Gemeinsame Verantwortlichkeit (joint controllership) gemäß Art. 26 DSGVO

Wann wird eine gemeinsame Verantwortlichkeit angenommen und was bedeutet sie für die (gemeinsam) Verantwortlichen?

13.07.2020

Soweit im Rahmen der Verarbeitung personenbezogener Daten mehrere Akteure mitwirken, stellt sich häufig die Frage, ob in einem Einzelfall nicht die sogenannte „gemeinsame Verantwortlichkeit“ anzunehmen wäre. Diese Frage ist von großer Bedeutung, da sich daraus gegebenenfalls weitere datenschutzrechtliche Pflichten ergeben. Denn an eine objektiv gegebene gemeinsame Verantwortlichkeit sind Verpflichtungen geknüpft, deren Nichteinhaltung mit Geldbuße sanktioniert werden kann.

Dabei gestaltet sich die Abgrenzung zu den anderen Arten des Zusammenwirkens mehrerer Datenverarbeiter häufig als schwierig. Die Grenzen sind, wie so oft, fließend.

Welche Arten des Zusammenwirkens gibt es?

Es gibt seit der Geltung der Datenschutz-Grundverordnung (DSGVO) im Wesentlichen folgende Arten des Zusammenwirkens mehrerer Beteiligter an einer Datenverarbeitung:

  • Die Auftragsverarbeitung gemäß Art. 28 DSGVO:
    Hierbei erteilt ein Auftraggeber (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO) einen Auftrag zur Datenverarbeitung gemäß Art. 28 DSGVO an einen Auftragnehmer (Auftragsverarbeiter). Der Auftragsverarbeiter handelt streng nach Weisungen des Verantwortlichen. Einen eigenen Handlungs- oder Entscheidungsspielraum hat der Auftragnehmer nicht oder nur in begrenztem Umfang, denn er bestimmt nicht selbst über Zwecke und Mittel der Verarbeitung. Er erfüllt lediglich die Vorgaben seines Auftraggebers, die im Vorfeld im Rahmen der Auftragserteilung festgelegt wurden.
  • Die gemeinsame Verantwortlichkeit Art. 26 DSGVO:
    Hierbei bestimmt Art. 26 Abs. 1 S. 1 DSGVO, dass soweit zwei oder mehr Verantwortliche die Zwecke der und die Mittel zur Verarbeitung gemeinsam festlegen, eine gemeinsame Verantwortlichkeit vorliegt. Die Definition des Art. 26 Abs. 1 S. 1 DSGVO baut auf Art. 4 Nr. 7 DSGVO auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
  • Die eigenständige Verantwortlichkeit mehrerer Verantwortlicher:
    Hierbei arbeiten mehrere Verantwortliche zwar zusammen an einer Datenverarbeitung, jedoch legt jeder von ihnen selbst die Zwecke der und die Mittel zur Verarbeitung fest, ohne dass die Verantwortlichen sich gegenseitig in diesem Zusammenhang abstimmen. Diese Konstellation wird in der Praxis im Rahmen der Datenübermittlung von einem an einen anderen Verantwortlichen als eine sogenannte „Controller to Controller“-Situation (deutsch: Verantwortlicher zum Verantwortlichen), abgekürzt als C2C, bezeichnet.

Abgrenzung der Fallgestaltungen und Fallbeispiele

Als entscheidendes Merkmal zur Abgrenzung der gemeinsamen Verantwortlichkeit gegenüber den anderen Formen des Zusammenwirkens mehrerer Beteiligter gilt die gemeinsame Festlegung der Zwecke und der Mittel zur Verarbeitung personenbezogener Daten, denn nur soweit dies der Fall ist, kann (und muss) gemeinsame Verantwortlichkeit angenommen werden.

In Abgrenzung hierzu ist das entscheidende Kriterium für das Vorliegen einer Auftragsverarbeitung die Weisungsbindung des Auftragnehmers gegenüber dem Auftraggeber. Nur wenn sich der Auftragsverarbeiter vertraglich (und tatsächlich) den Weisungen des Verantwortlichen unterwirft und lediglich als dessen „verlängerter Arm“ tätig wird, liegt eine Auftragsverarbeitung und keine gemeinsame Verantwortlichkeit (bzw. alleinige Verantwortlichkeit des Auftragsverarbeiters) vor.

Als klassische Beispiele für die Auftragsverarbeitung wären entsprechend der Aufzählung im Kurzpapier Nr. 13 der Datenschutzkonferenz (DSK) folgende Verarbeitungen zu nennen (Kurzfassung):

  • DV-technische Arbeiten durch Rechenzentren,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
  • Werbeadressenverarbeitung in einem Lettershop,
  • Verarbeitung von Kundendaten durch ein Call-Center,
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
  • Datenträgerentsorgung durch Dienstleister,
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
  • Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen, etc.

Sehr hilfreich für die Abgrenzung der Auftragsverarbeitung von anderen Verarbeitungstätigkeiten ist unseres Erachtens auch die Orientierungshilfe des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).

Zu beachten ist hierbei, dass es insbesondere nach Auffassung der Aufsichtsbehörden entscheidend auf die tatsächliche Ausgestaltung des Rechtsverhältnisses ankommt und nicht auf dessen Bezeichnung durch die Parteien in einem Vertragswerk. Wenn also, bei tatsächlichem Vorliegen einer gemeinsamen Verantwortlichkeit, die Parteien aus Vereinfachungsgründen einen Vertrag zur Auftragsverarbeitung vereinbaren, dann wird dadurch aus dem Auftragsverhältnis noch lange keine Auftragsverarbeitung. Vielmehr liegt weiterhin eine gemeinsame Verantwortlichkeit vor, die jedoch fehlerhaft geregelt wird. Dies stellt einen Verstoß gegen die Vorschriften der DSGVO dar uns ist somit bußgeldbewehrt. Eine gemeinsame Verantwortlichkeit liegt immer dann vor, wenn die Zwecke und Mittel der Verarbeitung faktisch nicht nur durch den Verantwortlichen (Auftraggeber), sondern auch durch den Auftragnehmer und in unserem Beispiel angeblichen Auftragsverarbeiter festgelegt werden.

Gegenüber der alleinigen Verantwortlichkeit unterscheidet sich die gemeinsame Verantwortlichkeit insofern, als dass ein oder mehrere andere an der Verarbeitung beteiligte Akteure eigenständige Zwecke mit der Datenverarbeitung verfolgen, ohne dass andere Verantwortliche über diese Zwecke und die Mittel zu ihrer Erreichung mitbestimmen.

Zu solchen allein Verantwortlichen zählen beispielsweise insbesondere die Berufsgeheimnisträger (Steuerberater, Rechtsanwälte,  externe  Betriebsärzte,  Wirtschaftsprüfer), Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer, Postdienste für den Brieftransport, etc. (vgl. Kurzpapier der DSK Nr. 13, S. 4).

Als Beispiele für die gemeinsame Verantwortlichkeit wären entsprechend der Aufzählung im Kurzpapier Nr. 16 der DSK folgende Anwendungsfälle zu nennen (Kurzfassung):

  • klinische Arzneimittelstudien bei mehreren Mitwirkenden (z. B. Sponsor, Studienzentren/ Ärzte),
  • gemeinsame Verwaltung bestimmter Datenkategorien (z. B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen,
  • gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen, z. B. gemeinsames Betreiben einer internetgestützten Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft,
  • E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen.

Was ist bei der gemeinsamen Verantwortlichkeit zu beachten?

Sofern nach der Prüfung der Einzelheiten einer Datenverarbeitungssituation die gemeinsame Verantwortlichkeit angenommen wird, ist gemäß Art 26 Abs. 1 S. 2 DSGVO zwischen den Verantwortlichen eine Vereinbarung zu schließen. In dieser müssen die Verantwortlichen in transparenter Form festlegen, wer von ihnen welche Verpflichtung erfüllt, die die DSGVO ihnen auferlegt. Dabei geht es insbesondere um die Informationspflichten und die Möglichkeit für die jeweilige betroffene Person, ihre Rechte, die ihr aus den datenschutzrechtlichen Bestimmungen zustehen, wahrzunehmen.

Nachdem die Vereinbarung geschlossen wurde, müssen die betroffenen Personen entsprechend den in der Vereinbarung festgelegten Regelungen über die stattfindende Datenverarbeitung gemäß Artt. 12 ff. DSGVO informiert werden.

Zu beachten ist, dass Art. 26 DS-GVO zwar die Modalitäten regelt, wie eine gemeinsame Verantwortlichkeit zu gestalten ist. Die Regelung konstituiert jedoch keine Legitimation zur Datenübermittlung zwischen den beiden gemeinsam Verantwortlichen. Für die Datenübermittlung an einen anderen (gemeinsam) Verantwortlichen bedarf es also weiterhin einer Rechtsgrundlage. Diese findet sich in  Art. 6 Abs. 1 DSGVO. Häufig wird es sich um Art. 6 Abs. 1 lit. f DSGVO, das berechtigte Interesse mindestens eines der Verantwortlichen, handeln.

Ferner ist zu beachten, dass die gemeinsame Verantwortlichkeit nicht voraussetzt, dass jeder der gemeinsam Verantwortlichen hinsichtlich der Verarbeitung identische Einflussmöglichkeiten hat. Gemeinsame Verantwortlichkeit ist damit nicht im Sinne einer gleichwertigen Verantwortlichkeit zu verstehen. Ebenfalls kein maßgebendes Kriterium für die Annahme oder Ablehnung der gemeinsamen Verantwortlichkeit ist der tatsächliche Zugang zu den Daten, die gemeinsam verarbeitet werden. So hat beispielsweise der Europäische Gerichtshof (EuGH) in seinem Urteil vom 05.06.2018 – C-210/06 (Urteil zu Facebook-Fanpages) entschieden, dass obgleich der Fanpage-Betreiber keinen Zugriff auf die Daten hatte, die durch Facebook verarbeitet wurden, und er die Ergebnisse der Verarbeitung nur in anonymisierter Form als Besucherstatistiken erhielt, mit Facebook gemeinsam verantwortlich für die Verarbeitung der Daten der Besucher der Fanpage ist.

Fazit

Die Verantwortlichen, die im Rahmen gemeinsamer Projekte personenbezogene Daten verarbeiten, sollten anhand der oben aufgeführten Kriterien stets sorgfältig prüfen, ob im Rahmen der Durchführung des jeweiligen Projekts eine Auftragsverarbeitung, gemeinsame Verantwortlichkeit oder alleinige Verantwortlichkeit des jeweiligen Verarbeiters vorliegt. Denn nur so können gravierende Fehler bei der Vertragsgestaltung vermieden werden. Wenn bei einer nur oberflächlichen Prüfung eine falsche Verarbeitungssituation angenommen wird, werden falsche oder zumindest in den meisten Fällen unzureichende Verträge bzw. Vereinbarungen geschlossen werden, was, wie bereits erwähnt, mit einem Bußgeldrisiko verbunden wäre.

Sie benötigen Unterstützung bei datenschutzrechtlichen Fragen im Rahmen eines gemeinsamen Projekts mit einem Geschäftspartner? Sprechen Sie uns an, wir helfen Ihnen gerne!