Verantwortlicher im Sinne der DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Sofern Mitglieder oder Angehörige der Universität Oldenburg personenbezogene Daten erheben, bleibt es damit grundsätzlich bei der Verantwortlichkeit des Präsidiums der Carl von Ossietzky Universität Oldenburg.

Allerdings ist die Einhaltung der datenschutzrechtlichen Bestimmungen auch Verpflichtung und Verantwortung aller Mitglieder und Angehörigen der Universität (siehe Datenschutz-Leitlinie).

Daher hat jede Person, Stelle oder Institution der Universität Oldenburg, die personenbezogene Daten verarbeitet, in eigener Verantwortung die Aufgaben und Pflichten zur Einhaltung der DSGVO, also insbesondere der Dokumentationspflichten zu erfüllen und auch im Rahmen der Rechenschaftspflicht nachzuweisen.

Da es jedoch offiziell (nach außen hin) bei der Verantwortlichkeit der Carl von Ossietzky Universität Oldenburg bleibt, die auch in etwaigen Datenschutz-, Einwilligungserklärungen etc. angegeben werden muss, sprechen wir intern von sog. "Prozess- oder Facheignern". Das sind regelmäßig die projektleitenden Personen.

Das bedeutet, Leiterinnen und Leiter der jeweiligen Organisationseinheit oder des Projekts, für das personenbezogene Daten erhoben werden, müssen insbesondere ein Verzeichnis von Verarbeitungstätigkeiten (Muster) erstellen, ggf. ein Datenschutzkonzept aufstellen und entsprechende Datenschutz- oder Einwilligungserklärungen entwerfen, sofern personenbezogene Daten verarbeitet werden.

Die DSGVO kennt die so genannte "gemeinsame Verantwortlichkeit" für den Fall, dass zwei oder mehrere Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Das ist insbesondere dann der Fall, wenn zwei oder mehrere Personen, Einrichtungen, Behörde oder andere Stellen mit einer oder einem anderen gemeinsamen Daten verarbeiten wollen und hierfür über die Zwecke und Mittel der Verarbeitung entscheiden.

Eine sehr wichtige Rechtsprechung des EuGHs zum Thema der gemeinsamen Verantwortlichkeit versteckt sich in seinem Urteil vom 05.06.2018 hinter dem Aktenzeichen C-210/16. Hier hat der EuGH geurteilt, dass Betreiber von Facebook "Fanpages" und Facebook Ireland gemeinsame Verantwortliche sind. Sollten Sie in der Verantwortung der Universität eine "Fanpage" auf Facebook betreiben (wollen), wenden Sie sich bitte an die Stabsstelle.

Pflichten gemeinsamer Verantwortlicher

Sofern eine gemeinsame Verantwortlichkeit vorliegt, muss nach Art. 26 Abs. 1 DSGVO eine Vereinbarung geschlossen werden, die "in transparenter Form [festlegt], wer von ihnen [den Verantwortlichen] welche Verpflichtung gemäß dieser Verordnung [der DSGVO] erfüllt, insbesondere was die Wahrnehmung der Rechte der Betroffenen angeht, und wer welchen Informationspflichten gemäß Art. 13 und 14 nachkommt [...]"