Wie wir bereits im Dezember 2023 berichteten, zählt die gemeinsame Verantwortlichkeit zu den wohl umstrittensten Bereichen des Datenschutzes. Hier könnte jedoch in 2024 nun Klarheit herrschen – zumindest in Bezug auf die zuständige Aufsichtsbehörde der gemeinsam Verantwortlichen.
Gemeinsam verantwortlich, aber nur eine Aufsichtsbehörde zuständig?
Dies könnte in Zukunft möglich sein. Denn es befindet sich seit August 2023 ein Referentenentwurf des Bundesministeriums des Innern und für Heimat (BMI) zur Änderung des Bundesdatenschutzgesetzes (BDSG) in der Verbändeanhörung. Neben einer Neuausrichtung der Rolle des Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI), einer institutionellen Stärkung der Datenschutzkonferenz und Anpassungen über die Vorschriften zur Videoüberwachung, beinhaltet die Änderung auch die Einführung der Regelung des § 40a BDSG. Diese neue nationale Vorschrift soll die Zuständigkeiten für gemeinsam Verantwortliche regeln.
Aktueller Entwurf des BMI
Der Entwurf des § 40a BDSG für die Zuständigkeit im Rahmen der gemeinsamen Verantwortlichkeit lautet wie folgt:
„Sind Unternehmen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 und mehrere Aufsichtsbehörden für sie zuständig, können die Unternehmen gemeinsam anzeigen, dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Die gemeinsame Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind, und muss die das umsatzstärkste Unternehmen nachweisenden Unterlagen enthalten. Ab dem Zeitpunkt, zu dem die Anzeige im Sinne der Sätze 1 und 2 bei der für das umsatzstärkste Unternehmen zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde. § 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.“
Die Norm nimmt Bezug auf die in Art. 26 DSGVO geregelte gemeinsame Verantwortlichkeit, deren Anwendungsbereich nach der Rechtsprechung des Europäischen Gerichtshofs (vgl. Urteile vom 05.06.2018, Az. C-210/16 „Facebook-Fanpages“, 10.07.2018, Az. C-25/17 „Zeugen Jehovas“, 29.07.2019, Az. C-40/17 „Fashion ID“) sehr weit gefasst ist. So können z. B. Datenplattformen, die Unternehmenspräsenz in sozialen Medien, die Stammdatenverwaltung im Unternehmensverbund, ein konzernweites Customer-Relationship-Management oder die Nutzung eigener Datenbestände für Werbezwecke Dritter unter den Begriff der gemeinsamen Verantwortlichkeit fallen.
Einschlägig ist § 40a BDSG jedoch nur, wenn ein Fall der gemeinsamen Verantwortlichkeit gegeben ist und die gemeinsam verantwortlichen Unternehmen von dieser Möglichkeit Gebrauch machen (wollen). Konkretisiert wird hierdurch ein One-Stop-Verfahren für gemeinsam Verantwortliche im Inland.
Die Zuständigkeit einer einzigen Aufsichtsbehörde und damit eines One-Stop-Verfahrens kennt das Gesetz bisher nur für den Fall von grenzüberschreitenden Datenverarbeitungen durch einen Verantwortlichen bzw. einen Auftragsverarbeiter. Der Art. 56 DSGVO normiert hier die Zuständigkeit einer federführenden Aufsichtsbehörde.
Standpunkt des ehemaligen Landesdatenschutzbeauftragten von Baden-Württemberg
Wie der Tagesspiegel Background berichtete, bezeichnet der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg (LfDI BaWü), Dr. Stefan Brink, die vorgeschlagenen Änderungen des Bundesdatenschutzgesetzes zwar lediglich als ein „Reförmchen“, sieht aber in der Einführung von § 40a BDSG eine durchaus sinnvolle Ergänzung. Vor allem für länderübergreifende Forschungsprojekte erkennt er eine Erleichterung für mehrere gemeinsam verantwortliche Forscher. Bisher erschwerte die Befassung von mehreren Aufsichtsbehörden mit einem Forschungsprojekt nicht selten die Planung und Durchführung von Forschungsvorhaben.
Als Anknüpfungspunkt für eine klare Zuständigkeit der dann allein zuständigen Aufsichtsbehörde den Sitz des Unternehmens mit dem größten Jahresumsatz zu wählen, stößt beim ehemaligen Landesdatenschutzbeauftragten hingegen nicht ganz auf uneingeschränkte Zustimmung. Viel mehr hätte man das Unternehmen mit dem größten Einsatz am Vorhaben als maßgeblich heranziehen oder die gemeinsam Verantwortlichen gleich selbst über die Aufsichtsbehörde entscheiden lassen können.
Änderungen weiterhin möglich
Wie die endgültige Fassung des § 40a BDSG dann schlussendlich lauten mag, bleibt abzuwarten, denn u. a. Kommentare und Stellungnahmen von Interessenverbänden können noch Änderungen am bisherigen Entwurf herbeiführen.