Jetzt anrufen: +49-8802-333 06 90
Datenschutz für Ihr Unternehmen
  • Rss
  • Twitter
  • Youtube
  • LinkedIn
  • Blog
    • Datenschutzgesetze
      • Datenschutz Grundverordnung
    • DSGVO – das wichtigste und notwendigste
    • Datenschutzbeauftragter
      • Aufgaben Datenschutzbeauftragter
      • Stellung Datenschutzbeauftragter
      • Interner oder externer Datenschutzbeauftragter?
      • Datenschutzbeauftragten benennen
      • Kosten externer Datenschutzbeauftragter
    • Datenschutzmanagement
    • Auftragsverarbeitung
      • Auftragsverarbeitung erkennen
    • technische und organisatorische Maßnahmen
      • Zutrittskontrolle
      • Zugangskontrolle
      • Zugriffskontrolle
      • Weitergabekontrolle
      • Eingabekontrolle
      • Auftragskontrolle
      • Verfügbarkeitskontrolle
      • Trennungskontrolle
      • Pseudonymisierung
      • Anonymisierung
      • Verschlüsselung
      • DSMS
    • Schutzziele
      • Vertraulichkeit
      • Integrität
      • Verfügbarkeit
      • Belastbarkeit
    • Landesdatenschutzbehörden
  • Datenschutz
    • externer Datenschutzbeauftragter
    • Datenschutzberatung
    • Datenschutzaudit
    • Datenschutzmanagement
    • Datenschutzschulungen
  • Hinweisgeberschutz
    • Hinweisgeberschutzgesetz aktueller Stand
    • Hinweisgeberschutzgesetz kurz erklärt
    • Was ist das Hinweisgeberschutzgesetz?
    • Wann kommt das Hinweisgeberschutzgesetz?
    • Was ist ein Hinweisgeberschutzsystem?
    • allgemeine Anforderungen Hinweisgeberschutzsystem
    • Meldekanäle im Hinweisgeberschutz
    • Hinweisgeberschutzgesetz – Whistleblower-Richtlinie
    • Hinweisgeberschutz und Datenschutz
  • Über uns
    • Kontakt
    • Fachkunde
    • Tätigkeitsregion
    • Netzwerk
  • Suche
  • Menü Menü

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

gemeinsame Verantwortlichkeit

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO wirft immer wieder Fragen auf. Es besteht oft Unsicherheit, wann diese vorliegt und wann es sich um eine Auftragsverarbeitung oder eine alleinige Verantwortlichkeit handelt. In unserem Beitrag erfahren Sie, was die gemeinsame Verantwortlichkeit nach der Datenschutzgrundverordnung auszeichnet und wie eine Abgrenzung zu den anderen Rechtsfiguren der DSGVO aussieht.

Wann liegt eine gemeinsame Verantwortlichkeit vor?

Geregelt wird die gemeinsame Verantwortlichkeit in Art. 26 DSGVO. Gemeinsame Verantwortliche sind nach Art. 26 I 1 DSGVO i.V.m. Art. 4 Nr. 7 DSGVO, zwei oder mehrere Verantwortliche, welche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen.

Wichtiger Punkt ist hierbei, dass jeder der beteiligten Parteien tatsächlich einen Einfluss auf die Datenverarbeitung hat. Unter dem Zweck wird hierbei ein „erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“ verstanden. Mit Mittel ist die „Art und Weise, wie dieses Ergebnis erreicht“ werden soll, gemeint.

Bei der Entscheidung über die Zwecke der Verarbeitung ist die Einstufung in eine gemeinsame Verantwortlichkeit leicht zu treffen. Hingegen sieht es bei den Mittel der Verarbeitung etwas anders aus, zum Beispiel im Falle der Bestimmung von den technischen und organisatorischen Maßnahmen für die Verarbeitung, diese findet auch bei einer Auftragsverarbeitung statt.

Dagegen sind die Entscheidungen zu den „wesentlichen Elementen“ der Mittel für die Verarbeitung, nur von Verantwortlichen zu treffen. Hier ist also Vorsicht bei der Abgrenzung geboten. Welche Daten verarbeitet werden, wer Zugang zu den Daten hat und wie lange Daten verarbeitet werden, bestimmen immer nur die Verantwortlichen.

Damit eine gemeinsame Verantwortlichkeit begründet ist, ist es ausreichend, wenn ein sog. steuernder Einfluss vorhanden ist. Dieser kann sich entweder auf den Zweck oder auf die wesentlichen Mittel der Datenverarbeitung beziehen.

Ein bekanntes Beispiel hierfür sind die Facebook-Fanpages. Facebook legt fest, welche Daten, wie verarbeitet werden, jedoch können Sie als Datenverarbeitung in den Insights bestimmen, welche Daten Sie sehen wollen. Dies ist ausreichend, um eine gemeinsame Verantwortlichkeit zu begründen.

Abgrenzung zur Auftragsverarbeitung

Für die Abgrenzung der gemeinsamen Verantwortung zur Auftragsverarbeitung nach Art. 28 DSGVO ist ein entscheidender Punkt ausschlaggebend: die Weisungsgebundenheit

Der große Unterschied liegt darin, dass nicht wie bei der gemeinsamen Verantwortung, die Verantwortlichen gemeinsam (zusammen) über die Zwecke und Mittel bestimmen. Bei der Auftragsverarbeitung unterwirft sich der Auftragsverarbeiter den Weisungen des Verantwortlichen und richtet sich nach den von diesem bestimmten Mitteln und Zwecken für die Datenverarbeitung.

Ein Auftragsverarbeiter arbeitet nur nach Weisung des Verantwortlichen und entscheidet nicht selbst.

Abgrenzung zur alleinigen Verantwortung

Handeln mehrere zusammen, ohne zusammen die Zwecke und Mittel der Verarbeitung zu bestimmen, so handelt jeder als alleiniger Verantwortlicher.

Eine alleinige Verantwortung liegt zum Beispiel bei der Datenweitergabe vor, wenn hier eigenständige Zwecke des Empfängers vorliegen, wie bei der Hotelbuchung über ein Reisebüro.

Pflichten aus der gemeinsamen Verantwortlichkeit

Aus der gemeinsamen Verantwortung ergeben sich folgende Pflichten:

  • Festlegung der Verantwortlichkeiten hinsichtlich der Betroffenenrechte und Informationspflichten nach Art. 13 und 14 DSGVO. 
  • Abschluss einer Vereinbarung zur gem. Verantwortlichkeit (ein Vertrag ist nicht gefordert)
  • Erfüllung der Informationspflichten insbesondere hinsichtlich der Vereinbarung zur gemeinsamen Verantwortlichkeit
  • Dokumentationspflicht, die Verarbeitung ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen

Haftung und Sanktionen

Haftung 

Die Schadensersatzpflicht ergibt sich bei der gemeinsamen Verantwortung aus Art. 82 IV DSGVO, diese haftet hier als Gesamtschuldner im Sinne von § 840 BGB.

Sanktionen 

Nach § 83 IV lit. a DSGVO werden Verstöße gegen Art. 26 DSGVO mit einem Bußgeld von bis zu 10.000.000 Euro oder 2 % des weltweit erzielten Vorjahresumsatzes geahndet, je nachdem, welcher der Beträge höher ist.

Dabei kann ein Verstoß vorliegen, wenn keine Vereinbarung zur gemeinsamen Verantwortung geschlossen wurde oder die geschlossene nicht den Anforderungen entsprecht. Auch wenn die wesentlichen Bestandteile nicht den betroffenen zur Verfügung gestellt wurden. Bei Verstößen hiergegen, können alle gemeinsam Verantwortlichen, je nach ihren Verschulden, belangt werden.

Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Checkliste gemeinsame Verantwortlichkeit

Folgende Indikatoren sprechen für eine gemeinsame Verantwortlichkeit (mehrere Verantwortliche):

  • Bezogen auf die personenbezogene Verarbeitung wird ein gemeinsamer Zweck mit anderen verfolgt. 
  • Gemeinsame Entscheidung über die „wesentlichen Elemente“ der Mittel der Datenverarbeitung, wie z.B. „Welche Daten werden verarbeitet?“, „Wie lange werden die Daten verarbeitet?“, „Wer hat Zugang zu den Daten?“
  • Entwicklung des Konzepts für die Verarbeitungsvorgänge gemeinsam mit anderen Verantwortlichen
  • Verarbeitung eines anderen Verantwortlichen wird veranlasst/beeinflusst, z.B. durch Festlegung der Selektionskriterien für relevante Daten, und von deren Ergebnissen profitiert
  • Verarbeitung aufgrund einer einheitlichen Datenbasis, z.B. auf Grund einer gemeinsamen Datenbank 
  • Gemeinsame Regeln für das Informationsmanagement mit einem oder mehreren anderen Verantwortlichen 

Jetzt kostenloses Onlinemeeting vereinbaren

E-Mail schreiben

Jetzt E-Mail schreiben

Ihr Berater für Datenschutz

Christian Schröder | CIPP/E | CIPM | Datenschutzbeauftragter | Datenschutzauditor | Informationssicherheitsbeauftragter | BSI IT-Grundschutz-Praktiker

Anrufen

Jetzt anrufen

neueste Beiträge

  • anonyme Meldungen
  • externe Meldestelle des Bundes
  • Software für Ihr Hinweisgeberschutzsystem finden
  • World Whistleblower Day
  • Hinweisgeberschutz unkompliziert umsetzen

Stellen Sie uns jetzt Ihre Frage – testen Sie uns!

Jetzt Frage per E-Mail stellen

zur kostenlosen Erstberatung

Kontakt aufnehmen

Stellen Sie uns Ihre Frage und teilen Sie Ihre Ideen mit uns – wir helfen gerne.

Sie erreichen uns direkt über unser Kontaktformular, per E-Mail, telefonisch, in einem Zoom Meeting oder indem Sie einen Rückruf anfordern.

E-Mail senden

service@datenschutzfachmann.eu

Kontaktformular

Zoom Onlinemeeting

Termin finden und direkt vereinbaren.

Anrufen

08802 333 06 90

Rückruf erhalten

Hinterlassen Sie uns Ihre Telefonnummer, und wir rufen Sie zeitnah zurück.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Hinweisgeberschutzgesetz – Whistleblower-RichtlinieHinweisgeberschutzgesetzGeschäftsführerhaftung bei DatenschutzverstößenGeschäftsführerhaftung bei Datenschutzverstößen
Nach oben scrollen