Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO wirft immer wieder Fragen auf. Es besteht oft Unsicherheit, wann diese vorliegt und wann es sich um eine Auftragsverarbeitung oder eine alleinige Verantwortlichkeit handelt. In unserem Beitrag erfahren Sie, was die gemeinsame Verantwortlichkeit nach der Datenschutzgrundverordnung auszeichnet und wie eine Abgrenzung zu den anderen Rechtsfiguren der DSGVO aussieht.
Wann liegt eine gemeinsame Verantwortlichkeit vor?
Geregelt wird die gemeinsame Verantwortlichkeit in Art. 26 DSGVO. Gemeinsame Verantwortliche sind nach Art. 26 I 1 DSGVO i.V.m. Art. 4 Nr. 7 DSGVO, zwei oder mehrere Verantwortliche, welche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen.
Wichtiger Punkt ist hierbei, dass jeder der beteiligten Parteien tatsächlich einen Einfluss auf die Datenverarbeitung hat. Unter dem Zweck wird hierbei ein „erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“ verstanden. Mit Mittel ist die „Art und Weise, wie dieses Ergebnis erreicht“ werden soll, gemeint.
Bei der Entscheidung über die Zwecke der Verarbeitung ist die Einstufung in eine gemeinsame Verantwortlichkeit leicht zu treffen. Hingegen sieht es bei den Mittel der Verarbeitung etwas anders aus, zum Beispiel im Falle der Bestimmung von den technischen und organisatorischen Maßnahmen für die Verarbeitung, diese findet auch bei einer Auftragsverarbeitung statt.
Dagegen sind die Entscheidungen zu den „wesentlichen Elementen“ der Mittel für die Verarbeitung, nur von Verantwortlichen zu treffen. Hier ist also Vorsicht bei der Abgrenzung geboten. Welche Daten verarbeitet werden, wer Zugang zu den Daten hat und wie lange Daten verarbeitet werden, bestimmen immer nur die Verantwortlichen.
Damit eine gemeinsame Verantwortlichkeit begründet ist, ist es ausreichend, wenn ein sog. steuernder Einfluss vorhanden ist. Dieser kann sich entweder auf den Zweck oder auf die wesentlichen Mittel der Datenverarbeitung beziehen.
Ein bekanntes Beispiel hierfür sind die Facebook-Fanpages. Facebook legt fest, welche Daten, wie verarbeitet werden, jedoch können Sie als Datenverarbeitung in den Insights bestimmen, welche Daten Sie sehen wollen. Dies ist ausreichend, um eine gemeinsame Verantwortlichkeit zu begründen.
Abgrenzung zur Auftragsverarbeitung
Für die Abgrenzung der gemeinsamen Verantwortung zur Auftragsverarbeitung nach Art. 28 DSGVO ist ein entscheidender Punkt ausschlaggebend: die Weisungsgebundenheit
Der große Unterschied liegt darin, dass nicht wie bei der gemeinsamen Verantwortung, die Verantwortlichen gemeinsam (zusammen) über die Zwecke und Mittel bestimmen. Bei der Auftragsverarbeitung unterwirft sich der Auftragsverarbeiter den Weisungen des Verantwortlichen und richtet sich nach den von diesem bestimmten Mitteln und Zwecken für die Datenverarbeitung.
Ein Auftragsverarbeiter arbeitet nur nach Weisung des Verantwortlichen und entscheidet nicht selbst.
Abgrenzung zur alleinigen Verantwortung
Handeln mehrere zusammen, ohne zusammen die Zwecke und Mittel der Verarbeitung zu bestimmen, so handelt jeder als alleiniger Verantwortlicher.
Eine alleinige Verantwortung liegt zum Beispiel bei der Datenweitergabe vor, wenn hier eigenständige Zwecke des Empfängers vorliegen, wie bei der Hotelbuchung über ein Reisebüro.
Pflichten aus der gemeinsamen Verantwortlichkeit
Aus der gemeinsamen Verantwortung ergeben sich folgende Pflichten:
- Festlegung der Verantwortlichkeiten hinsichtlich der Betroffenenrechte und Informationspflichten nach Art. 13 und 14 DSGVO.
- Abschluss einer Vereinbarung zur gem. Verantwortlichkeit (ein Vertrag ist nicht gefordert)
- Erfüllung der Informationspflichten insbesondere hinsichtlich der Vereinbarung zur gemeinsamen Verantwortlichkeit
- Dokumentationspflicht, die Verarbeitung ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen
Haftung und Sanktionen
Haftung
Die Schadensersatzpflicht ergibt sich bei der gemeinsamen Verantwortung aus Art. 82 IV DSGVO, diese haftet hier als Gesamtschuldner im Sinne von § 840 BGB.
Sanktionen
Nach § 83 IV lit. a DSGVO werden Verstöße gegen Art. 26 DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro oder 2 % des weltweit erzielten Vorjahresumsatzes geahndet, je nachdem, welcher der Beträge höher ist.
Dabei kann ein Verstoß vorliegen, wenn keine Vereinbarung zur gemeinsamen Verantwortung geschlossen wurde oder die geschlossene nicht den Anforderungen entsprecht. Auch wenn die wesentlichen Bestandteile nicht den betroffenen zur Verfügung gestellt wurden. Bei Verstößen hiergegen, können alle gemeinsam Verantwortlichen, je nach ihren Verschulden, belangt werden.
Checkliste gemeinsame Verantwortlichkeit
Folgende Indikatoren sprechen für eine gemeinsame Verantwortlichkeit (mehrere Verantwortliche):
- Bezogen auf die personenbezogene Verarbeitung wird ein gemeinsamer Zweck mit anderen verfolgt.
- Gemeinsame Entscheidung über die „wesentlichen Elemente“ der Mittel der Datenverarbeitung, wie z.B. „Welche Daten werden verarbeitet?“, „Wie lange werden die Daten verarbeitet?“, „Wer hat Zugang zu den Daten?“
- Entwicklung des Konzepts für die Verarbeitungsvorgänge gemeinsam mit anderen Verantwortlichen
- Verarbeitung eines anderen Verantwortlichen wird veranlasst/beeinflusst, z.B. durch Festlegung der Selektionskriterien für relevante Daten, und von deren Ergebnissen profitiert
- Verarbeitung aufgrund einer einheitlichen Datenbasis, z.B. auf Grund einer gemeinsamen Datenbank
- Gemeinsame Regeln für das Informationsmanagement mit einem oder mehreren anderen Verantwortlichen
