Der Europäische Datenschutzausschuss (EDSA) hat am 02.09.2020 eine erste Version einer Leitlinie zu den Konzepten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters in der DSGVO verabschiedet, die wir hier kurz vorstellen wollen. Die Leitlinie ist derzeit nur in englischer Sprache verfügbar. Die veröffentlichte, erste Version der Leitlinie ist Gegenstand einer öffentlichen Konsultation. Bis zum 19.10.2020 besteht die Möglichkeit, dem EDSA Kommentare zukommen zu lassen.

Die neue Leitlinie soll das WP 169 der Article 29 Working Party vom 16.02.2010 ersetzen und baut in weiten Teilen auf den Definitionen und Feststellungen des Working Papers auf, entwickelt diese jedoch unter Nennung einiger Fallbeispiele weiter. Insbesondere wird ein Schwerpunkt auf das mit der DSGVO neu geregelte Konzept der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO gesetzt. Dies ist grundsätzlich begrüßenswert, da die Rechtsfigur der gemeinsamen Verantwortlichkeit in der Praxis immer wieder zu Verunsicherung und Abgrenzungsproblemen führt.

Wie der EDSA einführend erläutert, spielt die Frage, wer für eine Datenverarbeitung verantwortlich ist im Zusammenspiel mit der Frage, wer unter welchen Bedingungen Auftragsverarbeiter ist,  eine entscheidende Rolle bei der Anwendung der DSGVO, da diese Fragen bestimmen, wer für die Einhaltung der verschiedenen Datenschutzregelungen verantwortlich ist und wie die Betroffenen ihre Rechte in der Praxis ausüben können. Aus diesem Grund führt der EDSA weiter aus, dass es von großer Bedeutung ist, dass die exakte Bedeutung dieser Konzepte und die Kriterien für ihre richtige Anwendung in der gesamten Europäischen Union und im gesamten EWR hinreichend klar sind.

Strukturiert ist die Leitlinie in zwei Teile.

In Teil I werden die verschiedenen Konzepte des Verantwortlichen Art. 4 Nr. 7 DSGVO, der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO , der Auftragsverarbeiter nach Art. 28 DSGVO sowie die Konzepte eines Dritten (Art. 4 Nr.10) sowie eines Empfängers  (Art. 4 Nr.9 DSGVO) erörtert.

Teil II enthält dann Ausführungen zu den Konsequenzen, die die Zuweisung der o.g. Rollen mit sich bringt.

Teil I: Rechtliche Konzepte

In Erörterung der Frage, wer im Rahmen der Rollenzuweisung der DSGVO (Verantwortlicher/ Auftragsverarbeiter, etc.) verantwortlich für die Einhaltung datenschutzrechtlicher Compliance sein soll und wie Betroffene ihre Rechte in der Praxis ausüben können, stellt der Leitlinienentwurf klar, dass die DSGVO insoweit ein funktionales Konzept beinhaltet. Ziel der DSGVO sei, die Verantwortlichkeiten entsprechend den tatsächlichen Rollen der Parteien zuzuweisen. Es kommt daher insbesondere nicht darauf an, welche Rollen sich Vertragsparteien in ihren Verträgen zuweisen, sondern darauf, was sie tatsächlich tun.

Bei den Konzepten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters handelt es sich um autonome Konzepte, die – auch wenn externe (nationale) rechtliche Quellen zur Identifizierung desjenigen, der für die Verarbeitung verantwortlich ist, beitragen können – in erster Linie im Einklang mit dem EU-Datenschutzrecht ausgelegt werden sollten.

Ein Verantwortlicher ist danach verantwortlich für die Compliance nach den in Art. 5 Abs.1 DSGVO genannten Prinzipien und sollte in der Lage sein, diese Compliance auch nachweisen zu können.

Der Verantwortliche entscheidet über das „Warum“ und das „Wie“ der Datenverarbeitung (mithin über beides: den Zweck und die Mittel). Der EDSA führt insofern aber aus, dass ein Auftragsverarbeiter über sog. „nicht-wesentliche Mittel“, bspw. über Details der gewählten TOMs entscheiden darf, ohne dass dies seine Rolle als Auftragsverarbeiter zwingend beeinflusst.

Bei der Gemeinsamen Verantwortlichkeit entscheiden zwei oder mehr Einheiten über die Zwecke und Mittel. Dies kann gemeinsam oder konvergierend erfolgen. Letzteres meint, dass sich die Entscheidungen insoweit ergänzen, als dass die eine Datenverarbeitung ohne die andere nicht denkbar/ nicht möglich wäre.

Der Auftragsverarbeiter weist zwei wesentliche Merkmale auf. Er wird auf Weisung tätig und es handelt sich bei ihm um eine in Bezug zum Verantwortlichen separate Einheit (er ist bspw. kein Mitarbeiter des Verantwortlichen). Kleinere Entscheidungen sind jedoch möglich, s.o.

Die in der DSGVO enthaltenen Konzepte von Empfängern und Dritten beschreibt der EDSA als relatives Konzept. Dies bedeutet, dass sich ihre Rolle aus ihrer Beziehung zum jeweiligen Verantwortlichen bzw. Auftragsverarbeiter ergibt. Der EDSA stellt fest, dass die Konzepte von Empfängern und Dritten der vorigen Definition der Richtlinie 95/46/ EC entsprechen.

Der Leitlinienentwurf enthält einige Beispiele, wobei wir uns hier praxisnähere Konstellationen und die Klarstellung etwa streitiger Konstellationen gewünscht hätten.

Wichtig ist, dass der EDSA bei den praktischen Fällen betont, dass es sich hierbei typischerweise um die genannten Konstellationen handelt. In jedem Fall seien jedoch die tatsächlich ausgeübten Rollen zu prüfen und zu untersuchen, die dann ggf. zu anderen Rollenzuweisungen führen könnten.

Ebenso betont der EDSA, dass Datenverarbeitungen ggf. in verschiedene Abschnitte aufzuteilen sind. Das meint, dass bspw. bei Nutzung einer gemeinsame Onlineplattform dieser Teil in gemeinsamer Verantwortlichkeit erfolgen kann, der übrige Teil – mithin Datenverarbeitungen außerhalb dieser Plattform – jedoch z.B. in eigener Verantwortlichkeit ausgeübt werden können.

Beispiele eigener Verantwortlichkeit:

  • Rechtsanwaltskanzleien
  • Taxi Service, der eine eigene Online Plattform für die Buchungen benutzt

Konstellationen der Auftragsverarbeitung:

  • Lohn- und Gehaltsabrechnung
  • Hosting Dienstleistungen
  • Marktforschung
  • Allgemeiner IT-Support
  • Cloud Services Dienstleister

Konstellationen gemeinsamer Verantwortlichkeit:

  • Forschungsprojekte verschiedener Institute bei gemeinsam genutzter Online-Plattform
  • Vermarktung eines Co-Markenproduktes aus der Zusammenarbeit zweier Unternehmen, hier in Bezug auf gemeinsam geplante Eventveranstaltung
  • Klinische Studien, wenn das Studienprotokoll gemeinsam erarbeitet wird
  • Headhunter, auch hier andere Konstellationen möglich.

 Keine Gemeinsame Verantwortlichkeit:

  • Übermittlung von Mitarbeiterdaten an Steuerbehörden, da kein gemeinsamer Zweck, keine gemeinsame Entscheidung über Mittel
  • „Kettenverarbeitungen“ – Dies meint sukzessive Datenverarbeitungen mit jeweils eigener Zweckbestimmung
  • Weitere Beispiele in den Guidelines 07/2020, S. 23.

Konstellationen Verantwortlicher zu Verantwortlichem:

  • Bankzahlungen, hier Gehaltszahlungen Arbeitgeber und Bank
  • Steuerberatung/ Buchhaltung: es kommt hier jedoch – im europäischen Kontext – auf die erteilten Weisungen und die jeweilige Rechtslage an
  • Reisebüro (wenn in Zusammenarbeit mit weiteren Dienstleistern wie Hotels, Fluggesellschaften, etc. eine gemeinsame Online-Plattform genutzt wird, ggf. auch hier Gemeinsame Verantwortlichkeit

Konstellation Dritter/ Empfänger

  • Dritter: Reinigungsdienstleister
  • Dritter: Muttergesellschaft, welche Daten verschiedener Tochtergesellschaften für die Erstellung von Mitarbeiterstatistiken erhält
  • Empfänger: Hotels, Fluggesellschaften, etc., die personenbezogene Daten durch ein Reisebüro auf Kundenanfrage übersandt erhalten

Teil II – Konsequenzen der Zuweisung unterschiedlicher Rollen

Der zweite Teil enthält zum Teil interessante Klarstellungen zur Konsequenz der jeweiligen Rollen.

1. Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter

Der EDSA trifft Anmerkungen zu den unterschiedlichen Anforderungen des Art. 28 Abs.3 DSGVO.

Des Weiteren gelten auch für den Auftragsverarbeiter die Vorschriften hinsichtlich der Übermittlung von Daten in Drittländer (Art. 44 ff. DSGVO) in gleicher Weise wie für einen Verantwortlichen. Art. 28 Abs.3 DSGVO legt damit den Auftragsverarbeitern direkte Verpflichtungen auf.

Zu den Anforderungen an den Auftragsverarbeitungsvertrag nach Art. 28 DSGVO führt der EDSA aus, dass der Vertrag nicht nur die Regelungen der DSGVO wiederholen, sondern spezifische, konkrete Informationen enthalten sollte. Die Erteilung der erforderlichen dokumentierten Weisungen und auch eventuelle Aktualisierungen sind ebenfalls nachzuweisen und das Sicherheitsniveau der getroffenen TOMs sollte ins Verhältnis zu der konkreten Datenverarbeitung gesetzt werden. Auftragsverarbeitungsverträge, die vor der DSGVO geschlossen wurden, sind auf DSGVO-Stand zu bringen und insofern zu aktualisieren.

Es fehlen Klarstellungen dazu, ob bspw. im Verhältnis zu Subauftragnehmern es die Verpflichtung des/ der Verantwortlichen oder des Auftragsverarbeiters ist EU-Standardvertragsklauseln mit Subauftragnehmern zu schließen. Dies wäre mit Blick auf Schrems II wünschenswert gewesen.

2. Folgen der Gemeinsamen Verantwortlichkeit

Im Rahmen der Gemeinamen Verantwortlichkeit legt der EDSA besonderen Wert auf die transparente Festlegung der Verantwortlichkeiten, insbesondere im Hinblick auf die Betroffenen, denen möglichst transparent sein soll, wie sie ihre Betroffenenrechte ausüben können.

Insofern wird klargestellt, dass jeder Verantwortliche sicherstellen muss, dass eine rechtliche Grundlage für die entsprechende Datenverarbeitung besteht und er darauf achten muss, dass er nicht über den gemeinsamen Zweck, für den sie ursprünglich erhoben wurden, hinausgeht.

Die Form der Vereinbarung ist in der DSGVO nicht vorgeschrieben, vgl. Art. 26 Abs.1 S.2 DSGVO. Die Empfehlung des EDSA lautet insofern, den Vertrag in Form eines rechtlich bindenden Dokuments zu schließen, um insbesondere auch der aus Art. 5 Abs.2 DSGVO folgenden Rechenschaftspflicht nachzukommen. Aufsichtsbehörden sind an die vertragliche Aufteilung von Verantwortlichkeiten nicht gebunden, sondern können sich an jeden Verantwortlichen wenden.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat zu den Guidelines bereits FAQs veröffentlicht, die die Guidelines ergänzen und zusammenfassen (die FAQs können hier abgerufen werden).

Fazit:

Der Leitlinienentwurf beleuchtet die Rollenzuweisung von Verantwortlichem und Auftragsverarbeitern und enthält hier einige erfreuliche Klarstellungen. Letztlich wird jedoch auch hier das Rad nicht neu erfunden, sondern auf bewährten Konzepten aufgebaut. Weitere Klarstellungen in streitigen Themenbereichen (bspw. etwa für den Bereich der Arbeitnehmerüberlassung) wären jedoch wünschenswert gewesen und würden Klarheit in viele Rechtsbeziehungen bringen.