Gemeinsame Verantwortlichkeit

Worum geht es?

Werden personenbezogene Daten zwischen mehreren Beteiligten ausgetauscht, liegen in der Regel entweder voneinander getrennte Verantwortlichkeiten vor oder es handelt sich um ein Auftragsverarbeitungsverhältnis. Wenn jedoch verschiedene Akteure Daten gemeinsam verarbeiten und dabei auch abstimmen, auf welche Art diese Daten verarbeitet werden und welches Ziel sie damit erreichen wollen empfiehlt es sich zu prüfen, ob Art. 26 der DS-GVO greift und somit eine gemeinsame Verantwortlichkeit (Joint Controllership) vorliegt. Hier ist geregelt, wann eine gemeinsame Verantwortlichkeit vorliegt und was in einem solchen Fall zu tun ist.

Auch bei Verwendung eines Joint Controllervertrags dürfen personenbezogene Daten nur auf Basis einer entsprechenden Rechtsgrundlage (Art. 6 Abs. 1 a-f DS-GVO) verarbeitet und weitergegeben werden. Eine Vereinbarung zum Verhältnis zwischen den Parteien regelt dabei die Rechte und Pflichten bei der Zusammenarbeit zwischen gemeinsam Verantwortlichen.

Vorgehensweise

Zuerst sollte geprüft werden, ob wirklich eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO besteht oder ob aufgrund der Weisungsbefugnis einer Partei gegenüber der anderen ein Auftragsverarbeitungsverhältnis vorliegt. Ausgeschlossen sein sollte dabei auch, dass es sich um zwei getrennt voneinander Verantwortliche handelt, die ihre Mittel und Zwecke nicht gemeinsam festlegen.

Eine gemeinsame Verantwortlichkeit kann auch vorliegen, wenn die Kontrolle über die Daten ungleichmäßig verteilt ist und nicht jeder auf alle Daten zugreifen kann. Ob und wann eine Gemeinsame Verantwortlichkeit vorliegt ist regelmäßig keine einfache Entscheidung. Hier sollte ein fachkundiger Datenschutzbeauftragter hinzugezogen werden.

Wenn feststeht, dass eine gemeinsame Verantwortlichkeit vorliegt, sollten folgende Dinge vereinbart werden:

  • Welche Parteien sind gemeinsam verantwortlich?
  • Was sind die Zwecke und Mittel der Datenverarbeitung und wer legt diese fest?
  • Welche Pflichten werden von welchem der Verantwortlichen übernommen? Hier ist insbesondere die Erfüllung der Betroffenenrechte zu regeln. Wichtig ist auch, dass Sie Haftungsfragen klären und Vereinbarungen zu Schadenersatzzahlungen treffen.
  • Falls ein Beteiligter seinen Sitz außerhalb der europäischen Union hat: Wer ist dessen Vertreter in der EU und welche Maßnahmen bei der Übermittlung zu beachten?
  • Welche technischen und organisatorischen Maßnahmen sind getroffen worden, um der Sensibilität der Daten gerecht zu werden? Wie können diese Maßnahmen kontrolliert werden?
  • Unter welchen Voraussetzungen können Sie und der Vertragspartner Unterauftragnehmer hinzuziehen?
  • Wie ist der Prozess bei einer Datenpanne?

Ihr Nutzen

Der Abschluss einer Vereinbarung zur gemeinsamen Verantwortung regelt, wer für welche Bereiche der DS-GVO-Einhaltung zuständig ist:

  1. Es ist festgehalten, dass beide Parteien gemeinsam verantwortlich sind und zusammen die Mittel und Zwecke der Verarbeitung festlegen.
  2. Die Verteilung der Aufgaben zur Erfüllung der Betroffenenrechte ist klar geregelt und kann zur Entlastung aufgeteilt werden.
  3. Zusätzlich zum in der DS-GVO vorgegebenen Mindestinhalt können hier Ausgleichszahlungs- und Haftungsfragen geklärt werden.
  4. Der Vertrag dient Ihnen als Nachweis gegenüber Aufsichtsbehörden, dass die Datenschutzgesetze eingehalten werden. Diese Festlegung stellt eine datenschutzrechtliche Anforderung dar und sie erfüllt somit den Nachweis von gesetzlichen Anforderungen.

Hilfreiche Links mit Beispielen und Mustern

Verfasser: Mareike Fischer, 07.10.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!