Datenschutz: Der Europäische Gerichtshof (EuGH) weist darauf hin, dass der Begriff „für die Verarbeitung Verantwortlicher“ mehrere an dieser Verarbeitung beteiligte Akteure betreffen könne, wobei dann jeder von ihnen den EU-Vorschriften über den Schutz personenbezogener Daten unterliege. Diese Akteure könnten in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Verarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen sei.

Laut EuGH könne zudem aus keiner Bestimmung des EU-Rechts geschlossen werden, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen von dem für die Verarbeitung Verantwortlichen erfolgen müsse. Hingegen könne eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung der personenbezogenen Daten Einfluss nehme und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung beteiligt sei, als für die Verarbeitung Verantwortlicher angesehen werden. Im Übrigen setze die gemeinsame Verantwortlichkeit mehrerer Akteure nicht voraus, dass jeder von ihnen Zugang zu den personenbezogenen Daten habe.

Diese – anhand der Hausbesuche von Zeugen Jehovas getroffene – Entscheidung bedeutet für (Zahn-)Arztpraxen und andere Unternehmen, dass nicht nur der „Chef“ der Verantwortliche für die Datenverarbeitung ist, sondern auch jeder Mitarbeiter dazu gehören kann. Um in datenschutzrechtlicher Hinsicht das Haftungsrisiko für Fehler der Mitarbeiter bei der Datenverarbeitung zu reduzieren, empfehlen sich regelmäßige betriebsinterne Datenschutzschulungen. Gerne können Sie mich diesbezüglich ansprechen.

 

Autorin:
Maria-Stephanie Dönnebrink
Fachanwältin für Medizinrecht
Frankfurt am Main

Quelle: Europäischer Gerichtshof, Urteil vom 10.07.2018, Az: C-25/17

EuGH: Weite Auslegung der Verantwortlichkeit für die Datenverarbeitung