Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Gemeinsam für die Verarbeitung Verantwortliche nach der DS-GVO

30. Oktober 2017

Immer dann, wenn personenbezogene Daten an einen Dritten übermittelt werden, bedarf es hierzu einer rechtlichen Grundlage. Insoweit hat sich zwischen dem bisherigen BDSG und der künftig anzuwendenden DS-GVO nichts geändert. Während es jedoch bisher nur zwischen der streng weisungsgebundenen Auftragsdatenverarbeitung und der in Eigenverantwortung durchgeführten Funktionsübertragung zu unterscheiden galt, definiert die DS-GVO eine dritte Variante.

Gemeinsam für die Verarbeitung Verantwortliche

In Art. 26 definiert die DS-GVO die Anforderungen, wenn mehrere Verantwortliche eine Verarbeitung gemeinsam vornehmen. Während das bisherige BDSG eine derartige Konstellation nicht vorsah und es definitionsgemäß immer sowohl einen Auftraggeber als auch einen Auftraggeber geben musste, eröffnet die DS-GVO auch die Möglichkeit, eine Verarbeitung in gemeinsamer Verantwortlichkeit vorzunehmen. In der Literatur findet sich bisher wenig Konkretes zu dieser Art der gemeinsamen Datenverarbeitung, insbesondere fehlt es an Beispielen, welche Art gemeinsamer Datenverarbeitung unter diese Regelung fallen kann. Der Gesetzgeber hat die Abgrenzung dahingehend formuliert, dass eine gemeinsame Verantwortlichkeit immer dann vorliegt, wenn „zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung“ festlegen. Denkbar wären daher Angebote verschiedener Unternehmen, die sich gut ergänzen und daher gemeinsam angeboten werden sollen:

  • verschiedene Handwerker betreiben im Rahmen einer Kooperation eine gemeinsame Internetplattform und bieten darüber ihre Dienstleistungen an;
  • Unternehmen eines Konzerns betreiben eine gemeinsame Webseite;
  • ein Einkaufszentrum betreibt eine Webseite auf der die ansässigen Unternehmen und Geschäfte ihre Waren und Dienstleistungen einstellen können und direkt mit dem Kunden in Kontakt treten können;
  • in bestimmten Fällen wird auch die gemeinsame Datenverarbeitung innerhalb eines Konzerns unter diese Regelung fallen können.

Anforderungen des Gesetzgebers

Für den Gesetzgeber war es insbesondere wichtig, dass die Transparenz der Verarbeitung und die Möglichkeiten für die betroffenen Personen, ihre Betroffenenrechte geltend zu machen unter der Gemeinsamkeit der Verantwortlichkeit nicht verloren gehen. Daher ist eine Vereinbarung zu treffen, in der Folgendes in transparenter Form festgelegt ist:

  • Aufteilung der Verpflichtungen aus der DS-GVO, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht;
  • wer welchen Informationspflichten gemäß den Artikeln 13 und 14 DS-GVO nachkommt;
  • Funktionen und Beziehungen der gemeinsamen Verantwortlichen.

Die wesentlichen Inhalte dieser Vereinbarung sind der betroffenen Person zur Verfügung zu stellen. Ungeachtet der vereinbarten Aufteilungen ist die betroffene Person berechtigt, alle sich aus der DS-GVO ergebenden Rechte gegenüber jedem einzelnen der Verantwortlichen geltend zu machen.

Konzernprivileg

Ob diese Regelung künftig in Konzernen angewandt werden kann, und die bisher in Konzernen häufig übliche Anwendung von Verträgen zur Auftragsverarbeitung zwischen den Unternehmen ersetzen wird, muss die künftige Positionierung der Aufsichtsbehörden oder die Rechtsprechung zeigen. Wir gehen davon aus, dass dies nur in denjenigen Einzelfällen möglich sein wird, in denen tatsächlich eine gemeinsame Verantwortlichkeit für unterschiedliche Verarbeitungen vorliegt. Der klassische Fall, dass beispielsweise eine Holding zentrale Dienstleistungen (Rechenzentrum, Lohn- Gehaltsabrechnung) zur Verfügung stellt, wird wohl weiterhin als Auftragsverarbeitung gemäß Art. 28 DS-GVO anzusehen sein.

Übermitteln Sie personenbezogene Daten an andere Unternehmen oder innerhalb des Konzerns? Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Abgrenzung zwischen Auftragsverarbeitung, Funktionsübertragung oder gemeinsamer Verantwortlichkeit sowie bei der Ausgestaltung der jeweils notwendigen Vereinbarungen.