Kategorien
Neueste Beiträge
Gemeinsame Verantwortlichkeit gemäß Artikel 26 DSGVO
Wenn man die Bekanntheit spezieller Themen der DSGVO in einer Rangliste einordnen würde, wäre dieses Thema wahrscheinlich einen der letzten Sätze besetzen, weil unbegründeter Weise sehr selten darüber gesprochen und dieser Vertrag dazu gescheut wird: die gemeinsame Verantwortlichkeit gemäß Artikel 26 DSGVO. Der Auftragsverarbeitungsvertrag scheint einfach eine höhere Popularität zu besitzen. Weshalb dies wirklich der Fall ist, ist unklar. Zu vernachlässigen ist der Vertrag zur gemeinsamen Verantwortlichkeit allerdings auf keinen Fall. Auch spätestens seit dem Urteil des EuGH zur gemeinsamen Verantwortlichkeit in Bezug zu Facebook (mehr dazu hier: Rechtssache C‑210/16), sollte klar sein, dass nicht immer eine Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO vorliegt.
Gemeinsame Verantwortlichkeit
Wenn zwei Parteien (bspw. Unternehmen), die in geschäftlichem Kontakt stehen, Daten betroffener Personen verarbeiten und dabei gemeinsam über die Mittel und Zwecke der Verarbeitung entscheiden, liegt eine gemeinsame Verantwortlichkeit vor. Jedoch scheint es leichter zu sein, dies so zu definieren als es dann tatsächlich in der Praxis zu bestimmen. Oftmals hilft es aber schon, wenn die involvierten Verantwortlichen beleuchten, wer beispielsweise über folgende Einzelheiten bestimmt:
1) Zweck(e) und
2) Dauer der Verarbeitung,
3) Datenzugriffsberechtigungen und
4) Art der erhobenen personenbezogenen Daten.
Legt eine der Vertragsparteien diese Einzelheiten fest bzw. kann sie dies ohne die andere(n) Vertragspartei(en) festlegen, so liegt eine Auftragsverarbeitung vor. Entscheiden alle Vertragsparteien darüber, so liegt eine gemeinsame Verantwortlichkeit vor. Die „Leitlinien des EDSB zu den Begriffen „Verantwortlicher“, „Auftragsverarbeiter“ und „gemeinsam Verantwortliche“ nach der Verordnung (EU) 2018/1725“ sind zur datenschutzrechtlichen Bestimmung eines Vertragsverhältnisses ebenfalls eine hilfreiche Quelle (unter Punkt 6, Anhang 1, Seite 36 gibt es auch ein Flussdiagramm, welches durch Fragestellungen zur Antwort führt).
Unterschied zur Auftragsverarbeitung
Im Gegensatz zum Auftragsverarbeitungsvertrag wird hier kein Unternehmen nur zur Auftragserfüllung im Sinne einer Auftragsverarbeitung betraut. Im Fall der gemeinsamen Verantwortlichkeit entscheiden beide Unternehmen gemeinsam, welche Mittel sie nutzen und welche Daten sie verarbeiten müssen, um ein gemeinsames Ziel zu erreichen.
Vertrag gemäß Art. 26 DSGVO
Dieser Vertrag ist zu Teilen der Vereinbarung zur Auftragsverarbeitung ähnlich. So müssen in diesem Vertrag beispielsweise – nicht darauf begrenzt – auch
1) der Gegenstand,
2) die Dauer,
3) die Zwecke,
4) die Art der Verarbeitung festgelegt werden.
Weitere zu bestimmende Details betreffen
5) die Aufteilung der Verarbeitungsschritte und
6) die Datenflüsse.
7) Fortführend wird aber auch vereinbart, wer welche Verpflichtung zu erfüllen hat, wie beispielsweise die Informationspflichten gemäß Artt. 13 & 14 DSGVO.
8) Es ist ebenfalls festzulegen, wer Anfragen betroffener Personen (siehe Art. 15 DSGVO) beantwortet. – Hierbei ist allerdings zu betonen, dass es der betroffenen Person freisteht, selbst zu wählen, an welchen Verantwortlichen sie sich wendet. –
9) Des Weiteren ist festzulegen, welche Vertragspartei eine ggf. erforderliche Datenschutz-Folgenabschätzung erstellt,
10) wer das Verzeichnis von Verarbeitungstätigkeiten führt und
11) welche Partei Anlaufstelle für die Datenschutzaufsichtsbehörde ist.
12) Darüber hinaus ist idealerweise auch die Haftung im Innenverhältnis zu vereinbaren und
13) (eventuelle) Datenschutzbeauftragte oder -koordinatoren zu nennen.
14) Die Vertragsparteien sollten auch nicht vergessen, die technischen und organisatorischen Maßnahmen festzuhalten.
Beispiele für eine gemeinsame Verantwortlichkeit
Eine gemeinsame Verantwortlichkeit liegt bei der Beauftragung einer Personalvermittlung vor. Dabei beauftragt ein Unternehmen (Partei 1) die Personalvermittlung (Partei 2) mit der Suche neuer Beschäftigter. Partei 2 trifft im Zuge der Erfüllung des Auftrags allerdings anhand der von Partei 1 genannten Kriterien eine Vorentscheidung zur Eignung potentieller Beschäftigter. Auch liegt sie selbst fest, wie sie ihre Suche gestaltet. Die finale Entscheidung dabei liegt bei Partei 1.
Bei der Organisation einer gemeinsamen Veranstaltung zwischen einem Catering-Unternehmen (Partei 1) und einer Agentur (Partei 2), kann ebenfalls eine gemeinsame Verantwortlichkeit vorliegen. Die Agentur plant beispielsweise die Gestaltung des Veranstaltungsortes, während das Catering-Unternehmen beispielsweise das Büffet plant oder die Menüfolge festlegt. Dabei können beide Parteien Zugriff auf die Gästeliste und eventueller kulinarischer Vorlieben oder Allergien haben.
Eine gemeinsame Verantwortlichkeit kann zwischen zwei Forschungsunternehmen vorliegen. Beide können einerseits beispielsweise Gegebenheiten für evolutionäre Entwicklungen beim Menschen anhand (hierbei wären es sensible) personenbezogener Daten erforschen, wobei jeder Verantwortlicher ggf. für einen bestimmten Forschungsvorgang zuständig sein kann.
Fazit
Vielleicht wird der Vertrag zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO auch bald an Popularität gewinnen. Bei der datenschutzkonformen Zusammenarbeit ist es auch gleich, ob eine Einrichtung den Vertrag nach Art. 26 DSGVO oder nach Art. 28 Abs. 3 DSGVO bevorzugt. Das jeweilige Vertragsverhältnis ist näher zu betrachten und anhand der Erkenntnisse müssen die Vertragsparteien den jeweils korrekten Vertrag abschließen. Geschieht dies nicht, kann dies zu Abmahnungen oder Bußgeldern führen.
Wir beraten Sie gern hierzu. Kontaktieren Sie uns für weitere Fragen und eine mögliche Zusammenarbeit.