Der Verantwortliche gemäss Art. 4 Ziff. 7 der Datenschutz-Grundverordnung (DSGVO) ist derjenige, der die Verarbeitung von personenbezogenen Daten veranlasst, durchführt oder in Auftrag gibt. Entsprechend treffen den Verantwortlichen auch die datenschutzrechtlichen Pflichten aus DSGVO und liechtensteinischem Datenschutzgesetz (DSG). So hat er mittels geeigneter Massnahmen für die Einhaltung aller einschlägigen Bestimmungen bei seinen Datenverarbeitungen zu sorgen und ist dafür rechenschaftspflichtig bzw. verantwortlich (Art. 5 Abs. 2 und Art. 24 DSGVO).1

Im Verhältnis zu anderen Akteuren ist der Verantwortliche sowohl primäre Anlaufstelle von betroffenen Personen bei der Ausübung ihrer Rechte (z.B. Auskunftsgesuche) als auch Adressat von Massnahmen und Sanktionen der Aufsichtsbehörden. Aus Sicht der Aufsichtsbehörden ist es bei der datenschutzrechtlichen Beurteilung eines bestimmten Sachverhaltes deshalb zentral, immer zunächst den Verantwortlichen für die Datenverarbeitung (und damit für die Einhaltung des Datenschutzes und der damit einhergehenden Pflichten) zu bestimmen.

Die Rolle des Verantwortlichen definiert sich über drei Merkmale:

  1. Für eine Datenverarbeitung verantwortlich kann sowohl eine natürliche als auch eine juristische Person, Behörde, Einrichtung oder jede andere Stelle sein. Ist ein Mitarbeiter oder eine (unselbständige) Abteilung einer juristischen Person für eine bestimmte Datenverarbeitung zuständig, so bleibt in der Regel trotzdem die ganze Einheit, also die juristische Person selbst und nicht der Mitarbeiter oder die Abteilung, verantwortlich für die Einhaltung der datenschutzrechtlichen Pflichten.
     
  2. Der Verantwortliche entscheidet über die Zwecke und die wesentlichen Mittel der Verarbeitung der personenbezogenen Daten. Unter die Mittel fallen dabei auch Entscheidungen darüber, welche Daten verarbeitet werden, an wen sie übermittelt werden oder wann sie wieder gelöscht werden. Das bedeutet, der Verantwortliche verfügt immer über die tatsächliche Entscheidungsmacht in Bezug auf die Datenverarbeitung, selbst wenn er diese gar nicht selbst vornimmt, oder wenn die Verarbeitung nicht einmal rechtmässig ist.
     
  3. Der Verantwortliche kann die Entscheidungen über die Datenverarbeitung und ihre Zwecke und wesentlichen Mittel alleine oder auch gemeinsam mit anderen Akteuren treffen (siehe zur gemeinsamen Verantwortung weiter unten).
1Wesentlich für die Definition des Verantwortlichen sind auch die Ausführungen der Art.-29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, die zur Zeit vom Europäischen Datenschutzausschuss überarbeitet wird.
  • Abgrenzung zum Auftragsverarbeiter

    Ein Verantwortlicher kann einen Auftragsverarbeiter mit einer bestimmten Datenverarbeitung nach seinen Vorgaben (Zwecke und wesentliche Mittel) beauftragen. Dazu ist von den beiden gemäss Art. 28 DSGVO ein Auftragsverarbeitungsvertrag abzuschliessen, der die Datenverarbeitung selbst sowie die jeweiligen datenschutzrechtlichen Pflichten genau festlegt.

    Die Abgrenzung der beiden Rollen ist in der Praxis jedoch nicht immer einfach. Genaue Ausführungen zur Abgrenzung des Auftragsverarbeiters vom Verantwortlichen finden Sie hier.

  • Sonderfall: Gemeinsam Verantwortliche

    In besonderen Situationen kann es sein, dass es gleichzeitig zwei (oder mehrere) Verantwortliche für ein und dieselbe Datenverarbeitung gibt. In solch einem Fall arbeiten diese dazu bewusst zusammen und entscheiden gemeinsam über die Zwecke und wesentlichen Mittel der Datenverarbeitung. Dabei muss die jeweilige Verantwortlichkeit aber nicht unbedingt gleichwertig oder in gleichem Ausmass sein, oder in denselben Phasen der Datenverarbeitung stattfinden. Eine gemeinsame Verantwortung ist daher oft schwierig und immer nur im Einzelfall zu bestimmen.

    Gemäss Art. 26 DSGVO vorgeschrieben ist in solch einem Fall eine genaue Vereinbarung zwischen den beiden Verantwortlichen, in der sie (am besten schriftlich) detailliert und in transparenter Weise festlegen, wie ihre jeweiligen tatsächlichen Funktionen und Beziehungen in der gemeinsamen Datenverarbeitung aussehen, wer mit Blick auf die Informationspflichten und Betroffenenrechte welche Pflichten aus der DSGVO übernimmt, wo allenfalls eine gemeinsame Anlaufstelle für betroffene Personen eingerichtet wird und wie Haftungsfragen zwischen ihnen zu regeln sind. Nur wenn nach Unionsrecht oder dem Recht des betreffenden Mitgliedstaates bereits diesbezügliche Rechtsvorschriften bestehen, kann entsprechend ihres Regelungsgehalts auf eine Vereinbarung verzichtet werden.

    Die wesentlichen Elemente der Vereinbarung müssen sodann den betroffenen Personen zur Verfügung gestellt werden (z.B. in der Datenschutzerklärung). Nichtsdestotrotz kann eine betroffene Person immer bei und gegenüber sämtlichen Verantwortlichen all ihre Rechte geltend machen. Alle Verantwortlichen haften ausserdem gegenüber betroffenen Personen jeweils vollumfänglich für durch die Datenverarbeitung eventuell entstandene Schäden, wobei sie nachträglich gegenüber den anderen Verantwortlichen in Bezug auf die jeweilige Verantwortlichkeit Regress nehmen können. Und alle Verantwortlichen sind gegenüber der Aufsichtsbehörde verantwortlich für die Rechtmässigkeit ihrer gemeinsamen Datenverarbeitung, jedoch jeweils nur entsprechend ihres Teils der Verantwortung dafür.

    Beispiele für eine gemeinsame Verantwortlichkeit:

     

    • ​​​​​​Gezielte Zusammenarbeit

    Wenn zwei Firmen gemeinsam einen Wettbewerb veranstalten, im Rahmen dessen Name und Adresse von den Teilnehmern erhoben werden zur anschliessenden Zustellung der Preise, so sind die beiden Firmen gemeinsam Verantwortliche für die Verarbeitung der personenbezogenen Daten (Name und Adresse), weil sie gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden.

     

    • Social Plug-in

    Wenn ein Webseitenbetreiber zur Verbesserung seines Marketings einen Facebook-„Gefällt Mir”-Button auf seiner Webseite einbindet, so ermöglicht er damit je nach Konfiguration Facebook, quasi als Gegenleistung, im Hintergrund direkt personenbezogene Daten des Browsers der Webseiten-Besucher zu erheben. Im Rahmen dieser Datenerhebung und Weiterleitung an Facebook gelten sowohl der Webseitenbetreiber als auch Facebook als gemeinsam Verantwortliche, auch wenn der Webseitenbetreiber gar keinen Zugriff auf die erhobenen Daten hat. Für die nachfolgende Speicherung und Auswertung der Daten bei Facebook ist dann wiederum nur Facebook verantwortlich. (EuGH-Urteil vom 29.07.2019, C-40/17)

     

    • Facebook-Fanpage

    Nutzt ein Unternehmen eine Facebook-Fanpage für seinen Social-Media-Auftritt, so stellt Facebook dem Unternehmen nebst der Plattform auch eine Reihe von Auswertungsmöglichkeiten von Nutzerdaten zur Verfügung. Da das Unternehmen über bestimmte Einstellungen mitentscheiden kann, welche Auswertungen erstellt und an es übermittelt werden, erkennt der Europäische Gerichtshof auch hierbei wieder eine gemeinsame Verantwortung zwischen dem Unternehmen und Facebook, obwohl das Unternehmen selbst gar keinen Zugriff auf die eigentlichen Daten hat und die Erhebung und Auswertung der personenbezogenen Daten nur bei Facebook stattfindet. (EuGH-Urteil vom 05.06.2018, C-210/16)

    Beispiele für keine gemeinsame Verantwortlichkeit:

     

    • Reisebüro

    Wenn ein Unternehmen personenbezogene Daten von Mitarbeitenden zur Buchung einer Geschäftsreise an ein Reisebüro weiterleitet, so handelt es sich dabei nur um eine Weiterleitung von Daten von einem Verantwortlichen (Unternehmen) an einen anderen Verantwortlichen (Reisebüro), aber nicht um eine gemeinsame Verantwortlichkeit. Das Reisebüro entscheidet selbst, welche Daten es vom Unternehmen zur Buchung der Reise benötigt und verarbeitet diese nach eigenen Massgaben. Es findet zu keinem Zeitpunkt eine gemeinsame Entscheidung über die Zwecke und wesentlichen Mittel der Datenverarbeitung statt, sondern jeder Akteur entscheidet dies für sich alleine. Es besteht einzig ein Vertrag zwischen den beiden für eine bestimmte Dienstleistung, nämlich die Buchung einer Geschäftsreise.

     

    • Druckerei

    Wenn ein Verein eine Mitgliederzeitung von einer Druckerei herstellen und versenden lässt und der Druckerei dazu nicht nur die zu druckenden Inhalte, sondern auch die Adressen der Vereinsmitglieder für den Versand der Zeitung übermittelt, so handelt es sich dabei um eine Weiterleitung von Daten von einem Verantwortlichen (Verein) an einen Auftragsdatenverarbeiter (Druckerei). Der Verein allein hat über den Zweck und die wesentlichen Mittel der Datenverarbeitung entschieden, wohingegen die Druckerei diese nur gemäss dem klaren Auftrag und den Weisungen des Vereins ausführt. Der Druckerei kommt allenfalls bei der näheren Ausgestaltung der technischen und organisatorischen Mittel ein geringer Entscheidungsspielraum zu (z.B. welche Druckmaschine zum Einsatz kommt), doch handelt es sich hierbei nicht um die wesentlichen Aspekte der Mittel.

    Sollten Sie Fragen im Zusammenhang mit der gemeinsamen Verantwortlichkeit haben, wenden Sie sich bitte an die Datenschutzstelle.