Wie sich aus Art. 26 der Datenschutz-Grundverordnung (DSGVO) ergibt, ist die gemeinsame Verantwortlichkeit immer dann einschlägig, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Auch wenn die Rechtsvorschrift wohl jedem Datenschützer bekannt sein wird, ist davon auszugehen, dass der Umgang damit weitaus weniger vertraut ist, als bspw. mit der Auftragsverarbeitung (Art. 28 DSGVO).
Der Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) veröffentlichte daher am 17. Juni 2024 seine Orientierungshilfe „Gemeinsamen Verantwortlichkeit“, welche zum Ziel hat, bestehende „Berührungsängste“ abzubauen und den Unsicherheiten im Umgang mit dem Rechtsinstrument der gemeinsamen Verantwortlichkeit entgegenzuwirken. Der BayLfD ist in Bayern als Datenschutzaufsichtsbehörde zuständig für die öffentliche Verwaltung, dementsprechend sind die Beispiele in der Orientierungshilfe gewählt und auch die Handlungsempfehlungen richten sich an Verantwortliche aus dem öffentlichen Bereich.
Der nachfolgende Beitrag soll einen Überblick über Struktur und Inhalt der Orientierungshilfe geben.
Voraussetzungen der gemeinsamen Verantwortlichkeit
Bei der Beurteilung der Verantwortlichkeit spielen grundsätzlich verschiedene Faktoren eine Rolle, welche in Abschnitt II der Orientierungshilfe dargestellt werden:
- Kategorie des Verantwortlichen: Wer als Verantwortlicher gilt, wird in Art. 4 Nr. 7 DSGVO definiert.
- Entscheidungsbefugnis: Diese kann sich aus gesetzlichen Vorschriften, einer implizierten Zuständigkeit oder tatsächlichem Einfluss ergeben.
- Gemeinsame Entscheidung: Entscheidend ist, dass die Parteien gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden.
Wir berichteten in der Vergangenheit ebenfalls über die einzelnen Voraussetzungen und deren Abgrenzung zu anderen datenschutzrechtlichen Konstellationen.
So weit, so gut – doch was in der Theorie einfach klingt, kann in der Praxis zu erheblichen Schwierigkeiten führen. Insbesondere, wenn sich die Frage nach der Entscheidungsbefugnis nicht anhand gesetzlicher Regelungen oder implizierter Zuständigkeiten klären lässt, muss der Einfluss der Beteiligten anhand der tatsächlichen Umstände beurteilt werden. Und auch die Frage danach, wann eine Entscheidung als „gemeinsam“ eingeordnet werden kann, ist in der Praxis nicht immer leicht zu beantworten. Um hier ein wenig Licht ins Dunkel zu bringen, werden die einzelnen Voraussetzungen ausführlich beschrieben und anhand von Fallbeispielen greifbarer gemacht.
Beispiele für eine gemeinsamen Verantwortlichkeit
In Abschnitt III der Orientierungshilfe werden exemplarisch Konstellationen einer gemeinsamen Verantwortlichkeit dargestellt, welche für den öffentlichen Sektor von besonderer Relevanz sind. Als Beispiel genannt werden: gesetzlich angeordnete Fälle, E-Government, behördliche Verbunddateien, Kooperationen von Hochschulen und Forschungseinrichtungen, Kooperationen im Bereich der Justiz, Veranstaltungen, an denen mehrere öffentliche Stellen beteiligt sind sowie die Nutzung von Social Media und Kommunikationsdiensten.
Abgrenzung zu anderen Verarbeiterrollen
Unter Berücksichtigung möglicher Konsequenzen und Sanktionen wird in Abschnitt IV eine Abgrenzung vorgenommen zwischen der gemeinsamen Verantwortlichkeit und den datenschutzrechtlichen Konstellationen, in welchen eine Einzelverantwortlichkeit, eine Auftragsverarbeitung, eine Datenübermittlung an Dritte oder sogar gar keine Verantwortlichkeit vorliegt.
Hierbei ist insbesondere auf die ausführliche Abgrenzung zum Mitarbeiterexzess hinzuweisen, welcher in Orientierungshilfen anderer Behörden bisher keine (ausführliche) Berücksichtigung fand. In diesem Zusammenhang bezieht die Aufsichtsbehörde klar Stellung: Mitarbeiter, welche „[…] Daten, auf die sie nur für dienstliche Zwecke zugreifen dürfen, für rein private Zwecke verwenden“ (Rn.101), werden auf Grund dieser zweckwidrigen Verwendung von Daten nicht zu datenschutzrechtlichen Verantwortlichen. Argumente für diese Ansicht sieht der BayLfD in der mangelnden Entscheidungsbefugnis hinsichtlich der Zwecke und Mittel der Datenverarbeitung – eine solche habe der Beschäftigte auch dann nicht, „[…] wenn er dienstliche Daten für private Zwecke missbraucht“ (Rn.104). Unterstützt wird diese Einschätzung laut BayLfD durch den Wortlaut des Art. 29 DSGVO – im Gegensatz zu Art. 28 Abs.10 DSGVO sieht dieser die Änderung der Verantwortlichkeit bei rechtswidriger Handlung nicht vor.
Rechtsfolgen der gemeinsamen Verantwortlichkeit
In Abschnitt V wird ausführlich auf die rechtlichen Folgen der gemeinsamen Verantwortlichkeit eingegangen, wobei die aktuelle Rechtsprechung Berücksichtigung findet. Der Abschnitt enthält dabei im Wesentlichen keine Neuerungen im Vergleich zu anderen Orientierungshilfen, formuliert Vorgaben jedoch klar und präzise. So wird deutlich, dass Verantwortliche durch klare Regelungen und Vereinbarungen nicht nur die Transparenz und Sicherheit der Datenverarbeitung erhöhen, sondern auch gleichzeitig ihre Haftungsrisiken erheblich senken. Die Praxis zeigt, dass eine sorgfältige Dokumentation und Abgrenzung der Verantwortlichkeiten essenziell sind, um den Anforderungen der DSGVO gerecht zu werden. Aus Sicht der Betroffenen bedeutet die gemeinsame Verantwortlichkeit grundsätzlich eine Verbesserung ihrer Rechtsposition, da sie ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen können.
Fazit
Die Orientierungshilfe bietet eine gute Zusammenfassung der relevanten Aspekte, die bei der Beurteilung einer gemeinsamen Verantwortlichkeit zu berücksichtigen ist. Zudem wird deutlich, dass „[…] in der Rechtswirklichkeit – gerade aufgrund der zunehmenden digitalen Zusammenarbeit – weit mehr Anwendungsfälle für eine gemeinsamen Verantwortlichkeit in Betracht kommen, als dies derzeit […] den Anschein hat.“ (Rn. 206)
Eine gründliche Auseinandersetzung mit dem Konstrukt kann daher nur empfohlen werden. Gerne unterstützen wir sowohl öffentliche Einrichtungen als auch privatwirtschaftliche Unternehmen im Rahmen unserer datenschutzrechtlichen Beratungsleistungen auch bei Fragestellungen im Zusammenhang mit der gemeinsamen Verantwortlichkeit.