Antwort

Der Verantwortliche entscheidet über die Zwecke und die Mittel der Verarbeitung personenbezogener Daten. Wenn Ihr Unternehmen/Ihre Organisation also entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es/sie der Verantwortliche. Mitarbeiter, die innerhalb Ihrer Organisation personenbezogene Daten verarbeiten, tun dies, um Ihre Aufgabe als Verantwortlicher wahrzunehmen.

Ihr Unternehmen/Ihre Organisation ist ein gemeinsam Verantwortlicher, wenn es/sie gemeinsam mit einer oder mehreren Organisationen festlegt, „wofür“ und „wie“ personenbezogene Daten verarbeitet werden sollen. Gemeinsam Verantwortliche gehen eine Vereinbarung ein, in der festgelegt wird, wer von ihnen welche Verpflichtungen gemäß den Vorschriften der Datenschutz-Grundverordnung erfüllt. Die wesentlichen Punkte der Vereinbarung müssen den Personen mitgeteilt werden, deren Daten verarbeitet werden.

Der Auftragsverarbeiter verarbeitet ausschließlich im Auftrag des Verantwortlichen personenbezogene Daten. Der Auftragsverarbeiter ist in der Regel ein Dritter außerhalb des Unternehmens. Bei Unternehmensgruppen kann jedoch ein Unternehmen als Auftragsverarbeiter für ein anderes fungieren.

Die Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen werden in einem Vertrag oder sonstigen Rechtsakt festgehalten. Der Vertrag muss unter anderem Angaben dazu machen, was mit den personenbezogenen Daten geschieht, sobald er ausgelaufen ist. Eine übliche Tätigkeit von Auftragsverarbeitern ist die Bereitstellung von IT-Lösungen einschließlich Speicherung in einer Cloud. Der Auftragsverarbeiter darf nur einen Teil seiner Aufgabe per Unterauftrag an einen anderen Auftragsverarbeiter vergeben oder einen gemeinsamen Auftragsverarbeiter ernennen, wenn er die vorherige schriftliche Einwilligung des Verantwortlichen erhalten hat.

In gewissen Situationen kann eine Einrichtung Verantwortlicher, Auftragsverarbeiter oder beides sein.

Beispiele

Verantwortlicher und Auftragsverarbeiter

Eine Brauerei hat viele Mitarbeiter. Sie unterzeichnet einen Vertrag mit einem Lohnabrechnungsunternehmen, damit dieses die Abrechnung der Gehälter übernimmt. Die Brauerei unterrichtet das Lohnabrechnungsunternehmen, wann die Gehälter gezahlt werden sollen, wenn ein Mitarbeiter das Unternehmen verlässt oder eine Lohnerhöhung erhält, und stellt alle weiteren Informationen zur Gehaltsabrechnung und Bezahlung zur Verfügung. Das Lohnabrechnungsunternehmen stellt das IT-System und speichert die Mitarbeiterdaten. Die Brauerei ist der Verantwortliche und das Lohnabrechnungsunternehmen der Auftragsverarbeiter.

Gemeinsam Verantwortliche

Ihr Unternehmen/Ihre Organisation bietet über eine Internetplattform Kinderbetreuungsdienste an. Gleichzeitig hat Ihr Unternehmen/Ihre Organisation einen Vertrag mit einem anderen Unternehmen, der es Ihnen ermöglicht, Zusatzleistungen anzubieten. Diese Zusatzleistungen beinhalten die Möglichkeit, dass Eltern nicht nur den Kinderbetreuer auswählen, sondern auch Spiele und DVDs ausleihen, die der Kinderbetreuer mitbringt. Beide Unternehmen sind an der technischen Einrichtung der Website beteiligt. In diesem Fall haben die beiden Unternehmen sich dazu entscheiden, die Plattform für beide Zwecke zu nutzen (Kinderbetreuungsdienste und Verleih von DVDs/Spielen), und übermitteln sehr häufig Kundennamen. Die beiden Unternehmen sind daher gemeinsam Verantwortliche, da sie nicht nur vereinbart haben, die Möglichkeit „kombinierter Dienstleistungen“ anzubieten, sondern auch am Design einer gemeinsamen Plattform arbeiten und diese nutzen.

Referenzen

  • Artikel 4 Absätze 7 und 8, Artikel 24, 26, 28 und 29 und Erwägungsgründe 74, 79 und 81 der Datenschutzgrundverordnung
  • Stellungnahme 1/2010 der Artikel-29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ (WP 169)