BDSG a.F. Kommentare und Erläuterungen
§ 3 Weitere Begriffsbestimmungen
Absatz 7 Text
(7) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt..
Verantwortliche Stelle
Der Begriff der verantwortlichen Stelle dient als Anknüpfungspunkt für vom Gesetz festgelegte Rechte und Pflichten. Mit dem Begriff „Stelle“ verweist das Gesetz auf die Begriffsbestimmungen des § 2. Gegenstand der Verantwortlichkeit ist der Datenumgang. Die Verarbeitungsregelungen setzen voraus, dass es für jede gesetzlich geregelte Aktivität mindestens einen Verantwortlichen gibt, so dass „unverantwortete“ Aktivitäten ausgeschlossen sind. Von der Verantwortung für den Datenumgang ist die Verantwortung für die Verarbeitungsmedien zu unterscheiden. Sie fallen bei der Auftragsverarbeitung auseinander. Dies ist auch bei multifunktionalen mobilen Verarbeitungsmedien der Fall, wo mehrere, typischerweise verknüpfte Verarbeitungen (Anwendungen) sich die Hard- und Teile der Software teilen.
Knüpfen Rechte und Pflichten aus dem BDSG bei der verantwortlichen Stelle an, so bedeutet dies, dass sie tätig zu werden bzw. verbotene Handlungen (§ 4) zu unterlassen hat. Insofern lässt sie sich als Normadressat bezeichnen. Der Träger von Rechten und Pflichten im Rechtssinne – und damit der richtige Antrags- oder Klagegegner im Streitfall – ist im nicht-öffentlichen Bereich in aller Regel damit identisch. Im öffentlichen Bereich ist dies dagegen, sofern keine Sonderregelung besteht, jeweils die juristische Person des öffentlichen Rechts, der die Behörde oder öffentliche Stelle, die verantwortliche Stelle ist, angehört.
Die Eigenschaft als verantwortliche Stelle ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden. Sie bleibt nicht nur bei Auslagerung zur Auftragsverarbeitung erhalten, sondern auch beim Transport von Datenträgern durch Dritte oder nach Übergabe an die Betroffenen, wie dies bei mobilen Verarbeitungsmedien der Fall ist, die der weiteren Nutzung im Verhältnis zu der verantwortlichen Stelle dienen. Mit vollständiger Abgabe der Sachherrschaft an den Betroffenen endet sie jedoch, so etwa mit der Übergabe einer personalisierten Chipkarte mit medizinischen Daten des Betroffenen zu seiner ausschließlichen persönlichen Nutzung.
Das BDSG spricht die „verantwortliche Stelle“ stets im Singular an. Dies entspricht üblicher Gesetzesredaktion. Das Gesetz schließt aber nicht aus, dass mehrere natürliche oder juristische Personen mit personenbezogenen Daten in gemeinsamer Verantwortung umgehen. Hierfür stehen die allgemeinen Rechtsformen gemeinschaftlichen Handelns des privaten wie des öffentlichen Rechts zur Verfügung. Die rechtliche Gestaltung kann aber die datenschutzrechtliche Verantwortung nicht rechtlich einschränken; sie darf sie für die Betroffenen auch nicht intransparent machen. Keine Bedenken werden insofern in der Regel dagegen bestehen, wenn jeder von mehreren Verantwortlichen dem Betroffenen – und der Aufsichtsbehörde – gegenüber in vollem Umfang verantwortlich ist (gesamtschuldnerische Haftung).
Nach dem Wortlaut der Definition könnte auch der Betroffene selbst verantwortliche Stelle sein (z.B. jemand zeichnet laufend medizinische Messwerte zu seiner Person auf). Das BDSG ist hier aber nicht anwendbar. Die wesentliche Ergänzung des Abs. 7 im Verhältnis zu den Definitionen in § 2 besteht in der Festlegung, dass „verantwortliche Stelle“ nicht nur ist, wer „Daten für sich selbst erhebt, verarbeitet oder nutzt“, sondern auch wer „dies durch andere im Auftrag vornehmen lässt“. Entsprechend einem allgemeinen Rechts- und Organisationsgrundsatz wird dadurch klargestellt, dass die Verantwortlichkeit einer Person oder Stelle nicht davon abhängt, ob sie Daten selbst speichert (und verarbeitet) oder ob sie sich dazu eines anderen, z.B. eines Service-Rechenzentrums oder eines Datenerfassungsbüros, bedient; sie bleibt auch dann verantwortliche Stelle. Dieses Prinzip liegt auch den speziellen Regelungen des § 11 Abs. 1 für die Datenverarbeitung im Auftrag zugrunde. Indem das Gesetz die verschiedenen Aktivitäten „erhebt, verarbeitet oder nutzt“ einzeln erwähnt, macht es deutlich, dass die Verantwortung nicht notwendigerweise stets für den gesamten Datenumgang gebündelt zu beurteilen ist, sondern je nach organisatorischer Gestaltung einzeln entsprechend der von einer beteiligten Person oder Stelle ausgeführten oder sonst gesteuerten Aktivität.
So können etwa bei einer RFID-Anwendung die die RFID Tags ausgebende Stelle, die beteiligten Handelsunternehmen und weitere Dienstleister (Reparatur, Wartung, Entsorgung), aber auch Behörden (Zoll, Polizei) als verantwortliche Stellen beteiligt sein. Dies schließt nicht aus, dass die ausgebende Stelle eine übergreifende Verantwortung trägt, die zeitlich andauern kann, wenn etwa ein Kunde mit der RFID-gekennzeichneten Ware deren Geschäftslokal verlassen hat, insbesondere wenn die RFID gemäß der Geschäftsbeziehung bei späteren Kontakten genutzt werden soll, etwa zur Datenverknüpfung oder als Nachweis der Erwerbsmodalitäten. Die gesetzliche Formulierung ließe rein grammatisch eine einschränkende Auslegung in dem Sinne zu, dass verantwortliche Stelle nicht ist, wer die im Relativsatz bestimmten Voraussetzungen nicht erfüllt. Dies ist aber nicht der Fall. Die Verantwortlichkeit des Auftragsverarbeiters ist nur eingeschränkt, aber nicht aufgehoben. Es besteht daher kein Anlass, ihn aus dem Begriff der verantwortlichen Stelle auszuschließen.
Online-Kommentare
← § 3 BDSG a.F. Kommentar Absatz 6a § 3 BDSG a.F. Kommentar Absatz 8 →
← § 2 BDSG a.F. Kommentare § 3a BDSG a.F. Kommentare →
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.