Datenschutz Verstehen – Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Definition der gemeinsamen Verantwortlichkeit
Die gemeinsame Verantwortlichkeit hinsichtlich der Verarbeitung von personenbezogenen Daten spielt eine immer größere Rolle. Diese wird durch die europäische Datenschutz-Grundverordnung (DSGVO) explizit in Art. 26 DSGVO geregelt. Betroffene Personen können ihre Ansprüche somit auch gegen mehrere Stellen durchsetzen und nicht nur lediglich gegen einen der gemeinsamen Verantwortlichen, Art. 26 Abs. 3 DSGVO. Eine ähnliche Regelung gab es vor der DSGVO in Deutschland nicht. Im alten Bundesdatenschutzgesetz (BDSG) wurde die gemeinsame Verantwortlichkeit (auch Joint Controllership genannt), nicht ausdrücklich erwähnt und war insofern keine gängige Praxis. Dessen sind sich auch die Aufsichtsbehörden bewusst und haben bereits ein offizielles Kurzpapier zu diesem Thema veröffentlicht.
Inhalt:
- Definition der gemeinsamen Verantwortlichkeit
- Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit
- Wie muss eine Vereinbarung gem. Art. 26 DSGVO gestaltet sein?
- Vereinbarung der gemeinsamen Verantwortlichkeit (Muster)
- Haftung bei gemeinsamer Verantwortlichkeit
- Informationspflichten bei der gemeinsamen Verantwortlichkeit (Muster)
Unterschied zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit
Bei der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO gilt zu beachten, dass sie von der Auftragsverarbeitung nach Art. 28 Abs. 1 DSGVO abzugrenzen ist. Demnach liegt eine Auftragsverarbeitung vor, wenn personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden. Der Auftragsverarbeiter handelt im Gegensatz zum Verantwortlichen stets ohne eigenen Entscheidungsspielraum und verarbeitet weisungsgebunden personenbezogene Daten. Viele Unternehmen haben nach Inkrafttreten der DSGVO Auftragsverarbeitungsverträge (AVV) abgeschlossen, ohne sich ausreichend zu informieren, ob eine gemeinsame Verantwortlichkeit vorliegen könnte und an Stelle eines Auftragsverarbeitungsvertrags ein Vertrag zur gemeinsamen Verantwortlichkeit erforderlich ist. Eine Auseinandersetzung mit der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO ist für gewisse Konstellationen daher zwingend notwendig.
Gem. Art. 26 Abs. 1 S. 1 DSGVO handelt es sich um gemeinsame Verantwortliche, wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Die Verwendung des Begriffs „festlegen” kann auch als gemeinsame Entscheidung verstanden werden. Die Verantwortlichen müssen zur Entscheidung oder Festlegung der Zwecke und Mittel der Verarbeitung bestimmte Voraussetzungen erfüllen. Hierzu müssen sie z.B. einen tatsächlichen Einfluss auf die Datenverarbeitung nehmen können. Joint Controller liegen also vor, wenn mindestens zwei Verantwortliche eine Entscheidung über den Zweck also das „erwartete Ergebnis” treffen und wenn sie außerdem das Mittel, die „Art und Weise” der Zweckerreichung bestimmen.
Folgende Fragen können helfen herauszufinden, wer Verantwortlicher ist:
- Welche Daten werden verarbeitet?
- In welchem Zeitraum werden diese Daten verarbeitet?
- Was ist der Zweck der Verarbeitung?
- Wer hat Zugriff zu den verarbeiteten Daten?
Eine weitere Voraussetzung für die gemeinsame Verantwortlichkeit ist die bewusste Beteiligung der Verantwortlichen. Die Verantwortlichen müssen sich insbesondere darüber bewusst sein, wie und warum die Daten verarbeitet werden und sich aktiv zusammen beteiligen wollen. Eine unbeabsichtigte Zusammenarbeit reicht dementsprechend nicht für eine gemeinsame Verantwortlichkeit aus. Allerdings müssen nicht alle Beteiligten der betroffenen Person gegenübertreten oder eine gleichwertige Verantwortung tragen. Die Handlungsspielräume können und dürfen bei den Verantwortlichen also variieren.
Sollte bereits einer der genannten Voraussetzungen nicht einschlägig sein, könnte es sich um eine Auftragsverarbeitung handeln. Beispiele hierfür sind etwa die Auslagerung der Lohn- und Gehaltsabrechnung, Instandhaltung von Software, Datenträgerentsorgung oder Nutzung von externen Cloud-Anbietern.
Wie muss eine Vereinbarung gem. Art. 26 DSGVO gestaltet sein?
Die DSGVO schreibt in Art. 26 DSGVO und in diesem Zusammenhang allen Verantwortlichen vor, eine Vereinbarung zur gemeinsamen Verantwortlichkeit abzuschließen. Hierbei soll vertraglich geregelt werden, welcher Verantwortliche welche Pflichten der DSGVO übernimmt. Um die Pflichten sicher zuordnen zu können, muss zunächst geklärt werden, welcher Verantwortliche welche Teile der Datenverarbeitung übernimmt.
Die folgenden Punkte sollen Ihnen bei der Erstellung einer Vereinbarung helfen und Ihnen einen Überblick über die zu regelnden Bestandteile schaffen. Wichtig zu erwähnen ist, dass eine Vereinbarung stets individuell erstellt werden muss. Unsere Datenschutzexperten helfen Ihnen gerne hierbei. Im Wesentlichen sollte eine Vereinbarung Klauseln über diese Punkte enthalten:
Notwendige/ obligatorische Bestandteile:
- Nennung aller Verantwortlichen
- Beschreibung des Gegenstandes der gemeinsamen Verarbeitung und dessen Verteilung auf die Verantwortlichen (Alleinverantwortung oder gemeinsame Verantwortung)
- Zuständigkeit der Verantwortlichen (in Bezug auf Betroffenenrechte, Informationspflichten, Korrespondenz mit Aufsichtsbehörden, Dokumentationspflicht, Sicherstellung der Transparenz)
Optionale/ fakultative Bestandteile:
- Haftungsregelungen im Innenverhältnis (Achtung nicht im Außenverhältnis regelbar)
- Informations- und Meldepflicht bei einer Datenschutzpanne
- Organisation bei Drittlandseinbindung
- Erarbeitung und Implementierung von technischen und organisatorischen Maßnahmen
- Datenschutz-Folgenabschätzung
Vereinbarung der gemeinsamen Verantwortlichkeit (Muster)
Sie können unsere Muster-Vereinbarung für die gemeinsame Verantwortlichkeit und unser Muster-Informationsschreiben an dieser Stelle herunterladen. Bitte beachten Sie, dass es sich bei diesen Dokumenten lediglich um Muster handelt und diese individuell angepasst werden müssen. Die Muster haben daher keine allgemeine Gültigkeit für alle Konstellationen der gemeinsamen Verantwortlichkeit. Die Vorlagen wurden in Anlehnung an dem Dokument des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg erstellt.
Haftung bei gemeinsamer Verantwortlichkeit
In der DSGVO gilt das Verbot mit Erlaubnisvorbehalt, welches auch von gemeinsam Verantwortlichen einzuhalten ist. Hierzu muss jeder Verantwortliche eine eigene Rechtsgrundlage vorweisen können, um die entsprechende Datenverarbeitung vornehmen zu dürfen. Außerdem müssen Betroffenenrechte eingehalten werden und Informationspflichten erfüllt werden. Um drakonische Bußgelder nach Art. 83 Abs. 4 lit. a) DSGVO mit einer Summe von bis zu 10 Mio. Euro oder bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, zu vermeiden, sollten alle Pflichten aus der DSGVO eingehalten werden. Dieser Bußgeldrahmen gilt u.a. bei Verstößen gegen Vorgaben zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO. Bei Verstößen gegen anderen Vorschriften der DSGVO drohen gem. Art. 83 Abs. 5 DSGVO Bußgelder von bis zu 20 Mio. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.
Betroffenen Personen wird durch Art. 26 Abs. 3 DSGVO ermöglicht, ihre Betroffenenrechte gegenüber jedem Verantwortlichen geltend zu machen. Dies hat für betroffene Personen den positiven Effekt, dass sich keiner der gemeinsam Verantwortlichen aus der Verantwortung ziehen kann und zudem stets für die rechtswidrige Verarbeitung der Daten haftbar gemacht werden kann. Art 82 Abs. 4 DSGVO sieht insbesondere eine gesamtschuldnerische Haftung der gemeinsam Verantwortlichen bzw. Joint Controller im Sinne des § 840 BGB vor, um eine vereinfachte Durchsetzung des Rechts sicherzustellen.
Wie oben beschrieben können die Verantwortlichen ebenso die Haftung vereinbaren. Dies hat jedoch nur Auswirkungen auf das Innenverhältnis. Sollte eine betroffene Person den Schadenersatz allein von einem Verantwortlichen im Sinne des Art. 82 Abs. 4 DSGVO fordern, so kann hier die individuelle Vereinbarung der Joint Controller greifen. Alternativ kann ein Verantwortlicher den anderen Verantwortlichen gem. Art. 82 Abs. 5 DSGVO in Regress nehmen, also der in Anspruch genommene Verantwortliche kann z.B. den gezahlten Schadenersatz wiederum bei dem anderen Verantwortlichen durchsetzen.
Informationspflichten bei der gemeinsamen Verantwortlichkeit (Muster)
Die DSGVO basiert auf dem Grundrecht der informationellen Selbstbestimmung. Ein besonders wichtiger Punkt, um dieses Grundrecht umzusetzen, ist die Informationspflicht der betroffenen Person. Es stellt das Recht jedes Einzelnen dar, selbstständig über seine personenbezogenen Daten zu entscheiden und zu bestimmen. Hierzu gehört auch zu wissen, wer die Daten überhaupt besitzt. Für die Umsetzung lassen sich einige Artikel in der DSGVO ausfindig machen. In Bezug auf die gemeinsame Verantwortlichkeit regelt Art. 26 Abs. 1 S. 2 DSGVO (und mittelbar Art. 26 Abs. 2 S.2 DSGVO) die Informationspflicht und gewährleistet somit auch die notwendige Transparenz. Die betroffene Person soll darüber aufgeklärt werden, wie sie ihre Rechte ausüben kann. Die wesentlichen Bestandteile der Vereinbarung sollen der betroffenen Person in einer verständlichen, einfachen und präzisen Art und Weise mitgeteilt werden, siehe hierzu auch den Erwägungsgrund 58 DSGVO. Um dies umzusetzen, genügt ein Informationsschreiben mit den wesentlichen Inhalten der geschlossenen Vereinbarung, vgl. Art. 26 Abs. 2 S.2 DSGVO. Es ist nicht notwendig, die gesamte Vereinbarung zur Verfügung zu stellen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.