Die Datenschutzgrundverordnung (DSGVO) bringt Neuerungen und Umstellungsbedarf mit sich. Ein Bereich, der vor allem in Deutschland so bisher nicht geregelt war, ist der „Gemeinsam für die Verarbeitung Verantwortliche“, den das bisherige Bundesdatenschutzgesetz (BDSG) so nicht kannte.
Gesetzliche Grundlage
Geregelt ist dieser Bereich in Artikel 26 DSGVO. Sobald zwei oder mehr Stellen gemeinsam über den Zweck und die Mittel der Datenverarbeitung bestimmen, sind sie gemeinsam für die Verarbeitung verantwortlich. Nun hat die Datenschutzkonferenz (DSK), der Zusammenschluss aller unabhängigen Datenschutzbehörden des Bundes und der Länder, ein Kurzpapier zu diesem Thema herausgegeben (Kurzpapier 16 Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DSGVO).
Hierin stellt die DSK erst einmal fest, dass jeder Verantwortliche für seine Datenverarbeitung eine eigene Rechtsgrundlage nach Artikel 6 Absatz 1 bzw. Artikel 9 Absatz 2 benötigt. Auch untereinander sind gemeinsam Verantwortliche Empfänger und die Übermittlung zwischen Ihnen bedarf ebenfalls einer Rechtsgrundlage.
Abgrenzung
Das Kurzpapier stellt klar heraus, dass die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung (Artikel 28 DSGVO) abzugrenzen ist. Bei der Auftragsverarbeitung legen die Beteiligten eben gerade nicht gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Die deutsche Besonderheit der „Funktionsübertragung“ soll es unter der DSGVO damit nicht mehr geben.
Zur Erinnerung
Nach bisheriger Rechtsgrundlage wurde von einer Funktionsübertragung gesprochen, wenn -im Gegensatz zur Auftragsverarbeitung- dem Empfänger ein Spielraum eingeräumt wurde, wie er die Aufgabe erfüllen konnte. Dies hatte zur Folge, dass das BDSG in seiner bisher geltenden Fassung den Auftragnehmer in diesen Fällen eben nicht als Auftragsverarbeiter sondern als (Einzel-) Verantwortlichen für die Datenverarbeitung angesehen hat.
Nach der DSGVO ist nun entscheidend, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet. Von einer gemeinsamen Entscheidung ist auszugehen, wenn alle Beteiligten einen tatsächlichen Einfluss auf die Datenverarbeitung haben. Nicht erforderlich ist hingegen, dass alle Beteiligten eine zu allen Zeiten gegebene umfassende Kontrolle über die Datenverarbeitung haben. Auch wird klargestellt, dass eine gemeinsame Verantwortlichkeit keine gleichrangige Verantwortung bedeutet. In der nach Artikel 26 Absatz 1 geforderten Vereinbarung ist daher auch festzulegen, wer für was verantwortlich ist und wer welche Rolle bei der Verarbeitung übernimmt.
Was in Deutschland bisher unter Funktionsübertragung subsummiert wurde, muss nach der DSGVO nun einem der drei folgenden Fälle zugeordnet werden:
- Auftragsverarbeitung (Artikel 28 DSGVO)
- gemeinsame Verantwortlichkeit (Artikel 26 DSGVO
- „normale“ Übermittlung an einen anderen Verantwortlichen
Mehr Pflichten für die gemeinsam Verantwortlichen als für den einzeln Verantwortlichen
Den gemeinsam Verantwortlichen wird der Abschluss einer Vereinbarung, die transparent darlegt, wer welche Verpflichtungen erfüllt, auferlegt (z.B. Erfüllung der Betroffenenrechte, Verhalten bei Datenpannen).
Die wesentlichen Punkte dieser Vereinbarung müssen dem von der Datenverarbeitung Betroffenen zur Verfügung gestellt werden. Die bloße Erfüllung der Informationspflichten nach Artikel 13 und 14 DSGVO reicht damit nicht aus.
Hilfreiche Liste von Anwendungsfällen
In ihrem Kurzpapier führt die DSK eine Liste mit möglichen Anwendungsfällen einer gemeinsamen Verantwortlichkeit auf. Diese Liste hat zwar keinen Anspruch auf Vollständigkeit, dürfte aber den Praktikern eine Hilfestellung bei der Beurteilung, wann eine gemeinsame Verantwortlichkeit vorliegt, sein. In Betracht kommen kann eine gemeinsame Verantwortlichkeit regelmäßig bei
- klinischen Arzneimittelstudien
- gemeinsamer Verwaltung bestimmter Datenkategorien für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
- gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen
- E-Government-Portale, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen
- Personalvermittlungs-Dienstleister, der für einen Arbeitgeber X Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber X gerichtet sind
- gemeinsamer Informationspool/Warndatei mehrerer Verantwortlicher (z.B. Banken) über säumige Schuldner
Bernd
24. März 2018 @ 21:15
Ziemlich erhellend. Danke für den schönen Bericht, ich habe ihn genossen!!