Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Verantwortlicher und Auftragsverarbeiter
Keine Datenverarbeitung ohne wenigstens einen Verantwortlichen – so steht es in der Datenschutz-Grundverordnung (DSGVO). Diese unterscheidet zwei Datenverarbeiter: den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Was aber sind Verantwortliche und Auftragsverarbeiter?
Wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, ist Verantwortlicher. Wenn zwei oder mehr Verarbeiter die Entscheidung jeweils für sich herbeiführen, sind sie je eigenständig Verantwortliche. Treffen zwei oder mehr die Entscheidung gemeinsam, sind sie nach Art. 4 Nr. 7 DSGVO gemeinsam Verantwortliche bzw. Joint Controller. Ein Auftragsverarbeiter dagegen entscheidet nicht über Zweck und Mittel. Er erledigt, was der Verantwortliche ihm als Auftraggeber vorgibt und verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (Art. 4 Nr. 8 DSGVO).
Somit sind vier Kombinationen von Datenverarbeitern möglich:
- Der Datenverarbeiter entscheidet allein über Zweck (Warum?) und Mittel (Wie?): Verantwortlicher (Art. 4 Nr. 7 DSGVO)
- Datenverarbeiter übermittelt an Datenverarbeiter. Jeder entscheidet für sich allein über Zweck und Mittel: zwei eigenständig und getrennt Verantwortliche (Art. 4 Nr. 7 DSGVO)
- Datenverarbeiter und Datenverarbeiter wirken zusammen. Beide entscheiden gemeinsam über Zweck und Mittel einer Datenverarbeitung: gemeinsam Verantwortliche/Joint Controller (Art. 4 Nr. 7 DSGVO)
- Datenv…