Zum Inhalt springen Zur Navigation springen
Die gemeinsame Verantwortlichkeit im Sinne der DSGVO

Die gemeinsame Verantwortlichkeit im Sinne der DSGVO

Mit dem Facebook-Fanpage-Urteil des EuGHs oder dessen Entscheidung für eine gemeinsame Verantwortlichkeit von Webseitenbetreiber und Anbieter bei Social-Plugins rückte die Vereinbarung zur Gemeinsamen Verantwortlichkeit wieder mehr in den datenschutzrechtlichen Fokus. Aber was ist denn gemäß Art. 26 DSGVO konkret zu regeln? Warum und vor allem wann wird diese Vereinbarung benötigt? Und was passiert, wenn die Vereinbarung nicht geschlossen wird? Mit diesen Fragen beschäftigt sich der folgende Beitrag.

Die Verantwortlichkeit

Anknüpfungspunkt ist natürlich die datenschutzrechtliche Verantwortlichkeit. Verantwortlicher in diesem Sinne ist nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…).

Möglich ist hiernach also eine Datenverarbeitung allein oder gemeinsam mit anderen. Aber Achtung: nicht jede gemeinsame Datenverarbeitung begründet auch eine gemeinsame Verantwortlichkeit! Denkbar ist auch, dass es zwei oder mehrere Verantwortliche nebeneinander gibt, die unabhängig voneinander Daten verarbeiten. Was macht also das „miteinander“ für die gemeinsame Verantwortlichkeit aus?

Die gemeinsame Verantwortlichkeit

Hierüber gibt Art. 26 Abs. 1 S. 1 DSGVO Aufschluss:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“

Wichtigste Voraussetzung für die gemeinsame Verantwortlichkeit ist also die gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Die prominentesten Beispiele der letzten Zeit sind die bereits erwähnte Facebook-Fanpage oder die Social-Plugins. Beide machen darüber hinaus deutlich, dass es nicht immer um eine gleichwertige Verantwortlichkeit bei der gemeinsamen Verantwortlichkeit geht. Vielmehr können die Verantwortlichen in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Im Gesamtbild gibt es dann jedoch eine gemeinsame Festlegung der Zwecke und Mittel.

Zweck der Vereinbarung über die gemeinsame Verantwortlichkeit

Eines wird bereits deutlich – ähnlich wie auch bei der Auftragsverarbeitung ist auch hier nicht immer sofort klar, wer welche Rolle hat. Wer ist eigentlich die verantwortliche Stelle, wann handelt es sich tatsächlich um eine gemeinsame Verantwortlichkeit und wann um eine Verantwortlichkeit von bspw. zwei Verantwortlichen nebeneinander? Bei der Beurteilung des Grades der Verantwortlichkeit kommt es stets auf die Umstände des Einzelfalls an.

Nun könnte man sagen, Hauptsache die jeweiligen Parteien wissen, wie sie zueinanderstehen. Dies ist jedoch aus datenschutzrechtlicher Sicht zu kurz gedacht. Der Schutzzweck der DSGVO ist nach wie vor der Schutz der informationellen Selbstbestimmung jedes Einzelnen. Im Fokus steht also der Betroffene, dessen personenbezogene Daten von den Verantwortlichen verarbeitet werden.

Um diesen zu schützen, wurde bereits im Erwägungsgrund 79 zur DSGVO eine klare Zuteilung der Verantwortlichkeiten festgelegt. Das Stichwort ist hier: Transparenz für die Betroffenen. Auch für diese sollen die Strukturen der Verantwortlichkeiten erkennbar und nachvollziehbar sein. Bei zunehmend komplexeren Verarbeitungskonstellationen, bei denen zahlreiche Personen und Stellen an der Verarbeitung personenbezogener Daten beteiligt sind, soll ein Raum der Verantwortungslosigkeit auf jeden Fall vermieden werden.

Inhalt der Vereinbarung über die gemeinsame Verantwortlichkeit

Um die einzelnen Verantwortungsbereiche zu manifestieren, kommt nun also die in Art. 26 DSGVO erwähnte Vereinbarung ins Spiel. Demnach sollen die gemeinsam Verantwortlichen

„in transparenter Form festlegen, wer von Ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Personen angeht, und wer welchen Informationspflichten (…) nachkommt (…).“

Ein Beispiel für den erforderlichen Inhalt stellt z.B. Bitkom zur Verfügung. Folgende Punkte sollten hiernach geregelt werden:

  1. Festhalten, dass Vertragsparteien gemeinsame Verantwortliche („Joint Controllers“) sind.
  2. Aufgabenbeschreibung mit Abgrenzung, welcher Verantwortliche welche Aufgaben übernimmt. Aufteilung der Aufgaben aller Beteiligten möglichst praxisnah/ sehr operativ beschreiben.
  3. Festlegen der Zwecke und der Mittel der Datenverarbeitung.
  4. Pflichten des Joint Controllers A
  5. Pflichten des Joint Controllers B
  6. Haftung und Schadenersatz

In den Punkten 4. und 5. ist insbesondere der Umgang mit den Betroffenenrechten zu regeln. Wichtig ist zudem, dass die Vereinbarung stets auf die individuelle Situation der jeweiligen gemeinsamen Verantwortlichen angepasst werden kann und muss.

Keine Privilegierungswirkung

Mit dem Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit ist dann also die interne Aufteilung der Verantwortungsbereiche innerhalb der gemeinsam festgelegten Zwecke und Mittel der Datenverarbeitung geregelt. Damit ist jedoch noch nicht geregelt, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Sowohl die datenschutzrechtliche Verantwortlichkeit als auch die Regelungen in der Vereinbarung über die gemeinsame Verantwortlichkeit begründen keine eigene Befugnis zur Verarbeitung von personenbezogenen Daten. Erforderlich ist also nach wie vor eine Rechtsgrundlage nach Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO, um dem datenschutzrechtlichen Grundsatz des Erlaubnisvorbehalts zu genügen. Dies kann auch bei der Weitergabe von Daten unter den gemeinsamen Verantwortlichen der Fall sein, wenn es sich hierbei ebenfalls um eine eigene Datenverarbeitung handelt.

Rechtsfolge „Bußgeld“

Zusammengefasst hört sich die Vereinbarung über die Gemeinsame Verantwortlichkeit also vielleicht grundsätzlich nach einer guten Idee an, um die Grundsätze der DSGVO angemessen zu wahren. Für alle, die jedoch noch immer nicht restlos überzeugt sind, sei jedoch gesagt: eine nicht abgeschlossene Vereinbarung stellt einen Verstoß gegen Art. 83 Abs. 4 lit. a) DSGVO dar und kann daher mit einem Bußgeld bestraft werden. Ähnlich wie auch bei der Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO sollte hier also nicht „auf Lücke“ vorgegangen werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2023B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2023.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.

Themen entdecken