Bei der Übermittlung von personenbezogenen Daten zwischen Unternehmen oder öffentlichen Stellen unterscheidet das Datenschutzrecht zwischen einer getrennten Verantwortlichkeit, einer gemeinsamen Verantwortlichkeit und einer Auftragsverarbeitung. Die Auftragsverarbeitung war denjenigen bereits bekannt, für die Datenschutz schon vor dem Bußgeldkatalog der Datenschutz-Grundverordnung von Interesse war. Ebenso ist die getrennte Verantwortlichkeit für viele einleuchtend und klar festzustellen. Doch fast zwei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung sind viele Unternehmen und öffentliche Stellen noch immer zögerlich im Falle einer Zusammenarbeit eine gemeinsame Verantwortlichkeit in Betracht zu ziehen. Dabei sind viele vermeintliche Auftragsverarbeitungssituationen solche der gemeinsamen Verantwortlichkeit.
Zuerst sollte ermittelt werden, welches Konstrukt im konkreten Fall zutrifft. Dabei sind ausschließlich die tatsächlichen Gegebenheiten in die Überlegung einzubeziehen. Eine Situation so zurecht zu biegen, dass die allseits beliebte Auftragsverarbeitung das Ergebnis darstellt, hilft im Zweifel nicht. Wie die „Facebook und Fanpagebetreiber-Urteile“, die Kurzpapiere und die Auslegungshilfen der Aufsichtsbehörden zeigen, analysieren die Gerichte und Aufsichtsbehörden die Datenübermittlungen zwischen Akteuren nach dem tatsachlich gegebenen Sachverhalt.
Wer ist verantwortlich?
Wer und wie viele im konkreten Fall für die Datenverarbeitung verantwortlich sind, ist zugegebenermaßen nicht immer leicht zu erkennen. Für eine Datenverarbeitung verantwortlich ist, wer die Zwecke und Mittel der Datenverarbeitung bestimmt. Das bedeutet, wer bestimmt ob die Datenverarbeitung stattfindet und wie diese ausgestaltet ist, treffen die umfassenden Pflichten eines für die Datenverarbeitung Verantwortlichen der Datenschutz-Grundverordnung. Derjenige benötigt für sein Vorhaben eine eigene rechtliche Grundlage.
Auftragsverarbeiter wie z.B. eine Datenträgerentsorgung durch Dienstleister, Fernwartung oder externer Support für Software können als ein verlängerter Arm des Auftraggebers betrachtet werden. Für die Übermittlung von personenbezogenen Daten und die Verarbeitung dieser durch den Auftragsverarbeiter bedarf es in der Regel keiner weiteren Rechtsgrundlage als derjenigen, auf die der Verantwortliche selbst die Verarbeitung stützt. Auftragsverarbeiter verarbeiten die Ihnen übermittelten Daten im Rahmen ihrer Dienstleistung ausschließlich auf Weisung des Auftraggebers. Auftragsverarbeiter haben kein eigenes Interesse an den Daten und nutzen diese nicht zu eigenen Zwecken. Davon gibt es keine Ausnahmen. Auch eine Anonymisierung der Daten des Auftraggebers zur Optimierung der eigenen Dienstleistung ist ein Datenverarbeitungsschritt zu eigenen Zwecken und damit nicht Teil der Auftragsverarbeitung. Für solch eine Datenverarbeitung ist der Dienstleister selbst verantwortlich und er benötigt eine eigene Rechtsgrundlage.
Für eine eigene Verantwortlichkeit des Dienstleisters spricht weiterhin, wenn dem Dienstleister die Daten nicht nur zur Verfügung gestellt werden, sondern die zugrunde liegende fachliche Aufgabe vollständig auf den Dienstleister übertragen wird. Beispiele sind Tätigkeiten von Berufsgeheimnisträgern wie Rechtsanwälten, Wirtschaftsprüfern, Geldtransfers durch Bankinstitute, Inkassobüros mit Forderungsübertragung oder der Brieftransport durch die Post. Außerdem liegt keine Auftragsverarbeitung vor, wenn der Kern des Auftrags sich auf eine andere Tätigkeit als die Verarbeitung von Daten bezieht. Dazu gehören u.a. Reinigungs- oder Handwerkerdienstleistungen in Unternehmen, Fremdsprachenübersetzungen sowie Personenbeförderungen.
Wer gemeinsam mit dem Verantwortlichen bestimmt, ob die Datenverarbeitung stattfindet und wie die Datenverarbeitung ausgestaltet ist, ist gemeinsam verantwortlich. Dies ist z.B. der Fall, wenn mehrere Konzernunternehmen auf die gleiche Datenbank mit Stammdaten von Kunden für bestimmte gleichlaufende Geschäftszwecke zugreifen oder wenn bei klinischen Arzneimittelstudien Sponsoren, Studienzentren und Ärzte gemeinsam über die Datenverarbeitung bestimmen. Die datenschutzrechtliche Verantwortlichkeit muss dabei nicht gleichmäßig verteilt sein. Die DSK erläutert in ihrem Kurzpapier Nr. 16 vom 19.03.2018, dass eine gleichrangige und umfassende Kontrolle des Beteiligten über alle Umstände und Phasen der Datenverarbeitung für die Qualifizierung zur Mitverantwortlichkeit nicht erforderlich ist. Laut der DSK ist es denkbar, dass die Beteiligten nur in bestimmten Phasen z.B. bei der Datenerhebung gemeinsam Verantwortliche sind. Auch die Rechtsprechung geht mit der Ansicht der DSK konform. Der EuGH macht in seiner Entscheidung zur gemeinsamen Verantwortlichkeit bei der Datenverarbeitung durch Webseitenplugins deutlich, dass es ausreicht, wenn der Mitverantwortliche geringfügig die Mittel und Zwecke einer Datenverarbeitung mitbestimmt.
Was ist zu tun?
Bei Situationen der gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung sind die entsprechenden Verträge gemäß Artikel 26 bzw. Artikel 28 Datenschutz-Grundverordnung zu schließen. Stets ist zu überprüfen, ob für die Datenverarbeitung eine rechtliche Grundlage besteht. Kein Vertrag heilt den Umstand, dass eine Datenverarbeitung ohne rechtliche Grundlage rechtswidrig ist.
Bei strittigen Fällen, in denen mehrere Situationen vertretbar erscheinen, empfiehlt es sich die Überlegungen zu dokumentieren und sich für die naheliegendste zu entscheiden. Dann bleibt abzuwarten, wie die Aufsichtsbehörden und Gerichte in der Zukunft ähnliche Situationen bewerten.