Wer ist Verantwortlicher gem. Art. 4 Nr.7 DSGVO?

Eine zentrale Figur des Datenschutzrechtes ist die des Verantwortlichen – der sogenannte Herr der Daten. Der Verantwortliche ist meist das Unternehmen, das personenbezogene Daten erhebt, um diese dann zu verarbeiten. Die Verantwortung umfasst dabei gemäß Art. 5 Abs. 1 DSGVO etwa die Rechtmäßigkeit und Sicherheit der Verarbeitung.

Rechtsgrundlage und rechtliche Verantwortungen

Gemäß Art. 4 Abs. 7 DSGVO ist der Verantwortliche jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet.

Beispiele hierfür sind etwa Arbeitgeber, die über einen Personalbogen personenbezogene Daten der neuen Beschäftigten erheben, Instagram, wenn sich ein Nutzer registriert, oder Amazon, wenn eine Bestellung aufgegeben wird.

In all diesen Fällen entscheiden die jeweiligen Stellen selbst über die Verarbeitung der personenbezogenen Daten und tragen dafür die rechtliche Verantwortung. Hierzu zählen insbesondere die Grundsätze der Verarbeitung gemäß Art. 5 Abs. 1 DSGVO:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Daten dürfen nur auf rechtmäßiger Basis verarbeitet werden und die Verarbeitung muss für die betroffene Person nachvollziehbar sein.
2. Zweckbindung – Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.
3. Datenminimierung – Es dürfen nur solche Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
4. Richtigkeit – Personenbezogene Daten müssen sachlich, richtig und erforderlichenfalls auf dem neuesten Stand sein.
5. Speicherbegrenzung – Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
6. Integrität und Vertraulichkeit – Die Daten müssen durch geeignete technische und organisatorische Maßnahmen gegen unbefugte Verarbeitung, Verlust oder Zerstörung geschützt sein.
7. Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) – Die verantwortliche Stelle muss jederzeit nachweisen können, dass die vorgenannten Grundsätze eingehalten werden.

Gemeinsame Verantwortlichkeit

In manchen Konstellationen gibt es sogar mehr als nur eine verantwortliche Stelle. In solchen Fällen ist es besonders wichtig, klar zu regeln, wer für welche Aufgaben zuständig ist. Diese Absprachen müssen transparent und dokumentiert sein, damit Betroffene und Behörden nachvollziehen können, welche Partei welche Pflichten übernimmt.

Rechtlich geregelt wird die gemeinsame Verantwortlichkeit in Art. 26 DSGVO: Unterschiedliche Parteien nehmen unterschiedlichen Pflichten wahr. Infolgedessen sind sie nur für einen bestimmten Teil der Aufgaben verantwortlich. Es muss festgehalten sein, wie die Rechte der Betroffenen umgesetzt sind, wer welche Informationspflichten aus Art. 13 und 14 DSGVO wahrnimmt und wie die Verantwortlichen untereinander zusammenarbeiten.

Verantwortlicher DSGVO: Die zentrale Figur

Der Verantwortliche ist also nicht nur ein Begriff des juristischen Fachjargons der DSGVO. Er oder sie ist die zentrale Figur, wenn es um Datenschutz geht. Wer hier die Verantwortung hat, trägt Sorge dafür, dass personenbezogene Daten sicher verarbeitet und die Rechte der Betroffenen respektiert werden.