Betrachtet man moderne Datenverarbeitungen, gibt es kaum noch Verantwortliche, die hierbei noch völlig allein agieren. Der Austausch von Daten mit anderen Stellen ist mittlerweile eher die Regel als die Ausnahme. Dies gilt ganz besonders innerhalb von Konzernen und anderen Unternehmensgruppen, die untereinander zentrale Dienste bereitstellen („shared services“) oder aber Datenbestände in anderer Art und Weise zusammen nutzen.
Die Fragen, ob und wie personenbezogene Daten in datenschutzrechtlich zulässiger Art und Weise ausgetauscht und genutzt werden dürfen, stehen hierbei im Mittelpunkt und sind oft nicht ganz einfach zu beantworten. Die Verarbeitung im Auftrag ist in diesem Zusammenhang bereits altbekannt, mit dem Instrument der gemeinsamen Verantwortlichkeit haben allerdings viele Stellen noch große Schwierigkeiten. Oft wird schon gar nicht erkannt, dass eine gemeinsame Verantwortlichkeit vorliegt und an der korrekten Umsetzung mangelt es dann erst recht.
So hat sich längst noch nicht überall herumgesprochen, dass eine gemeinsame Verantwortlichkeit zwingend vertraglich zu regeln ist. Aber auch den umgekehrten Fall gibt es. So nehmen viele Unternehmen oder deren Berater allein deswegen eine gemeinsame Verantwortlichkeit an, weil die gleichen Daten der gleichen Betroffenen verarbeitet werden. Dies allein ist aber nicht ausschlaggebend.
Kriterien für die Bestimmung einer gemeinsamen Verantwortlichkeit
Die gemeinsame Verantwortlichkeit bei der Verarbeitung personenbezogener Daten ist in Art. 4 Nr. 7 DSGVO und Art. 26 Abs. 1 S. 1 DSGVO geregelt. Wesentlich ist danach, dass mehrere Verantwortliche gemeinsam Zweck und Mittel der Datenverarbeitung festlegen. Dies ist zugleich der entscheidende Unterschied zur Auftragsverarbeitung, bei der eine Stelle verbindlich bestimmt und die andere weisungsabhängig ausführt.
Im Sinne eines möglichst weitgehenden Schutzes der betroffenen Personen sind keine hohen Anforderungen an eine gemeinsame Verantwortlichkeit zu stellen. Insbesondere die jüngere Rechtsprechung des Europäischen Gerichtshofs (EuGH) zeigt, dass diese Anforderungen niederschwellig zu verstehen sind und mitunter bereits Kleinigkeiten genügen, um – selbst unwillentlich – mit einer anderen Stelle als gemeinsam Verantwortlicher zu gelten.
Weder ist eine gleichberechtigte Entscheidung über die Zwecke und Mittel der Datenverarbeitung notwendig noch ein gleichrangiges Interesse der Beteiligten oder eine gleichwertige Verantwortung. Auch die verfolgten Zwecke müssen nicht identisch oder vergleichbar sein. Es ist noch nicht einmal wesentlich, dass überhaupt alle Parteien Zugriff auf die gemeinsam verarbeiteten personenbezogenen Daten erhalten.
Ausreichend ist vielmehr, dass ein Beitrag zur Entscheidung über die Zwecke und Mittel einer Verarbeitung erbracht wird, die durch die andere Partei und primär in deren Interesse erfolgt. Ein gutes Beispiel hierfür sind Facebook Fanpages. Der Inhaber der Fanpage erhält lediglich anonyme Statistiken und mehr will er auch im Zweifel gar nicht. Über die Fanpage ermöglicht er es Facebook aber überhaupt erst, personenbezogene Daten der Besucher zu sammeln und auszuwerten. Der Fanpagebetreiber hat damit maßgeblichen Einfluss zumindest auf die Frage, ob personenbezogene Daten verarbeitet werden; er liefert einen kausalen Beitrag zur Datenverarbeitung durch Facebook. Dieses gemeinsame Element genügt laut EuGH, um eine gemeinsame Verantwortlichkeit zu begründen.
Für die Praxis wichtig ist, dass es nicht darauf ankommt, ob eine Vereinbarung zur Verantwortlichkeit besteht oder welchen Inhalt diese hat. Die Beteiligten können nicht vertraglich bestimmen, dass eine Verarbeitung gemeinsam erfolgt oder nicht. Auch dieser Irrtum hält sich leider weiterhin hartnäckig. Allein entscheidend ist die Realität. Sind die Bedingungen für eine gemeinsame Verantwortlichkeit tatsächlich gegeben, liegt auch eine vor. Die zwingende vertragliche Regelung der Zusammenarbeit ist keine Voraussetzung der gemeinsamen Verantwortlichkeit, sondern deren Folge.
Konkrete Handlungspflichten gemeinsam Verantwortlicher
Vereinbarung über gemeinsame Verarbeitung
Wie bereits angesprochen, muss nach Art. 26 Abs. 1 S. 2 DSGVO eine Vereinbarung zwischen den gemeinsam Verantwortlichen abgeschlossen werden. Das Gesetz schreibt dabei zwar keine bestimmte Form vor, mit Blick auf etwaige Informationspflichten gegenüber dem Betroffenen gem. Art. 26 Abs. 2 S. 2 DSGVO und drohende Geldbußen (siehe unten) sollte jedoch mindestens eine Regelung in Textform abgeschlossen werden.
Als Mindestinhalt sollte die Vereinbarung die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den Betroffenen nach Art. 26 Abs. 2 S. 1 DSGVO beinhalten. Darüber hinaus sollte die Verteilung der Verantwortlichkeiten der jeweils Beteiligten definiert werden. Gibt es eine gesetzliche Regelung, die diese Pflichten des Verantwortlichen festschreibt, geht diese vor.
Es empfiehlt sich, die folgenden Inhalte in der Vereinbarung zu berücksichtigen:
- Beschreibung der Datenverarbeitung, siehe dazu Art. 28 Abs. 3 S. 1 Hs. 2 DSGVO,
- Phasen, Funktionen und Beziehungen aller gemeinsam Verantwortlichen des gesamten Datenverarbeitungsprozesses,
- generelle Beschreibung der Verteilung der datenschutzrechtlichen Verantwortlichkeiten,
- eine Festlegung der jeweiligen Rechtmäßigkeitsvoraussetzungen (Beispiel: Um die personenbezogenen Daten der Betroffenen zu verarbeiten, ist deren Einwilligung erforderlich. Hier sollte festgehalten werden, wer die Einwilligungserklärungen verfasst).
- Umgang mit Betroffenenrechten, insbesondere
- Zuständigkeit für die Informierung der Betroffenen gemäß Art. 13 und 14 DSGVO,
- Benennung eines gemeinsamen Ansprechpartners für Anfragen und Ausübung der Betroffenenrechte,
- interne praktische und technische Umsetzung der Betroffenenrechte (Beispiel: Ein Betroffener verlangt, dass seine Daten gelöscht werden. Wie setzt man es um, dass die Daten bei allen Verantwortlichen gelöscht werden?)
- Vereinbarung über technisch-organisatorische Maßnahmen (Art. 32 DSGVO),
- Klärung der Zusammenarbeit bzgl. einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
- Zusammenarbeit bei Feststellung, Behandlung und Meldung von Datenschutzverletzungen, (Art. 33 und 34 DSGVO),
- Nennung von gegenseitigen Ansprechpartnern für den Datenschutz und Vereinbarung von Notfall- und Eskalationsmechanismen (z. B. im Falle von Datenschutzverletzungen oder Behördenanfragen),
- Pflichten zur gegenseitigen Übermittlung von Informationen (z. B. für die Erstellung von Verarbeitungsverzeichnissen),
- bei internationalen Übermittlungen Festlegung der eingesetzten Mechanismen und Verantwortlichkeiten (werden Daten in ein Land außerhalb der EU übermittelt, so ist der Betroffene gem. Art. 44 ff. EU DSGVO hierüber zu informieren, hier ist insbesondere Art. 47 EU DSGVO zu beachten),
- Regelungen zum Change-Management (wie wird auf den Datenschutz betreffende Änderungen reagiert?) sowie
- Regelungen zum Haftungsausgleich im Innenverhältnis (Art 82 DSGVO).
Information der Betroffenen
Betroffenen ist nach Art. 26 Abs. 2 S. 2 DSGVO „das Wesentliche der Vereinbarung zur Verfügung zu stellen“. Da das Gesetz hierfür keine bestimmte Form vorsieht, sollte es ausreichen, die entsprechenden Ausführungen hierzu in die Datenschutzhinweise zu integrieren.
Es bleibt die Frage offen, was das für die Betroffenen Wesentliche ist, worüber sie also informiert werden müssen. Einerseits sollte über die Art der Zusammenarbeit sowie insbesondere darüber informiert werden, welche Daten zwischen den Beteiligten ausgetauscht werden. Andererseits sollte erläutert werden, wie und gegenüber wem sie Betroffenenrechte ausüben können.
Achtung: Unabhängig von den in der Vereinbarung getroffenen Regelungen kann der Betroffene seine Rechte nach Art. 26 Abs. 3 DSGVO grundsätzlich gegenüber jedem Verantwortlichen geltend machen.
Haftungsrisiken für gemeinsam Verantwortliche
Wie auch im Bereich der Auftragsverarbeitung führt auch die gemeinsame Verantwortlichkeit gem. Art. 82 Abs. 2 S. 1, Abs. 4 DSGVO zu einer gesamtschuldnerischen Haftung. Ein Betroffener kann den ihm entstandenen Schaden also von jedem Verantwortlichen voll ersetzt verlangen. Der zahlende Verantwortliche kann sich dann natürlich an seine Mitstreiter wenden, um den gezahlten Gesamtbetrag anteilig von diesen zurückzubekommen. Umso wichtiger ist es, eine klare Regelung für den Innenausgleich zu treffen.
Das zweite Risiko sind Geldbußen, die durch Aufsichtsbehörden nach Art. 83 Abs. 4 lit. a) DSGVO gegenüber den gemeinsam Verantwortlichen verhängt werden können. Beispielsweise kann die Aufsichtsbehörde ein Bußgeld verhängen, wenn eine gemeinsame Verantwortlichkeit vorliegt, aber zwischen den Beteiligten keine Vereinbarung i.S.v. Art. 26 Abs. 2 S. 1 DSGVO abgeschlossen wurde. Allein das Fehlen dieses Papiers kann bis zu 10 Mio. Euro kosten oder aber 2 % des gesamten weltweit erzielten Jahresumsatzes – je nachdem welcher Betrag höher ist.
Fazit: Ordentliche Vereinbarungen und tatsächliche Zusammenarbeit
Die klare Regelung zu gemeinsam Verantwortlichen sollte gerade für Konzerne von Interesse sein, die Daten zwischen ihren verschiedenen Gesellschaften transferieren. Entscheidend ist dabei allerdings eine ordnungsgemäß gestaltete Vereinbarung zwischen den Beteiligten und – was noch viel wichtiger ist –, dass tatsächlich mindestens zwei Verantwortliche im Sinne von Art. 26 DSGVO miteinander personenbezogene Daten verarbeiten.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!