Search for:

Ein neues Kurzpapier der Datenschutzkonferenz vom 19. März 2018 gibt weitere Hinweise zur Auslegung der Datenschutz-Grundverordnung (DSGVO). Worum geht es in dem Papier zum Thema „Gemeinsam für die Verarbeitung Verantwortliche“ und worauf sollten Unternehmen künftig achten, um in keine Haftungsfalle zu geraten?

Seit Juni 2017 veröffentlicht die Datenschutzkonferenz (DSK) Kurzpapiere, die helfen sollen, die Datenschutz-Grundverordnung auszulegen. Diese Kurzpapiere, welche die deutschen Datenschutzbehörden untereinander abstimmen, dienen als erste Orientierung – vorbehaltlich einer ggf. anderen Interpretation durch den Europäischen Datenschutzausschuss.

Aus deutscher Sicht: Neues Institut

Am 19. März 2018 veröffentlichte die Datenschutzkonferenz ein weiteres Kurzpapier – diesmal zum Thema „Gemeinsam für die Verarbeitung Verantwortliche“. Aus deutscher Sicht handelt es sich bei den gemeinsam für die Verarbeitung Verantwortlichen um ein neues Institut, welches das bisherige Bundesdatenschutzgesetz nicht ausdrücklich vorgesehen hat.

Ganz neu ist das Institut allerdings nicht: Die EU-Datenschutzrichtlinie hatte es bereits vorgesehen und auch die Art. 29 Datenschutzgruppe beschäftigte sich schon mit dem gemeinsam Verantwortlichen.

Wann liegt eine gemeinsame Verantwortlichkeit vor?

Art. 26 DSGVO regelt, wann eine gemeinsame Verantwortlichkeit gegeben ist: Dies ist dann der Fall, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen.

Die Datenschutzkonferenz stellt klar: Die gemeinsame Verantwortlichkeit ist insbesondere von der Auftragsverarbeitung (Art. 28 DSGVO) und von der gewöhnlichen Übermittlung personenbezogener Daten an einen Verantwortlichen abzugrenzen. Damit die Zwecke und Mittel gemeinsam festgelegt werden, müsse „jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung“ nehmen.

Das erfordere weder eine umfassende Kontrolle jedes Beteiligten bei allen Verarbeitungsphasen noch eine gleichrangige Kontrolle oder gleichrangige Verantwortlichkeit. Laut Datenschutzkonferenz müssen die verfolgten Zwecke der Beteiligten nicht vollständig deckungsgleich sein, aber gegenseitig akzeptiert werden.

Indiz und Beispiele für gemeinsame Verantwortlichkeit

Ein Indiz, ob eine gemeinsame Verantwortlichkeit vorliegt, ist die vertragliche Vereinbarung oder die Bezeichnung, welche die Beteiligten wählen – so die Auffassung der Datenschutzkonferenz. Die Datenschutzkonferenz hebt aber hervor: Für eine Qualifikation als gemeinsam Verantwortliche sind die tatsächlichen Umstände entscheidend.

Eine gemeinsame Verantwortlichkeit kann also auch vorliegen, wenn die Beteiligten das Verhältnis nicht als gemeinsame Verantwortlichkeit bezeichnen und behandeln, sondern z.B. als Auftragsverarbeitung, obwohl der Auftragnehmer die Zwecke und Mittel (mit)bestimmt.

Die Datenschutzkonferenz nennt folgende Beispiele, bei denen abhängig von der konkreten Ausgestaltung im Einzelfall eine gemeinsame Verantwortlichkeit gegeben sein kann:

  • klinische Arzneimittelstudien mit mehreren Beteiligten, die in Teilbereichen Entscheidungen über die Verarbeitung treffen
  • gemeinsame Datenverwaltung für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzerngesellschaften
  • gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte eigene Zwecke verfolgen

    Die Liste zeigt: Eine gemeinsame Verantwortlichkeit dürfte künftig häufiger vorkommen.

Welche Anforderungen bestehen an gemeinsam für die Verarbeitung Verantwortliche?

Das Kurzpapier der Datenschutzkonferenz besagt, dass Art. 26 DSGVO keine Rechtsgrundlage für die Datenverarbeitung durch gemeinsam Verantwortliche ist: Jeder Verantwortliche benötige eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen der gemeinsamen Verantwortlichkeit und eine Rechtsgrundlage für die Übermittlung personenbezogener Daten an einen gemeinsam Verantwortlichen, da dieser Empfänger sei.

Vereinbarung abschließen

Nach Art. 26 Abs. 2 Satz 2 DSGVO müssen die gemeinsam für die Verarbeitung Verantwortlichen in einer Vereinbarung transparent festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Sie müssen vor allem festlegen, wer die Rechte der betroffenen Personen wahrnimmt, und wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt.

Nach Art. 26 Abs. 2 Satz 1 DSGVO muss die Vereinbarung „die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln“.

Transparenz schaffen

Das Wesentliche der Vereinbarung ist den betroffenen Personen bereitzustellen, so Art. 26 Abs. 2 Satz 2 DSGVO. Das ist laut Datenschutzkonferenz eine Ergänzung der Informationspflichten nach Art. 13 und 14 DSGVO. Daher sprechen gute Argumente dafür, dass diese Informationen z.B. in einer Datenschutzerklärung bereitgestellt werden können.

„Wesentlich“ soll laut Datenschutzkonferenz „eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll“ sein.

Die Datenschutzkonferenz hebt außerdem hervor: Wenn gemeinsam für die Verarbeitung Verantwortliche personenbezogene Daten verarbeiten, kann das die Risiken für die Rechte und Freiheiten betroffener Personen erhöhen. Das kann dazu führen, dass eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO nötig ist.

Konsequenzen einer gemeinsamen Verantwortlichkeit

Wenn eine gemeinsame Verantwortlichkeit vorliegt, kann die betroffene Person nach Art. 26 Abs. 3 DSGVO ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. Die Datenschutzkonferenz stellt klar: Da die gemeinsam Verantwortlichen gesamtschuldnerisch haften, erleichtert das die Durchsetzung zivilrechtlicher Ansprüche für betroffene Personen.

Jeder der gemeinsam für die Verarbeitung Verantwortlichen haftet nach Art. 82 Abs. 4 i.V.m. Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht nachweisen kann, dass ihn kein Verschulden trifft (Art. 82 Abs. 3 DSGVO), so die Datenschutzkonferenz.

Das gelte auch, wenn die Beteiligten keine Vereinbarung geschlossen haben. Nach Art. 82 Abs. 5 DSGVO kann der in Anspruch genommene Verantwortliche Regress bei dem bzw. den anderen Verantwortlichen nehmen. Für den Regress sollte dann die im Innenverhältnis vereinbarte Vereinbarung berücksichtigt werden.

Keine Funktionsübertragung mehr

Unter dem bisherigen Datenschutzrecht wurden Datenübermittlungen, vor allem Auslagerungen von Datenverarbeitungstätigkeiten, bei welchen der Empfänger eine Funktion des Verantwortlichen übernahm und einen gewissen eigenen Ermessensspielraum hatte, als sog. „Funktionsübertragung“ qualifiziert.

Auch hier bringt das Kurzpapier eine Neuerung: Die Funktionsübertragung soll es unter der DSGVO nicht mehr geben. Verarbeitungsvorgänge, die bisher als Funktionsübertragung qualifiziert wurden, sind als Auftragsverarbeitung, als gemeinsam für die Verarbeitung Verantwortliche oder als Übermittlung zu qualifizieren – abhängig davon, wer im konkreten Fall über die Zwecke und (zumindest wesentliche Elemente der) Mittel entscheidet.

Herausforderung für Unternehmen

Es ist davon auszugehen, dass das Institut der „gemeinsam für die Verarbeitung Verantwortlichen“ künftig vermehrt eine Rolle spielen wird. Das bedeutet für Unternehmen eine zusätzliche Herausforderung bei der Umsetzung der DSGVO.

Unternehmen sollten vor dem Hintergrund möglicher Bußgelder und zivilrechtlicher Haftung genau analysieren: Führen Sie Verarbeitungstätigkeiten durch, bei denen sie gemeinsam mit Dritten, z.B. anderen Konzerngesellschaften oder externen Dritten, Zwecke und Mittel der Datenverarbeitung bestimmen?

Herausfordernd wird dabei vor allem sein, die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung und von der gewöhnlichen Übermittlung abzugrenzen.

Author

Michaela Nebel ist Partner bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern