Insbesondere bei größeren Konzernen mit mehreren Tochtergesellschaften stellt sich die Frage, wie personenbezogene Daten in datenschutzrechtlich zulässiger Art und Weise ausgetauscht und genutzt werden dürfen. Die EU-Datenschutz-Grundverordnung (DSGVO) stellt dafür die Vorschriften zu gemeinsam Verantwortlichen auf. Diese müssen jedoch bestimmte Voraussetzungen erfüllen und miteinander klare Regelungen treffen.

Voraussetzungen der gemeinsamen Verantwortlichkeit

Kriterien für die Bestimmung der gemeinsam Verantwortlichen

Die gemeinsame Verantwortlichkeit bei der Verarbeitung personenbezogener Daten ist in Art. 4 Nr. 7 DSGVO und Art. 26 Abs. 1 S. 1 DSGVO geregelt. Hiernach müssen die Verantwortlichen gemeinsam sowohl den Zweck als auch die Mittel der Datenverarbeitung festlegen.

Da die DSGVO bisher eine vergleichsweise kurze Lebensspanne hat und mangels einer klaren Rechtsprechung, lassen sich die Kriterien, wann eine gemeinsame Verantwortlichkeit vorliegt, bisher nur grob bestimmen. Zur Überprüfung lohnt es sich immer die Frage zu stellen, ob die Datenverarbeitung ohne die direkte Mitwirkung des jeweils Beteiligten vermutlich anders gestaltet worden wäre als mit ihm. Ein Beispiel:

  1. Verarbeitet ein Unternehmen innerhalb eines Konzernes die Personendaten aller Mitarbeiter von allen konzernangehörigen Unternehmen und analysiert dieses Unternehmen auch die Daten um z. B. einheitliche Löhne, Gehälter oder Arbeitsbeurteilungen für den Gesamtkonzern zu erstellen, liegt eine gemeinsame Verantwortlichkeit vor.
  2. Bestimmen die anderen Unternehmen des Konzerns hingegen, welche Daten an das besagte Unternehmen übermittelt werden und was mit diesen Daten zu geschehen hat – fungiert dieses Unternehmen sozusagen als „verlängerter Arm“ der anderen -, so liegt keine gemeinsame Verantwortlichkeit vor.

Entscheidend ist außerdem die klare Festlegung der Verantwortlichkeiten zwischen den Beteiligten, (Erwägungsgrund 79 DSGVO 2. Hs.) Allerdings reicht es nicht, wenn die Verantwortlichkeiten auf dem Papier, also vertraglich, klar geregelt sind. Es kommt dementgegen mehr auf die tatsächliche Einflussmöglichkeit hinsichtlich der Datenverarbeitung des jeweils Beteiligten an, wie auch die o. g. Prüffrage nahelegt. Das heißt allerdings nicht, dass alle Beteiligten Einfluss auf jeden einzelnen Datenverarbeitungsprozess haben müssen.

Nun taugen die o. g. Gedankengänge nur als Grundgerüst. Denn Art. 26 DSGVO ist sehr flexibel anwendbar. Im „horizontalen Verhältnis“ können z. B. eine Konzernmutter und ihre Tochtergesellschaft gemeinsam Verantwortliche sein, wenn sie eine gemeinsame Datenbank zur Verarbeitung personenbezogener Daten betreiben bzw. nutzen (Erwägungsgrund 92 DSGVO).

Ebenso ist es nicht erforderlich, dass die Beteiligten jeweils zu gleichen Teilen Zweck und Mittel des gemeinsamen Verarbeitungsziels beeinflussen müssen. So kann eine gemeinsame Verantwortlichkeit vorliegen, wenn bei einer Einzelbetrachtung der Prozessschritte jeder Verantwortliche für sich allein verantwortlich scheint. Wenn man dann aber auf den gesamten Verarbeitungsprozess schaut, handelt es sich um eine „Verarbeitungskette“ und eine gemeinsame Verantwortlichkeit läge vor.

Bei Unsicherheiten über die Frage, ob eine gemeinsame Verantwortlichkeit vorliegt, hilft bisweilen ein Blick in die Stellungnahme der Artikel-29-Datenschutzgruppe, die zahlreiche Beispiele aus unterschiedlichsten Wirtschaftsbereichen bereithält.

Eine gemeinsame Verantwortlichkeit kann sich letztlich nicht nur durch die (freiwillige) Zusammenarbeit der Beteiligten ergeben, sondern auch durch eine gesetzliche Anordnung. Das Bundeskriminalamt kann z. B. gemäß § 8 Fluggastdatengesetz mit entsprechenden Stellen in anderen Mitgliedsstaaten der Europäischen Union Fluggastdaten austauschen.

Abgrenzung zum Auftragsverarbeiter

Ein weiteres Kriterium zur Klärung der o. g. Frage ist, ob es sich bei dem jeweiligen Beteiligten möglicherweise um einen Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO i. V. m. Art. 28 DSGVO handelt. Die entscheidende Abgrenzungsfrage ist dabei einerseits, ob der Betreffende weisungsgebunden oder nicht handelt. Im ersten Fall handelt es sich um einen Auftragsverarbeiter. D. h. nur im zweiten Fall kommt ein Verantwortlicher und darauf aufbauend eine gemeinsame Verantwortlichkeit in Betracht. Andererseits verarbeitet der Auftragsverarbeiter personenbezogene Daten nur zur Erfüllung seiner vertraglichen Pflichten.

Konkrete Handlungspflichten gemeinsam Verantwortlicher

Vereinbarung über gemeinsame Verarbeitung

Soweit eine gemeinsame Verantwortlichkeit vorliegt, muss nach Art. 26 Abs. 1 S. 2 DSGVO eine Vereinbarung zwischen den Verantwortlichen abgeschlossen werden. Das Gesetz schreibt dabei zwar keine bestimmte Form vor. Mit Blick auf etwaige Informationspflichten gegenüber dem Betroffenen gem. Art. 26 Abs. 2 S. 2 DSGVO und drohende Geldbußen (siehe unten) sollte jedoch mindestens eine Regelung in Textform, besser noch in Schriftform abgeschlossen werden (Textform meint, dass die Vereinbarung schriftlich fixiert wird. Bei der Schriftform bedarf es zusätzlich noch einer eigenhändigen Unterschrift).

Als Mindestinhalt sollte die Vereinbarung die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber dem Betroffenen nach Art. 26 Abs. 2 S. 1 DSGVO beinhalten. Darüber hinaus sollte die Verteilung der Verantwortlichkeiten der jeweils Beteiligten definiert werden. Gibt es eine gesetzliche Regelung, die diese Pflichten des Verantwortlichen festschreibt, geht diese vor.

Es empfiehlt sich, die folgenden Inhalte in der Vereinbarung zu berücksichtigen:

  1. Beschreibung der Datenverarbeitung, siehe dazu Art. 28 Abs. 3 S. 1 Hs. 2 DSGVO,
  2. Phasen, Funktionen und Beziehungen aller gemeinsam Verantwortlichen des gesamten Datenverarbeitungsprozesses,
  3. generelle Beschreibung der Verteilung der datenschutzrechtlichen Verantwortlichkeiten,
  4. eine Festlegung der jeweiligen Rechtmäßigkeitsvoraussetzungen (Beispiel: Um die personenbezogenen Daten des Betroffenen zu verarbeiten, ist dessen Einwilligung erforderlich. Hier sollte festgehalten werden, wer die Einwilligungserklärungen verfasst).
  5. Umgang mit Betroffenenrechten, insbesondere
    • Zuständigkeit für die Informierung der Betroffenen gemäß Art. 13 und 14 DSGVO,
    • Benennung eines gemeinsamen Ansprechpartners für Anfragen und Ausübung der Betroffenenrechte,
    • interne praktische und technische Umsetzung der Betroffenenrechte (Beispiel: Ein Betroffener verlangt, dass seine Daten gelöscht werden. Wie setzt man es um, dass die Daten bei allen Verantwortlichen gelöscht werden?
  6. Vereinbarung über technisch-organisatorische Maßnahmen (Art. 32 DSGVO),
  7. Klärung der Zusammenarbeit bzgl. einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
  8. Zusammenarbeit bei Feststellung, Behandlung und Meldung von Datenschutzverletzungen, (Art. 33 und 34 DSGVO),
  9. Nennung von gegenseitigen Ansprechpartnern für den Datenschutz und Vereinbarung von Notfall- und Eskalationsmechanismen (z. B. im Falle von Datenschutzverletzungen oder Behördenanfragen),
  10. Pflichten zur gegenseitigen Übermittlung von Informationen (z. B. für die Erstellung von Verarbeitungsverzeichnissen),
  11. bei internationalen Übermittlungen Festlegung der eingesetzten Mechanismen und Verantwortlichkeiten (werden Daten in ein Land außerhalb der EU übermittelt, so ist der Betroffene gem. Art. 44 ff. EU DSGVO hierüber zu informieren, hier ist insbesondere Art. 47 EU DSGVO zu beachten),
  12. Regelungen zum Change-Management (wie wird auf den Datenschutz betreffende Änderungen reagiert?) sowie
  13. Regelungen zum Haftungsausgleich im Innenverhältnis (Art 82 DSGVO).

Weiterführend sei bzgl. der zu regelnden Inhalte, insbesondere bei konzerninternen Datenübermittlungen, noch auf den Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des Regierungspräsidiums Wiesbaden verwiesen.

Informierung des Betroffenen

Dem Betroffenen ist nach Art. 26 Abs. 2 S. 2 DSGVO „das Wesentliche der Vereinbarung zur Verfügung zu stellen“. Da das Gesetz hierfür keine bestimmte Form vorsieht, sollte es ausreichen, die entsprechenden Ausführungen hierzu in die Datenschutzrichtlinie zu integrieren (Erwägungsgrund 58 DSGVO S. 2).

Es bleibt die Frage offen, was das für den Betroffenen Wesentliche ist, worüber er also informiert werden muss. Einerseits sollte er über die Art der Zusammenarbeit sowie insbesondere darüber informiert werden, welche Daten zwischen den Beteiligten ausgetauscht werden. Andererseits sollte ihm erläutert werden, wie und gegenüber wem er seine Betroffenenrechte ausüben kann.

Achtung: Unabhängig von den in der Vereinbarung getroffenen Regelungen kann der Betroffene seine Rechte nach Art. 26 Abs. 3 DSGVO grundsätzlich gegenüber jedem Verantwortlichen geltend machen.

Haftungsrisiken für gemeinsam Verantwortliche

Grundlegend sollte zunächst klar sein, dass die gemeinsame Verantwortlichkeit gem. Art. 82 Abs. 2 S. 1, Abs. 4 DSGVO zu einer gesamtschuldnerischen Haftung führen kann. D. h. der Betroffene kann den ihm entstandenen Schaden von jedem Verantwortlichen voll ersetzt verlangen. Der zahlende Verantwortliche kann sich dann natürlich an seine Mitstreiter wenden, um den gezahlten Gesamtbetrag anteilig von diesen zurückzubekommen. Umso wichtiger ist es, eine klare Regelung für den „Innenausgleich“ zu treffen.

Das zweite Risiko sind Geldbußen, die durch eine Aufsichtsbehörde nach Art. 83 Abs. 4 lit. a) DSGVO gegenüber den gemeinsam Verantwortlichen verhängt werden können. Beispielsweise kann die Aufsichtsbehörde ein Bußgeld verhängen, wenn eine gemeinsame Verantwortlichkeit vorliegt und zwischen den Beteiligten keine Vereinbarung i.S.v. Art. 26 Abs. 2 S. 1 DSGVO abgeschlossen wurde. Das Bußgeld kann bis zu 10 Mio. Euro betragen oder aber 2 % des gesamten weltweit erzielten Jahresumsatzes – je nachdem welcher Betrag höher ist.

Fazit: Ordentliche Vereinbarungen und tatsächliche Zusammenarbeit

Die klare Regelung zu gemeinsam Verantwortlichen sollte gerade für Konzerne von Interesse sein, die Daten zwischen ihren verschiedenen Gesellschaften transferieren. Entscheidend ist dabei allerdings eine ordnungsgemäß gestaltete Vereinbarung zwischen den Beteiligten und – was noch viel wichtiger ist –, dass tatsächlich mindestens zwei Verantwortliche im Sinne von Art. 26 DSGVO miteinander personenbezogene Daten verarbeiten.

Bitte bewerten Sie diese Inhalte!
[1 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.