Gemeinsam Verantwortliche
Sie führen ein Unternehmen, egal, ob allein oder mit hunderten von Mitarbeitern. Dann haben Sie gelernt, dass Sie „Verantwortlicher“ für den Datenschutz im Unternehmen sind.
Spätestens von Ihrem Datenschutzberater haben Sie auch gelernt, dass immer dann, wenn personenbezogene Daten an einen Dritten zur Verarbeitung gegeben werden, eine sogenannte Auftragsverarbeitung stattfindet. Der verantwortliche Dritte ist Ihr Auftragsverarbeiter. Mit diesem müssen Sie einen Auftragsverarbeitungsvertrag abschließen.
Die DSGVO kennt noch eine weitere Möglichkeit der „gemeinsamen“ Verarbeitung. Denn während bei der Auftragsverarbeitung eine gewisse Hierarchie zwischen den Partnern existiert, nennt Art. 26 DSGVO gemeinsam Verantwortliche. International als „Joint Controllership“ bekannt, war diese Art der Verantwortung in Deutschland zu Zeiten des alten BDSG weitgehend unbekannt. Gemeinsame Verantwortlichkeit liegt vor, wenn die Verantwortlichen gemeinsam die Zwecke der Verarbeitung und deren Mittel festlegen. Die gemeinsam Verantwortlichen legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 nachkommt.
Da das deutsche Vertragsrecht grundsätzlich davon ausgeht, dass Verträge, wie auch der Auftragsverarbeitungsvertrag, von beiden Partnern „gemeinsam“ verhandelt und abgeschlossen wird, fällt die Abgrenzung tatsächlich schwer. Denn auch im Auftragsverarbeitungsvertrag werden gemeinsam der Zweck und die Mittel festgelegt. Ist ein Auftragsverarbeitungsvertrag eine Vereinbarung nach Art. 26 DSGVO? Diese Frage ist noch nicht abschließend geklärt. Nach dem Wortlaut in Art. 26 DSGVO fällt auch ein Auftragsverarbeitungsvertrag darunter. Doch warum sollte es dann eine Differenzierung geben?
Der Europäische Gerichtshof hat in einer vielbeachteten Entscheidung über facebook geurteilt, dass neben dem Portal der jeweilige Seitenbetreiber von Facebook-Fan-Pages gemeinsam Verantwortlicher mit dem U.S.-Unternehmen ist. (Urteil vom 05.06.2018 – C 210/16). Das Gericht sieht beide Verantwortliche als gleichberechtigt an. Dies ist ein Kriterium für die Unterscheidung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit. Wenn beide auf die Verarbeitung Einfluss nehmen können, liegt gemeinsame Verantwortlichkeit vor. Gibt es zwischen beiden Verantwortlichen aber ein Abhängigkeitsverhältnis, ist eher von Auftragsverarbeitung auszugehen. Man könnte auch an dem Interesse beider unterscheiden. Geht es einem Verantwortlichen bei der Verarbeitung nur um eine Dienstleistung und hat er kein eigenes Interesse an den Daten, ist Auftragsverarbeitung anzunehmen. Anders ist es, wenn beide Verantwortlichen die Daten quasi teilen und beide eigene Zwecke mit der Datenverarbeitung verfolgen.
Beispiele gemeinsamer Verantwortlichkeit sind Verarbeitungen im selben Konzern, die Verarbeitung bei Personalvermittlern, gemeinsame Forschung oder Verarbeitungen zu Analyse bzw. Werbezwecken.
Liegt eine gemeinsame Verantwortlichkeit vor, sollten beide Verantwortliche vertraglich regeln, wer intern die Pflichten der DSGVO zu erfüllen hat. Es würde beispielsweise ausreichen, wenn ein gemeinsames Verarbeitungsverzeichnis geführt wird. Es muss klar sein, wer eine Datenschutzfolgeabschätzung durchführen muss und wer für die Datensicherheit Verantwortung trägt.
Haben Sie weitere Fragen zu diesem Thema, dann zögern Sie nicht und nehmen Kontakt zu uns auf.