Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Gemeinsame Verantwortlichkeit: Ein Rechtsinstitut mit großen praktischen Auswirkungen

PrintMailRate-it

veröffentlicht am 22. Mai 2019


Die gemeinsame Verantwortlichkeit (Joint Controllership) ist nach wie vor eine „große Unbekannte” unter den datenschutzrechtlichen Regelungen. Das liegt einerseits an der relativen Neuheit der Regelung, die in der Form im bisherigen deutschen BDSG noch nicht enthalten war. Zum anderen ist sie für Rechtsanwender nicht leicht zu fassen, da sie auf sehr abstrakte Begrifflichkeiten aufbaut, in der Praxis in verschiedensten Konstellationen auftreten kann und daher nur langsam Eingang in das allgemeine Rechtsverständnis findet. Jedoch ist die gemeinsame Verantwortlichkeit höchst praxisrelevant und erzeugt akuten Handlungsbedarf bei den beteiligten Verantwortlichen. Dieser Beitrag behandelt daher die wesentlichen Merkmale des „Joint Controllerships” und dessen Rechtsfolgen.


  

Überblick über die gemeinsame Verantwortlichkeit

Für Anwender des deutschen Rechts stellen sich die „Gemeinsam für die Verarbeitung Verantwortlichen”, geregelt in Art. 26 DSGVO, als ein Novum dar – anders als etwa die schon aus dem alten BDSG bekannten Auftragsdatenverarbeiter (die jetzt „Auftragsverarbeiter” heißen). Zwar findet sich die gemeinsame Verantwortlichkeit schon in der EG-Datenschutzrichtlinie (RL 95/46/EG), im alten BDSG war sie jedoch nicht enthalten. Auch in der Praxis spielten gemeinsam Verantwortliche bis zum Inkrafttreten der DSGVO keine wesentliche Rolle. Worum geht es also bei diesem „neuen” Rechtsinstitut?


Zweck: Transparenz nach außen – und nach innen

Im Kern soll die Regelung der gemeinsamen Verantwortlichkeit Transparenz darüber schaffen, welche Verantwortlichen wie an einer Datenverarbeitung beteiligt sind und wie sie dafür haften. Dazu müssen die gemeinsamen Verantwortlichen eine Vereinbarung abschließen, in der die jeweiligen Verpflichtungen in transparenter Form festgelegt werden (vgl. Art. 26 Abs. 1 Satz 2 DSGVO).

Dabei hat die DSGVO einerseits die Betroffenen und die Aufsichtsbehörden im Blick, wenn sie eine „klare Zuteilung der Verantwortlichkeiten” fordert (vgl. Erwägungsgrund 79). Die Zuteilung muss nach außen gegenüber den betroffenen Personen und den Aufsichtsbehörden erkennbar werden. Gleichzeitig müssen aber auch die beteiligten Parteien untereinander im vornherein ihre Rollen und Verantwortlichkeiten diskutieren, klären und beschreiben. Mithin zwingt die Regelung damit auch zur Transparenz „nach innen”: Die Parteien müssen sich darüber klar werden, wie die – in der Praxis immer komplexer werdende – Gestaltung der Zusammenarbeit konkret aussieht.


Entstehung einer gemeinsamen Verantwortlichkeit

Eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO entsteht – ähnlich wie bei der Auftrags­verarbeitung – kraft Gesetz, wenn ihre Voraussetzungen objektiv vorliegen. Sie kann durch vertragliche Vereinbarungen weder ausgeschlossen noch „gekünstelt” geschaffen werden.


Daher kommt es entscheidend auf eine Prüfung der tatsächlichen Umstände an, unter denen die Verant­wortlichen bei einer Datenverarbeitung zusammenarbeiten. Liegt eine gemeinsame Verantwortlichkeit vor, so müssen die Verantwortlichen die Vorgaben des Art. 26 DSGVO beachten. Halten sie die Verpflichtungen nicht ein, so können Geldbußen gegen sie verhängt werden (vgl. Art. 83 Abs. 4 lit. a DSGVO).


Das Verständnis der Mechanik ist für die Praxis ganz entscheidend. In Unkenntnis der datenschutz­rechtlichen Regelungen nehmen Verantwortliche (z.B. verantwortliche Unternehmen) oftmals noch an, die gemeinsame Verantwortlichkeit sei für sie nicht relevant, bzw. sei Gegenstand einer zu treffenden (oder nicht zutreffenden) geschäftlichen Entscheidung. Daher werden die sich aus Art. 26 DSGVO ergebenden Verpflichtungen oftmals nicht umgesetzt, womit sich die Verantwortlichen einem Sanktions- und Haftungsrisiko aussetzen.


Voraussetzungen einer gemeinsamen Verantwortlichkeit

Konkret geht es bei der gemeinsamen Verantwortlichkeit um die Frage, ob mehrere Verantwortliche die Zwecke der und die Mittel zur Datenverarbeitung gemeinsam festlegen. Die Beantwortung dieser Frage ist praktisch oftmals schwierig, weil die Voraussetzungen an sehr abstrakte Begriffe (Zweck, Mittel) anknüpfen und eine gemeinsame Verantwortlichkeit in verschiedensten Konstellationen auftreten kann.
 
Zunächst müssen mehrere Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO vorhanden sein. Ist einer der an der Datenverarbeitung Beteiligten kein Verantwortlicher, weil er als Auftragsverarbeiter tätig wird oder er nicht dem Anwendungsbereich der DSGVO unterfällt (etwa weil der Beteiligte ein Unternehmen mit Sitz außerhalb der EU ist und selbst keine Waren oder Dienstleistungen an betroffene Personen in der EU anbietet), kommt eine gemeinsame Verantwortlichkeit nicht in Betracht.

Sind mehrere Verantwortliche an der Datenverarbeitung beteiligt, so ist fraglich ob sie die Zwecke und Mittel der Datenverarbeitung festlegen und ob sie das aufgrund einer gemeinsamen Entscheidung tun.

In der Praxis bereitet die Begrifflichkeit der Festlegung der Zwecke und Mittel nicht selten große Schwierigkeiten. Vereinfacht gesprochen geht es bei dem Zweck um das „ob, wofür und wieweit” einer konkreten Datenverarbeitung, während das Mittel das „wie” einer bestimmten Verarbeitung (z.B. die technischen Methoden) meint.

Gemeinsam ist eine Entscheidung dann, wenn alle Verantwortlichen einen steuernden Einfluss auf die Festlegung der Zwecke und Mittel haben. Fehlt es an einer gemeinsamen Entscheidung, so handelt jeder Verantwortliche allein (i.S.v. Art. 4 Nr. 7 DSGVO).


Bedeutung der gemeinsamen Verantwortlichkeit für die Datenverarbeitung

Wie bereits eingangs dargestellt geht es bei der gemeinsamen Verantwortlichkeit um die Schaffung von Transparenz. Sie verpflichtet zur Klarstellung, wer welche Aufgaben aus der DSGVO erfüllen muss. Sie schafft aber keine eigene Erlaubnis für die Datenverarbeitung. Anders ausgedrückt: gemeinsam Verantwortliche werden gegenüber sonstigen Verantwortlichen nicht privilegiert. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, benötigt er dafür diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (und nach Art. 9 Abs. 2 DSGVO, soweit besondere Kategorien personenbezogener Daten verarbeitet werden). Es wäre also falsch anzunehmen, eine Datenverarbeitung erfolge auf „Grundlage der gemeinsamen Verantwortlichkeit”.


Maßnahmen bei Vorliegen einer gemeinsamen Verantwortlichkeit

Wenn eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorliegt, sind die gemeinsam Verantwort­lichen zum Abschluss eines „Joint Controllership Agreement“ (d.h. einer Vereinbarung nach Art. 26 Abs. 1 DSGVO) verpflichtet. In der Vereinbarung müssen sie in transparenter Form festlegen, wer von ihnen welche in der DS-GVO geregelten Verpflichtungen erfüllt, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO. Die Vereinbarung muss die tatsächlichen Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen „gebührend wiederspiegeln” und das „wesentliche” dieser Vereinbarung muss betroffenen Personen zur Verfügung gestellt werden (vgl. Art. 26 Abs. 2 DSGVO).

Weitere Details zum Inhalt der Vereinbarung gibt die DSGVO nicht vor. Jedoch liegt es im Interesse der Verantwortlichen, das Vertragsverhältnis gründlich auszuarbeiten und insbesondere auch die Haftungsfragen im Innenverhältnis zu klären. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Datenverarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (vgl. Art. 82 Abs. 3 DSGVO). Zwar haften die Verantwortlichen auch ohne ein Joint Controllership Agreement gemeinschaftlich, es hilft aber beim Haftungsausgleich im Innenverhältnis nach Art. 82 Abs. 5 DSGVO. Bei entsprechender Vereinbarung kann also ein in Anspruch genommener gemeinsam Verantwortlicher bei einem anderen gemeinsam Verantwortlichen Regress nehmen.


Mögliche Fallgruppen

In der Praxis kann eine gemeinsame Verantwortlichkeit in verschiedensten Konstellationen auftreten, weshalb eine abschließende Aufzählung nicht möglich ist. Nur beispielhaft soll daher an dieser Stelle eine Aufzählung von möglichen Fällen einer gemeinsamen Verantwortlichkeit wiedergegeben werden, wie sie die sog. Datenschutzkonferenz des Bundes und der Länder vornimmt:
  • Gemeinsame Verwaltung bestimmter Datenkategorien (z.B. Personenstammdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen;
  • Gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen, z.B. gemeinsames Betreiben einer Internet-Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft;
  • Personalvermittlungsdienstleister, der für einen bestimmten Arbeitgeber Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen bei diesem Arbeitgeber gerichtet sind;
  • Klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen.


Fazit

Eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO kann in vielen Konstellationen vorliegen. Oftmals sind sich die an der Datenverarbeitung Beteiligten dieses Umstandes (noch) nicht bewusst. Daher sollten auch bereits bestehende Datenverarbeitungsprozesse auf das Vorliegen eines „Joint Controllerships” hin geprüft werden. Ist eine gemeinsame Verantwortlichkeit gegeben, so müssen die Beteiligten hierzu eine entsprechende Vereinbarung („Joint Controllership Agreement”) abschließen, das auch die Haftung der Beteiligten untereinander regeln sollte. Andernfalls drohen behördliche Sanktionen und ggf. vermeidbare Haftungsrisiken.

Deutschland Weltweit Search Menu