Die DSK (Datenschutzkonferenz) veröffentlicht ein neues Kurzpapier zur Verarbeitung Verantwortliche nach Art. 26 der DSGVO. Das weitere Kurzpapier dient als Orientierungshilf im nicht-öffentlichen Bereichen und soll als Einstiegshilfe für den praktischen Vollzug der DSGO fungieren.
BEGRIFF DER GEMEINSAMEN VERANTWORTLICHKEIT
Die DS-GVO regelt in Art. 26 die „Gemeinsam für die Verarbeitung Verantwortlichen“. Dieses Rechtsinstitut war zwar bereits in der EG-Datenschutzrichtlinie (RL 95/46/EG) angelegt, dort allerdings nicht detailliert ausgestaltet, und spielte in Deutschland bisher – wenn überhaupt – nur eine äußerst geringe Rolle, da es im BDSG-alt nicht ausdrücklich erwähnt war. Daher wird die ausdrückliche Regelung der gemeinsamen Verantwortlichkeit in der DS-GVO gerade für die Praxis in Deutschland erhebliche Auswirkungen haben. An eine objektiv bestehende gemeinsame Verantwortlichkeit sind zukünftig Verpflichtungen geknüpft, deren Nichteinhaltung mit Geldbuße sanktioniert werden kann (vgl. Art. 83 Abs. 4 lit. a).
Gemäß Art. 26 Abs. 1 sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut konsequent auf Art. 4 Nr. 7 auf
KEINE „PRIVILEGIERUNGSWIRKUNG“ DER GEMEINSAMEN VERANTWORTLICHKEIT
Verantwortlichkeit ist keine Befugnis zur Datenverarbeitung. Sie stellt nur klar, wer welche Aufgaben aus der DS-GVO zu erfüllen hat. Art. 26 stellt daher weder eine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, noch braucht es eine Rechtsgrundlage dafür, dass sich mehrere Verantwortliche zusammenschließen. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, braucht er für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 und soweit besondere Kategorien personenbezogener Daten verarbeitet werden nach Art. 9 Abs. 2 . Die Übermittlung personenbezogener Daten unter gemeinsam Verantwortlichen ist ein eigener Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DS-GVO und bedarf als solcher einer Rechtsgrundlage.
ABGRENZUNG ZU ANDEREN FALLGESTALTUNGEN
Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28, und von einer Übermittlung personenbezogener Daten an einen Verantwortlichen, bei der die Beteiligten die Zwecke und Mittel der Verarbeitung nicht gemeinsam festlegen. Für Deutschland besteht zudem Klärungsbedarf bezüglich der sog. Funktionsübertragung, einer bisherigen deutschen „Besonderheit“.
GEMEINSAME ENTSCHEIDUNG ÜBER ZWECKE UND MITTEL DER VERARBEITUNG
Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert jedoch nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt. Auch ist keine vollständig gleichrangige Kontrolle durch alle Beteiligten erforderlich.
BESONDERE VERPFLICHTUNGEN GEMEINSAM VERANTWORTLICHER
Art. 26 legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DS-GVO geltenden Pflichten hinausgehen. Dadurch soll die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden. Die gemeinsam Verantwortlichen müssen eine Vereinbarung abschließen, in der sie in transparenter Form festlegen, wer von ihnen welche in der DSGVO geregelten Verpflichtungen erfüllt, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14. Diese Vereinbarung muss die tatsächlichen Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen „gebührend wiederspiegeln“, und das „Wesentliche“ dieser Vereinbarung muss betroffenen Personen zur Verfügung gestellt werden.
ANWENDUNGSFÄLLE:
Gemeinsame Verantwortlichkeit kann angesichts der Komplexität moderner Datenverarbeitungsvorgänge bei sehr unterschiedlichen Fallgestaltungen in Betracht kommen. Es ist nicht möglich, hierzu eine abschließende Liste zu erstellen, vielmehr bedarf es einer gewissen Flexibilität, um einen effektiven Schutz der Rechte und Freiheiten der betroffenen Personen zu gewährleisten. Nachfolgend werden daher ohne Anspruch auf Vollständigkeit einige Fälle aufgezeigt, bei denen – je nach Gestaltung – ggf. gemeinsame Verantwortlichkeit in Betracht kommen kann:
- klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
- gemeinsame Verwaltung bestimmter Datenkategorien (z. B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen,
- gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen, z. B. gemeinsames Betreiben einer internetgestützten Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft
- E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen; der Betreiber des Portals und die jeweilige Behörde sind gemeinsam Verantwort- Gemeinsam für die Verarbeitung Verantwortliche Stand: 19.03.2018 Seite 5 liche (WP 169 der Artikel-29-Gruppe, Beispiel Nr. 11)
- Personalvermittlungs-Dienstleister, der für einen Arbeitgeber X Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber X gerichtet sind (WP 169, Beispiel Nr. 6)
- (je nach Gestaltung ggf.) gemeinsamer Informationspool/Warndatei mehrerer Verantwortlicher (z.B. Banken) über säumige Schuldner (WP 169, Beispiel Nr. 13)