Was ist diese mysteriöse gemeinsame Verantwortlichkeit?

Wenn mehrere Verantwortliche die Zwecke und Mittel einer Datenverarbeitung gemeinsam bestimmen, besteht eine sogenannte gemeinsame Verantwortlichkeit nach Artikel 26 Datenschutz-Grundverordnung. Das klingt erst einmal sehr abstrakt, findet sich in der Praxis jedoch häufig. Gemeinsam verantwortlich für die Datenverarbeitung sind nicht nur Facebook und Facebook-Fanpagebetreiber, wie der Europäische Gerichtshof in seiner Entscheidung vor drei Jahren im Juni 2018 festgestellt hatte. Eine gemeinsame Verantwortlichkeit kann bei der Durchführung von Studien mit der Beteiligung von Ärzt*innen, Forschungsinstituten und Sponsor*innen oder bei dem gemeinsamen Betrieb einer Infrastruktur bestehen. Die beteiligten Akteure haben alle ein Interesse an der Verarbeitung der Daten im Rahmen dieser Prozesse und bestimmen die Gestaltung des Prozesses, wenn auch nur zu einem kleinen Teil. In diesen Fällen ist stets ein Vertrag zur gemeinsamen Verantwortlichkeit zwischen den Verantwortlichen zu schließen.

In unserem Beratungsalltag begegnen Berater*innen im Datenschutz oft der starken Abneigung gegenüber einem Vertrag zur gemeinsamen Verantwortlichkeit. Gern werden die Tatsachen und der Sachverhalt verdreht, sodass fälschlicherweise eine Situation der Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung angenommen wird. Eine Unterzeichnung des hierbei erforderlichen Vertrags zur Auftragsverarbeitung scheint einfacher. Diesen Vertrag kannten (einige) Akteure bereits vor Geltung der Datenschutz-Grundverordnung. Zudem sind Menschen Neuem gegenüber bekanntlich skeptisch. Dabei gibt es keinen Grund eine gemeinsame Verantwortlichkeit zu fürchten.

Was ist zu tun?

Zuerst sollte die Situation anhand der Gegebenheiten eruiert werden. Welche Partei übernimmt welche Aufgaben? Wer hat welches Interesse an der Datenverarbeitung im Rahmen des Projekts oder Prozesses? Wie ist das Verhältnis untereinander? Hier ist zwischen der Situation einer Auftragsverarbeitung, getrennten Verantwortlichkeit und gemeinsamer Verantwortlichkeit zu unterscheiden. Die eindeutige Zuordnung der Situation zu einer der drei Kategorien ist oft schwierig. Hilfestellungen bieten unsere Blog-Beiträge „Wer ist verantwortlich für eine Datenverarbeitung und wer ist Auftragsverarbeiter?“, „Getrennt, gemeinsam oder im Auftrag?“ oder auch das Kurzpapier Nr. 16 der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK).

Sollte eine Situation der gemeinsamen Verantwortlichkeit festgestellt worden sein, ist der Vertrag zur gemeinsamen Verantwortlichkeit zu gestalten und zu unterzeichnen. Musterverträge gibt es mittlerweile viele. Inhalt und Struktur des Vertrags sind nicht in Stein gemeißelt. Der Vertrag muss dabei kein 20-seitiges Schreckensgespenst sein. Vielmehr sollte der Vertrag einige wesentliche Aspekte enthalten. Artikel 26 Absatz 2 Datenschutz-Grundverordnung verlangt etwas schwammig, dass die Vereinbarung die Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen widerspiegeln sollte. Es sollte in der Vereinbarung klargestellt werden, um welche Datenverarbeitung es sich handelt, welche Daten verarbeitet werden, wer die betroffenen Personengruppen sind und welche Zwecke die Datenverarbeitung erfüllen soll. Zudem sollte aus der Vereinbarung hervorgehen, welcher Verantwortliche welche Verpflichtungen aus der Datenschutz-Grundverordnung übernimmt, z.B. wer den Betroffenen die erforderlichen Datenschutzhinweise zur Verfügung stellt und wer sich um die Wahrung der Betroffenenrechte maßgeblich kümmert. Außerdem ist den Betroffenen nach Artikel 26 Absatz 2 Satz 2 Datenschutz-Grundverordnung der wesentliche Inhalt der Vereinbarung zur Verfügung zu stellen. Es sollte geklärt werden, welcher Verantwortliche diese Aufgabe übernimmt.

Ein Vertrag zur gemeinsamen Verantwortlichkeit ist mit der richtigen Beratung kein Hexenwerk und sollte daher nicht mehr Panik und Abneigung als ein Vertrag zur Auftragsverarbeitung auslösen.

Was ist, wenn wir das nicht tun?

Im Gegensatz kann eine Ignoranz der Situation erhebliche negative Konsequenzen nach sich ziehen, wie folgendes Beispiel zeigt

In seinem Anfang 2021 veröffentlichten 29. Tätigkeitsbericht stellt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar dar, dass ein nicht vorliegender Vertrag zur gemeinsamen Verantwortlichkeit ein Bußgeld kosten kann. Der Fall betraf ein Unternehmen, welches Lehrgänge für Erwachsene anbietet. Im Unternehmensbund wurde gemeinsam eine Kundendatenbank geführt. Jedes Unternehmen des Konzerns konnte die Kundendaten einsehen. Die Rechtmäßigkeit einer gemeinsamen Kundendatenbank sei nach Angaben der Aufsichtsbehörde zweifelhaft, da die Datenschutz-Grundverordnung kein Konzernprivileg zum freieren Austausch von Daten im Konzern kennt. Zweifelsfrei sei jedoch, dass selbst bei dem Vorliegen einer Rechtsgrundlage die verbundenen Unternehmen eine Vereinbarung nach Artikel 26 Datenschutz-Grundverordnung hätten schließen müssen. Für das Fehlen dieses Vertrags wurde eine Geldbuße von 13.000 € verhängt. Ob der Bußgeldbescheid bereits rechtskräftig ist oder das Unternehmen Rechtsmittel gegen den Bescheid eingelegt hat, ist nicht bekannt.

Fazit

Dieser Fall kann als Warnschuss für Unternehmen betrachtet werden, welche ihr Vertragsmanagement haben schleifen lassen oder sich auf die vermeintlich sichere Seite der alt bekannten Auftragsverarbeitung retten wollen. Die Aufsichtsbehörden werten die Datenverarbeitung nach der tatsächlichen und nicht nach der vertraglichen Situation. Unternehmen sollten sich ihre Datenschutzbeauftragten schnappen, die Datenverarbeitungsprozesse, welche andere Beteiligte inkludieren, genau anschauen und die notwendigen Verträge schließen.

Den Sachverhalt des Falls zu dem Bußgeld können Sie im 29. Tätigkeitsbericht des Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, nachlesen (S. 119).

| | , | , ,