29
Mrz
2018
Stecker bunt

Deutsche Datenschutzbehörden veröffentlichen Hinweise zu Joint Controllership

Die EU Datenschutz-Grundverordnung (DSGVO) regelt in Art. 26 DSGVO die Verarbeitung personenbezogener Daten durch mehrere gemeinsam für die Verarbeitung Verantwortliche (“Joint Controllership”). Die Bedeutung dieser mit der DSGVO neu eingeführten Konstruktion sollten Unternehmen in ihren DSGVO-Umsetzungsprojekten nicht unterschätzen. Ohne einen entsprechenden Vertrag nach Art. 26 DSGVO und eine transparente Ausgestaltung der gemeinsamen Verantwortlichkeit drohen Unternehmen hohe Bußgelder oder Schadensersatzansprüche von betroffenen Personen. Der Düsseldorfer Kreis (DSK) hat kürzlich ein Kurzpapier mit Hinweisen zur Verarbeitung durch gemeinsam für die Verarbeitung Verantwortlichen veröffentlicht. Dieses Kurzpapier können Sie hier abrufen.

Der Düsseldorfer Kreis

Der Düsseldorfer Kreis ist ein gemeinsames Gremium der Datenschutzbehörden des Bundes und der Länder. Veröffentlichungen des DSK sind weder für Gerichte noch für die Datenschutzbehörden selbst bindend. Jedoch orientieren sich Aufsichtsbehörden und Gerichte bei der Auslegung datenschutzrechtlicher Fragen regelmäßig an solchen Veröffentlichungen. Die Veröffentlichung des DSK steht unter dem Vorbehalt möglicher künftiger – gegebenenfalls abweichender – Veröffentlichungen der Art. 29-Datenschutzgruppe. Trotzdem können Unternehmen das Kurzpapier des DSK durchaus als Anhaltspunkt dafür sehen, wie die Datenschutzaufsichtsbehörden die gemeinsame Verantwortlichkeit nach der DSGVO auslegen und in der Praxis anwenden werden.

Gemeinsam für die Verarbeitung Verantwortliche

Wenn mehrere Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung personenbezogener Daten festlegen, sind sie gemäß Art. 26 DSGVO gemeinsam für die Verarbeitung verantwortlich. In diesem Fall müssen die gemeinsamen Verantwortlichen eine Vereinbarung abschließen, in der sie transparent festlegen, wer von ihnen welche Pflichten nach der DSGVO erfüllt und wer welchen Informationspflichten nachkommt. Die betroffenen Personen können ihre Rechte in jedem Fall gegenüber jedem der gemeinsamen Verantwortlichen geltend machen, Art. 26 Abs. 3 DSGVO.

Kernpunkte des DSK-Kurzpapiers

Mit dem Kurzpapier will der DSK eine erste Orientierung bieten, wie er das Rechtsinstitut der gemeinsam für die Verarbeitung Verantwortlichen interpretiert und wie diese im praktischen Vollzug angewandt werden soll. Die wichtigsten Punkte aus dem Kurzpapier stellen wir im Folgenden dar.

Anwendungsbereich des Art. 26 DSGVO

Die DSGVO unterscheidet neben der der gemeinsamen Verantwortlichkeit primär zwischen der Auftragsverarbeitung und der individuellen Verantwortlichkeit. Gerade für deutsche Unternehmen stellt sich darüber hinaus auch die Frage, wie sie künftig sogenannte Funktionsübertragungen unter der DSGVO einordnen sollen. Das Rechtsinstitut der Funktionsübertragung bestand im alten deutschen Datenschutzrecht und bezeichnete die Auslagerung bestimmter Datenverarbeitungsvorgänge mit einem gewissen Entscheidungsspielraum des Empfängers hinsichtlich spezifischer Aufgaben. Mit Geltung der DSGVO gibt es kein der Funktionsübertragung vergleichbares Rechtsinstitut mehr.

Der DSK stellt nun klar, dass Funktionsübertragungen künftig je nach Einzelfall entweder als Auftragsverarbeitung, als gemeinsame Verarbeitung oder als “normale” Übermittlung an einen anderen Verantwortlichen einzustufen ist. Entscheidend sei für die Bewertung, wer über die Zwecke und die wesentlichen Elemente der Mittel der Datenverarbeitung entscheidet. Da Unternehmen Verarbeitungsvorgänge immer im Einzelfall prüfen und bewerten müssen, gibt der DSK einige Beispielfälle für mögliche gemeinsame Verantwortlichkeiten:

  • Klinische Arzneimittelstudien mit mehreren Beteiligten (Sponsor / Ärzte);
  • Gemeinsame Datenverwaltung in Konzernen bei gleichlaufenden Geschäftsprozessen;
  • Gemeinsames Betreiben einer Infrastruktur, z. B. Internetplattformen zur Reiseplanung;
  • Gemeinsame Datei mehrerer Unternehmen zur Warnung vor säumigen Schuldnern.

Die möglichen Anwendungsfelder für gemeinsame Verantwortlichkeit in der Praxis sind Vielfältig. Dies gilt nicht nur für Unternehmensgruppen, die in einer Matrix-Struktur organisiert sind. Die Beispiele des DSK können Unternehmen insoweit nur eine erste Orientierung bieten.

Gemeinsame Verantwortlichkeit entsteht unabhängig von vertraglicher Gestaltung

Ob Unternehmen gemeinsam Verantwortliche für eine Datenverarbeitung sind, bestimmt sich nach den tatsächlichen Gegebenheiten. So stellt der DSK klar, dass eine von den Parteien gewählte Bezeichnung oder eine vertragliche Vereinbarung lediglich als Hinweis auf die tatsächliche Rollenverteilung dienen können. Eine gemeinsame Verantwortlichkeit kann mit allen rechtlichen Folgen auch dann vorliegen, wenn die Parteien von einer Auftragsverarbeitung ausgingen und einen Vertrag nach Art. 28 Abs. 3 DSGVO geschlossen haben. Entspricht die vertragliche Gestaltung zwischen den Parteien in einem solchen Fall nicht den Anforderungen des Art. 26 DSGVO, können Aufsichtsbehörden gegebenenfalls Bußgelder nach Art. 83 Abs. 4 lit. a) DSGVO verhängen.

Keine Privilegierung der gemeinsamen Verantwortlichkeit

Die deutschen Datenschutzaufsichtsbehörden sind der Ansicht, dass eine gemeinsame Verantwortlichkeit an sich noch keine Erlaubnis zur Datenverarbeitung darstellt. Somit benötige jeder der gemeinsamen Verantwortlichen eine eigene Rechtsgrundlage für die gemeinsame Verarbeitung personenbezogener Daten. Weiterhin seien gemeinsame Verantwortliche auch untereinander Empfänger von Daten. Demzufolge ist nach der Auffassung des DSK auch die Übermittlung personenbezogener Daten zwischen gemeinsamen Verantwortlichen ein eigener Verarbeitungsvorgang, der als solcher ebenfalls einer Rechtsgrundlage im Einzelfall bedürfe.

Ob sich diese eher strenge Auslegung des Art. 26 DSGVO auf europäischer Ebene durchsetzen und von den Gerichten gestützt werden wird, bleibt abzuwarten. Es ließe sich auch gut begründen, dass gemeinsam Verantwortliche in Bezug auf die gemeinsame Verarbeitung nach außen als ein Verantwortlicher auftreten. Entsprechend würde eine Datenübermittlung zwischen gemeinsamen Verantwortlichen auch nicht als eigener Datenverarbeitungsvorgang bewertet, sondern müsste nur dem Prinzip der Datenminimierung, beziehungsweise dem Need-to-Know Prinzip genügen. Zumindest in Deutschland tätige Unternehmen sollten jedoch die klare Positionierung des DSK beachten und bei der Planung gemeinsamer Verantwortlichkeiten möglichst berücksichtigen.

Folgen für die Praxis

Das für deutsche Verantwortliche neue Rechtsinstitut der gemeinsamen Verantwortlichkeit stellt Unternehmen in der Praxis vor einige zusätzliche Anforderungen. Viele Unternehmen unterschätzen im Rahmen ihrer Umsetzungsprojekte zur DSGVO den damit verbundenen Aufwand. Um Bußgelder oder mögliche zivilrechtliche Haftung zu vermeiden, müssen Unternehmen bei jeder Datenübermittlung an Dritte genau prüfen, ob es sich um eine gemeinsame Verarbeitung, eine Auftragsverarbeitung oder eine Datenübermittlung an einen anderen Verantwortlichen handelt. Soweit Unternehmen sich bei bestimmten Verarbeitungen unsicher sind, wie sie die verschiedenen Rollen bewerten müssen, sollten sie ihre Einschätzung gegebenenfalls bereits vor Geltung der DSGVO mit der für sie zuständigen Aufsichtsbehörde abstimmen.