ant­wort­li­cher ist, wer Ein­fluss auf die Ent­schei­dung über das WARUM (Zwe­cke) und das WIE (Mit­tel) der Daten­ver­ar­bei­tung nimmt. Die­se Rol­le kann sowohl eine Ein­zel­per­son als auch ein Unter­neh­men ein­neh­men. Der Ver­ant­wort­li­che ist für die Erfül­lung sei­ner Pflich­ten aus der DSGVO ver­ant­wort­lich und haf­tet bei Ver­stö­ßen vollumfänglich.

Wird inner­halb eines Unter­neh­mens ein Mit­ar­bei­ten­der mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten betraut, wird nicht etwa die­ser Mit­ar­bei­ten­de zum Ver­ant­wort­li­chen. Der Mit­ar­bei­ten­de han­delt viel­mehr im Namen des Unter­neh­mens, wel­ches ver­tre­ten durch sei­ne Geschäfts­füh­rer als Ver­ant­wort­li­cher agiert und bei Ver­stö­ßen gegen Vor­schrif­ten der DSGVO in Haf­tung genom­men wer­den kann.
Der Mit­ar­bei­ten­de wird jedoch dann selbst zum Ver­ant­wort­li­chen, wenn er sei­ne erteil­ten Befug­nis­se bezüg­lich der Daten­ver­ar­bei­tung über­schrei­tet und die per­so­nen­be­zo­ge­nen Daten für eige­ne Zwe­cke ver­ar­bei­tet. In die­sem Fall tref­fen den Mit­ar­bei­ten­den alle von der DSGVO vor­ge­schrie­be­nen Pflich­ten eines Ver­ant­wort­li­chen und folg­lich auch die Haf­tung bei Pflichtverletzungen.
Nun kann es jedoch sein, dass nicht nur eine (natür­li­che oder juris­ti­sche) Per­son die Zwe­cke und Mit­tel der Verarbei-tung bestimmt, son­dern meh­re­re Per­so­nen dar­an betei­ligt sind. In die­sem Fall spricht man von gemein­sam Verantwortlichen.

Gemein­sam Verantwortliche
Gemäß Art. 26 Abs. 1 DSGVO han­delt es sich um gemein­sam Ver­ant­wort­li­che, wenn zwei oder mehr Ver­ant­wort­li­che gemein­sam die Zwe­cke der und die Mit­tel zur Ver­ar­bei­tung fest­le­gen. Dabei kann die Aus­ge­stal­tung der Mit­wir­kung bei der Zweck- und Mit­tel­fest­le­gung in Form einer gemein­sa­men Ent­schei­dung oder als kon­ver­gie­ren­de Ent­schei­dung erfolgen.

Bei einer gemein­sa­men Ent­schei­dung wer­den, wie der Name schon ver­mu­ten lässt, gemein­sa­me Ent­schei­dun­gen unter einer gemein­sa­men Absicht getrof­fen. Bei kon­ver­gie­ren­den Ent­schei­dun­gen ergän­zen sich die ein­zel­nen Ent­schei­dun­gen der­art, dass eine Ver­ar­bei­tung ohne Betei­li­gung der ande­ren Par­tei in dem gewünsch­ten Sin­ne nicht mög­lich ist. Oder anders aus­ge­drückt: die Ver­ar­bei­tungs­vor­gän­ge bei­der Par­tei­en sind untrenn­bar mit­ein­an­der verbunden.

Unab­hän­gig von der Aus­ge­stal­tung der gemein­sa­men Ver­ant­wor­tung, gilt in Haf­tungs­fäl­len immer Art. 82 Abs. 4 DSGVO, wel­cher eine gesamt­schuld­ne­ri­sche Haf­tung nor­miert. Das bedeu­tet, die betrof­fe­ne Per­son kann im Fal­le eines erlit­te­nen Scha­dens einen Scha­dens­er­satz­an­spruch gegen­über allen betei­lig­ten Ver­ant­wort­li­chen gel­tend machen. Ein gemein­sam Ver­ant­wort­li­cher kann sich einer Haf­tung im Außen­ver­hält­nis somit nicht ent­zie­hen. Für die Haf­tung im Innen­ver­hält­nis zwi­schen den gemein­sam Ver­ant­wort­li­chen ist es dar­um umso wich­ti­ger, in einem recht­lich bin­den­den Doku­ment unmiss­ver­ständ­lich fest­zu­le­gen, wer inner­halb der Daten­ver­ar­bei­tung wel­che Auf­ga­be zu erfül­len hat und wer wel­chen Pflich­ten unter­liegt. Die­ses Doku­ment gibt in Haf­tungs­si­tua­tio­nen Sicherheit.

Auf­trags­ver­ar­bei­ter
Eine Auf­trags­ver­ar­bei­tung liegt nach Art. 4 Nr. 8 DSGVO dann vor, wenn eine natür­li­che oder juris­ti­sche Per­son […] oder ande­re Stel­le per­so­nen­be­zo­ge­ne Daten im Auf­trag des Ver­ant­wort­li­chen ver­ar­bei­tet. Das heißt, der Auf­trags­ver­ar­bei­ter führt die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Namen des Ver­ant­wort­li­chen durch. Über die Zwe­cke und wesent­li­chen Mit­tel der Ver­ar­bei­tung bestimmt somit der Verantwortliche.

Die Unter­schei­dung zur gemein­sa­men Ver­ant­wor­tung liegt dem­nach in der Fest­le­gung der Zwe­cke und Mit­tel: Wäh­rend bei der gemein­sa­men Ver­ant­wor­tung die gemein­sa­me Fest­le­gung der Zwe­cke und Mit­tel das aus­schlag­ge­ben­de Ele­ment dar­stellt, darf der Auf­trags­ver­ar­bei­ter per­so­nen­be­zo­ge­ne Daten gera­de nicht für eige­ne Zwe­cke nut­zen, son­dern ist bei der Ver­ar­bei­tung an die Wei­sun­gen des Ver­ant­wort­li­chen gebunden.

In Bezug auf die Fest­le­gung der Mit­tel kann der Ver­ant­wort­li­che dem Auf­trags­ver­ar­bei­ter aller­dings einen Ent­schei­dungs­spiel­raum für die tech­ni­sch­or­ga­ni­sa­to­ri­sche Umset­zung, also für nicht wesent­li­che Mit­tel, über­tra­gen. Bei­spiels­wei­se kann der Auf­trags­ver­ar­bei­ter, soll­te nichts Ande­res im Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) fest­ge­legt wor­den sein, über die ein­ge­setz­te Soft- und Hard­ware sowie über kon­kre­te Sicher­heits­maß­nah­men entscheiden.

Gem. Art. 82 Abs. 1 DSGVO haf­ten der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter gesamt­schuld­ne­risch gegen­über betrof­fe­nen Per­so­nen. Die betrof­fe­ne Per­son kann also sowohl gegen­über dem Ver­ant­wort­li­chen als auch gegen­über dem Auf­trags­ver­ar­bei­ter Scha­dens­er­satz ver­lan­gen. Im Innen­ver­hält­nis gilt jedoch, dass der Ver­ant­wort­li­che die Gesamt­ver­ant­wor­tung für die Daten­ver­ar­bei­tung behält, wenn er sich eines Auf­trags­ver­ar­bei­ters bedient. Er kann sich der Ver­ant­wor­tung für die Erfül­lung sei­ner sich aus der DSGVO erge­ben­den Pflich­ten also nicht durch den Ein­satz von Auf­trags­ver­ar­bei­tern ent­zie­hen. Der Auf­trags­ver­ar­bei­ter selbst haf­tet im Innen­ver­hält­nis nur bei Ver­stoß gegen Ver­pflich­tun­gen, die sich für ihn aus der DSGVO erge­ben, und wenn er sich nicht an recht­mä­ßi­ge Anwei­sun­gen des Ver­ant­wort­li­chen hält.

Nutzt er die per­so­nen­be­zo­ge­nen Daten für eige­ne Zwe­cke, gilt der Auf­trags­ver­ar­bei­ter als Ver­ant­wort­li­cher gem. Art. 4 Nr. 7 DSGVO. Dies hat zur Fol­ge, dass er, wie auch der Mit­ar­bei­ten­de, wel­cher sei­ne Befug­nis­se bezüg­lich der Daten­ver­ar­bei­tung über­schrei­tet, in Haf­tung genom­men wer­den kann, soll­te er die Pflich­ten eines Ver­ant­wort­li­chen nicht erfüllen.

Nicht unüb­lich ist es, dass sich der Auf­trags­ver­ar­bei­ter zur Erfül­lung der Wei­sun­gen des Ver­ant­wort­li­chen Unter­auf­trags­ver­ar­bei­tern bedient. Dafür ist eine vor­he­ri­ge schrift­li­che oder elek­tro­ni­sche Geneh­mi­gung des Ver­ant­wort­li­chen ein­zu­ho­len und dem Sub­un­ter­neh­mer sind die­sel­ben Daten­schutz­pflich­ten auf­zu­er­le­gen, die auch für den Auf­trags­ver­ar­bei­ter gel­ten. Bei der Aus­wahl der Unter­auf­trag­neh­mer ist sowohl vom Ver­ant­wort­li­chen als auch vom Auf­trags­ver­ar­bei­ter Vor­sicht gebo­ten. Denn der Ver­ant­wort­li­che bleibt wei­ter­hin in der Gesamt­ver­ant­wor­tung und der Auf­trags­ver­ar­bei­ter haf­tet gegen­über dem Ver­ant­wort­li­chen, soll­te der Unter­auf­trags­ver­ar­bei­ter sei­nen Daten­schutz­pflich­ten nicht nachkommen.

Fazit
Es kann fest­ge­hal­ten wer­den, dass sich die Stel­lung als unab­hän­gi­ge Ver­ant­wort­li­che, gemein­sam Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter nicht immer ein­fach unter­schei­den lässt, aber bei der Haf­tung im Außen­ver­hält­nis eine nur gerin­ge Rol­le spielt. Im Fal­le eines Scha­dens kann die betrof­fe­ne Per­son bei jedem, der an der unrecht­mä­ßi­gen Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten betei­ligt ist, Scha­dens­er­satz verlangen.

Im Innen­ver­hält­nis sieht die Sache anders aus. Ins­be­son­de­re bei gemein­sam Ver­ant­wort­li­chen dient ein recht­lich bin­den­des Doku­ment dazu, in Haf­tungs­si­tua­tio­nen Klar­heit zu geben. Die kla­re Auf­ga­ben­ver­tei­lung und deren schrift­li­che Fixie­rung geben nicht nur Sicher­heit bezüg­lich der Ver­ant­wor­tungs­be­rei­che, son­dern ver­hin­dern auch Buß­gel­der gem. Art. 83 Abs. 4 lit. a DSGVO. Als Auf­trags­ver­ar­bei­ter soll­te man sich sei­nen Pflich­ten bewusst­wer­den und die ein­ge­setz­ten Sub­un­ter­neh­mer sorg­fäl­tig aus­wäh­len, um nicht in die Haf­tung zu gera­ten. Die sorg­fäl­ti­ge Aus­wahl von Auf-tragsverarbeitern soll­te vor allem vom Ver­ant­wort­li­chen unter kei­nen Umstän­den ver­nach­läs­sigt wer­den, denn die­ser unter­liegt stets der Gesamt­ver­ant­wor­tung für die ord­nungs­ge­mä­ße Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Mareike Jockers

Werkstudentin im Datenschutz