Wer ist „Verantwortlicher“ im datenschutzrechtlichen Sinne?
Verantwortlicher ist nach dem Gesetz „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
Ausschlaggebend ist also, welche Einzelperson oder welches mit mehreren Personen besetzte Kollegialorgan die konkrete Entscheidung über den Umgang mit den personenbezogenen Daten trifft. Das kann die (oberste) Leitung sein, bei einem Verein also je nachdem der Vereinsvorstand in seiner Gesamtheit oder der Vereinsvorsitzende, aber auch die für bestimmte Bereiche zuständige Person bzw. Personenmehrheit. Entscheidend ist, wem vereinsintern in der Praxis die Letztverantwortlichkeit zukommt.
Die Verantwortlichkeit ist also unterschiedlich je nachdem, ob personenbezogene Daten auf Bundesebene, auf Diözesanebene oder auf Ortsebene verarbeitet werden. Sie kann darüber hinaus innerhalb einer Ebene je nach Aufgabenteilung differieren. So kann z. B. innerhalb einer Ortsgruppe der/die Hauptverantwortliche für eine Ferienfreizeit „Verantwortliche/-r“ sein. Denkbar ist auch, dass eine verbandliche Ortsgruppe im Auftrag der Kirchengemeinde tätig ist. In einem solchen Fall könnte(n) Verantwortliche/r im datenschutzrechtlichen Sinne auch der Pfarrer der Kirchengemeinde und/oder deren Kirchenvorstand sein.
Im Rahmen der nichtverbandlichen Jugendarbeit innerhalb einer Kirchengemeinde ist grundsätzlich der Pfarrer und/oder der Kirchenvorstand „Verantwortliche/-r“. Überträgt er jedoch die Ministrant/-innenarbeit eigenverantwortlich einer anderen Person, die dann eigenständig über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, so ist diese„Verantwortliche/-r“ im Sinne des KDG.