Verantwortlicher - juristische oder natürliche Person ausschlaggebend?

Im Gesetz steht:

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

Was hat denn dabei den Vorrang - die natürliche oder die juristische Person? Muss z. B. eine AV-Vereinbarung mit dem Unternehmen abgeschlossen werden, bei dem die handelnden Mitarbeiter angestellt sind, oder kann das auch abweichen?

In einer Unternehmensgruppe hat man öfter mal den Fall, dass eine Abteilung zu Firma A gehört und die andere Abteilung zu Firma B. Besonders spannend wird es, wenn die Mitarbeiter, die über die Zwecke und Mittel der Verarbeitung bestimmen, zu mehreren Unternehmen gehören.

Da es kein Konzernprivileg gibt, kann man sich bei AV-Vereinbarungen ja nicht darauf rausreden, dass da ein anderer Unternehmensname oben drin steht.

Es kommt immer drauf an. :wink:

Vorrang hat dabei nix. Alles ist gleichberechtigt je nachdem, was zutrifft. Es gibt aber einige Besonderheiten:

  • Eine Unternehmensgruppe (also die Konzernmutter für ihre Töchter) kann selbst nicht Verantwortlicher sein. Jede Tochtergesellschaft ist jeweils verantwortlich. Ein Konzernprivileg gibt es nicht, wie du selbst weißt. Sollten mal mehrere Unternehmen gleichberechtigt Daten verarbeiten, fallen sie ggf. unter Art. 26 DSGVO.
  • Natürliche Personen sind nur Verantwortliche, wenn sie über Zweck und Mittel der Verarbeitung entscheiden. Mitarbeiter tun dies nicht. Ausnahme: der sog. Mitarbeiterexzess.
  • Im öffentlichen Bereich ist nicht die juristische Person (“der Staat”) verantwortlich, sondern die jeweils zuständige Behörde.
  • “Einrichtung oder andere Stelle” dienen einfach als Auffangtatbestand: Jeder, der irgendwie Träger von Rechten sein kann, kann auch Adressat des Datenschutzrechts sein.
2 „Gefällt mir“

Man kann auch mal über das Thema “konzerninterne Arbeitnehmerüberlassung” nachdenken.

Es gibt dazu zwar auch die Ansicht, dass bei ANÜ ein DS-Vertrag zur “gemeinsamen Verantwortung” nötig ist (finde ich nimmer … zB. DS-Aufsicht BaWü?), aber das wird vermutlich selten gemacht, eine verbindliche Entscheidung dazu kenne ich jedoch nicht.

PS: was nix daran ändert, das die natürliche Person nicht zum Verantwortlichen wird (Nebenjob als Freelancer ignoriere ich mal, das wird nicht gemeint sein)

1 „Gefällt mir“

Nochmal ganz konkret:

In der IT-Abteilung arbeitet die Hälfte der Mitarbeiter bei Firma A und die andere Hälfte bei Firma B. Welche Firma schreibe ich oben als Auftraggeber in die AV-Vereinbarung?

  1. Wenn Firma A Firma B beauftragt hat, dann kommt A als Auftraggeber in den AV-Vertrag.

  2. Wenn Firma B Firma A beauftragt hat, dann kommt B als Auftraggeber in den Vertrag

  3. Wenn Firma C Firma A und B beauftragt hat, dann kommt Firma C als Auftraggeber in den Vertrag.

Nur weil beide in der IT arbeiten sagt dies nich dazu aus wer wen beauftragt hat - Sind A und B beides Dienstleistungsfirmen (Fall 3) oder ist eine davon dein Unternehmen (Fall 1 oder 2)

Du stellst die Frage falsch: Wessen IT-Abteilung ist das - A oder B?

1 „Gefällt mir“

Die IT-Abteilung gehört zur gesamten Firmengruppe. Dort arbeiten Mitarbeiter aus Tochterfirma A und Tochterfirma B. Es ist nirgends definiert, “wem” die gehört. Das ist ja das Problem.

Intern kann es gemeinsame Verantwortung sein. Dann hätten die beteiligten Unternehmen das vertraglich zu fixieren (Art. 26).

Die Übermitlung (bzw. der Zugriff) untereinander kann auf berechtigte Interessen am gemeinsamen Betrieb gestützt werden (Erwägungsgrund 48).

Nach außen hin (als Auftragsverabeiter externer Stellen) wäre es handlicher, wenn nur “einer den Hut auf” hätte. Z. B. A, der B dann nochmals per interner Auftragsverarbeitung als Subunternehmer für… z. B. Kapazitätserweiterung der IT-Dienste dazunimmt.

Theoretisch wäre es evtl. möglich, dass A (oder B) allein zuständig ist und die Mitarbeiter des anderen Unternehmens einzeln zur Verschwiegenheit verpflichtet, und Weisungen von A (bzw. B) umzusetzen.

Für die Verantwortlichen (und vor allem für die Betroffenen) käme es auf dasselbe raus, nämlich dass keine Ansprüche /Pflichten /Garantien verlorengehen.

D., der nicht ganz uneigennützig um Meinungen bittet.

Vor allem habe ich die Befürchtung, dass - aus welchem Anlass auch immer -mal genauer hingeschaut wird, und es dann heißt: “Sie haben ja gar keine AV-Vereinbarung mit ihren Partnern.” und “Nein, nein, eine Vereinbarung durch ein anderes Konzernunternehmen gilt natürlich nicht. Bußgeld!”

Die IT-Abteilung gehört zur gesamten Firmengruppe.

Das kann kaum sein. Mein Eindruck ist, dass Du es als DSB (?) schlicht nicht weißt - und es auch Aufgabe der Firma/Firmen ist, das festzulegen. Und an die DSB zu kommunizieren.

Es ist übrigens (formal) auch nicht die Aufgabe des DSB, den Vertrag zu schreiben.

Ich kenne das auch, dass Abteilungen oft eigene GmbHs sind und nach einer Umstrukturierung die AV-Vereinbarungen auf einmal alle formal falsch sind, weil die Mitarbeiter jetzt woanders sind. Ich würde das unter “Restrisiko” verbuchen - letztendlich ist die Unternehmensleitung selbst schuld, wenn Sie GmbH-Würfelei machen.

Im konkreten Fall hier dürfte das scheitern: wenn bereits die Aufbauorganisation ungeklärt ist, wie sollen dann Abläufe festgelegt werden?

Meine schlichte Meinung:

Einerseits gibt es für gemeinsame Verantwortung zunächst weniger formale Vorgaben (bis auf Zuständigkeiten, über die müsste man ebenfalls bei einer AV nachdenken) und formal weniger Schutz.

Andererseits … nun es fängt damit an, die Betroffenen über den Vertrag zu unterrichten, was bei Beschäftigten niemand ernsthaft machen wird. Und im (Arbeits-) Streit kann die gemeinsame Verantwortung und Haftung vermutlich ärgerlich werden - ein Betroffener muss seine Rechtsansprüche ja nicht an der Vereinbarung der Firmen ausrichten. Bei kommunikationspflichtigen Sicherheits- und Datenschutzvorfällen könnte man schnell in Situationen kommen, in denen sich Regelungen nicht als tragfähig erweisen (und in Art 26 nicht gefordert werden - es muss jeder melden).

In unserem kleinen “Konzern” wird die Lösung intern bisher nur für die Personalbeschaffung genutzt.

Ich würde mich aus dieser Richtung nähern: Eine Datenverarbeitung benötigt zunächst einen Zweck und eine Legitimation. Diese Entscheidung(en) trifft nicht die IT-Abteilung, deren Aufgabe in der technischen Umsetzung einer Verarbeitung liegt. Meine erste Frage wäre die übliche: Welche Daten werden aus welchem Grund auf Basis welcher Rechtsgrundlage von wem wofür verarbeitet? Das führt zwangsläufig zu einer datenschutzrechtlichen Verantwortlichkeit. Danach würde ich mich der Frage widmen, mit welchen Mitteln diese Verarbeitung stattfindet oder stattfinden könnte (hier erst käme die IT ins Spiel). Danach würde ich mich möglichen Beteiligten an der Verarbeitung zuwenden und schauen, wer welchen Part mitträgt, beisteuert, selbständig verarbeitet und/oder… Dann kann ich entscheiden, ob eine gemeinsame Verantwortung oder eine Auftragsverarbeitung vorliegt, welche Rechtsgrundlagen was tragen usw. Aber ja, der Organisationsaufbau sollte für Abläufe bekannt sein.