Gemeinsame Verantwortlichkeit: Ein Rechtsinstitut mit großen praktischen Auswirkungen

PrintMailRate-it

zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten


Die gemeinsame Verantwortlichkeit (Joint Controllership) stellte bei Einführung der DSGVO für deutsche Rechtsanwender eine Neuheit dar. In der Praxis hat sie jedoch eher langsam Eingang in das allgemeine Rechtsverständnis gefunden. Jedoch ist die gemeinsame Verantwortlichkeit höchst relevant und erzeugt akuten Handlungsbedarf für die beteiligten Verantwortlichen. Dieser Beitrag behandelt daher die wesentlichen Merkmale des „Joint Controllerships” und dessen Rechtsfolgen.


  

Überblick über die gemeinsame Verantwortlichkeit

Für Anwender des deutschen Rechts stellten sich die „Gemeinsam für die Verarbeitung Verantwortlichen”, geregelt in Art. 26 DSGVO, anfänglich als ein Novum dar – anders als etwa die schon aus dem alten BDSG be­kannten Auftragsdatenverarbeiter (die als „Auftragsverarbeiter” auch Eingang in die DSGVO gefunden haben). Zwar findet sich die gemeinsame Verantwortlichkeit schon in der EG-Datenschutzrichtlinie (RL 95/46/EG), im alten BDSG war sie jedoch nicht enthalten. In der Praxis erfolgen aber Datenverarbeitungen schon längst nicht mehr nur „hierarchisch“ durch einen einzelnen Verantwortlichen, sondern regelmäßig durch mehrere Verant­wortliche, etwa bei dem Betrieb von Datenplattformen. 


Zweck: Transparenz nach außen – und nach innen

Im Kern soll die Regelung der gemeinsamen Verantwortlichkeit Transparenz darüber schaffen, welche Verant­wortlichen wie an einer Datenverarbeitung beteiligt sind und wie sie dafür haften. Dazu müssen die gemein­sa­men Verantwortlichen eine Vereinbarung abschließen, in der die jeweiligen Verpflichtungen in transparenter Form festgelegt werden (vgl. Art. 26 Abs. 1 Satz 2 DSGVO).

Dabei hat die DSGVO einerseits die Betroffenen und die Aufsichtsbehörden im Blick, wenn sie eine „klare Zu­teilung der Verantwortlichkeiten” fordert (vgl. Erwägungsgrund 79). Die Zuteilung muss nach außen gegen­über den betroffenen Personen und den Aufsichtsbehörden erkennbar werden. Gleichzeitig müssen aber auch die beteiligten Parteien untereinander im vornherein ihre Rollen und Verantwortlichkeiten diskutieren, klären und beschreiben. Mithin zwingt die Regelung damit auch zur Transparenz „nach innen”: Die Parteien müssen sich darüber klar werden, wie die – in der Praxis immer komplexer werdende – Gestaltung der Zusammenarbeit konkret aussieht.


Entstehung einer gemeinsamen Verantwortlichkeit

Eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO entsteht – ähnlich wie bei der Auftrags­ver­ar­beitung – kraft Gesetz, wenn ihre Voraussetzungen objektiv vorliegen. Sie kann durch vertragliche Verein­ba­rungen weder ausgeschlossen noch „gekünstelt” geschaffen werden.


Daher kommt es entscheidend auf eine Prüfung der tatsächlichen Umstände an, unter denen die Verant­wort­lichen bei einer Datenverarbeitung zusammenarbeiten. Liegt eine gemeinsame Verantwortlichkeit vor, so müs­sen die Verantwortlichen die Vorgaben des Art. 26 DSGVO beachten. Halten sie die Verpflichtungen nicht ein, so können Geldbußen gegen sie verhängt werden (vgl. Art. 83 Abs. 4 lit. a DSGVO).


Das Verständnis der Mechanik ist für die Praxis ganz entscheidend. In Unkenntnis der datenschutz­rechtlichen Regelungen nehmen Verantwortliche (z.B. verantwortliche Unternehmen) oftmals noch an, die gemeinsame Verantwortlichkeit sei für sie nicht relevant, bzw. sei Gegenstand einer zu treffenden (oder nicht zutreffenden) geschäftlichen Entscheidung. Daher werden die sich aus Art. 26 DSGVO ergebenden Verpflichtungen oftmals nicht umgesetzt, womit sich die Verantwortlichen einem Sanktions- und Haftungsrisiko aussetzen.


Voraussetzungen einer gemeinsamen Verantwortlichkeit

Konkret geht es bei der gemeinsamen Verantwortlichkeit um die Frage, ob mehrere Verantwortliche die Zwecke der und die Mittel zur Datenverarbeitung gemeinsam festlegen. Die Beantwortung dieser Frage ist praktisch oftmals schwierig, weil die Voraussetzungen an sehr abstrakte Begriffe (Zweck, Mittel) anknüpfen und eine gemeinsame Verantwortlichkeit in verschiedensten Konstellationen auftreten kann.
 
Zunächst müssen mehrere Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO vorhanden sein. Ist einer der an der Daten­verarbeitung Beteiligten kein Verantwortlicher, weil er als Auftragsverarbeiter tätig wird oder er nicht dem An­wendungsbereich der DSGVO unterfällt (etwa weil der Beteiligte ein Unternehmen mit Sitz außerhalb der EU ist und selbst keine Waren oder Dienstleistungen an betroffene Personen in der EU anbietet), kommt eine gemein­same Verantwortlichkeit nicht in Betracht.

Sind mehrere Verantwortliche an der Datenverarbeitung beteiligt, so ist fraglich ob sie die Zwecke und Mittel der Datenverarbeitung festlegen und ob sie das aufgrund einer gemeinsamen Entscheidung tun.

In der Praxis bereitet die Begrifflichkeit der Festlegung der Zwecke und Mittel nicht selten große Schwierig­keiten. Vereinfacht gesprochen geht es bei dem Zweck um das „ob, wofür und wieweit” einer konkreten Daten­verarbeitung, während das Mittel das „wie” einer bestimmten Verarbeitung (z.B. die technischen Methoden) meint.

Gemeinsam ist eine Entscheidung dann, wenn alle Verantwortlichen einen steuernden Einfluss auf die Festle­gung der Zwecke und Mittel haben. Fehlt es an einer gemeinsamen Entscheidung, so handelt jeder Verantwortliche allein (i.S.v. Art. 4 Nr. 7 DSGVO).


Bedeutung der gemeinsamen Verantwortlichkeit für die Datenverarbeitung

Wie bereits eingangs dargestellt geht es bei der gemeinsamen Verantwortlichkeit um die Schaffung von Trans­parenz. Sie verpflichtet zur Klarstellung, wer welche Aufgaben aus der DSGVO erfüllen muss. Sie schafft aber keine eigene Erlaubnis für die Datenverarbeitung. Anders ausgedrückt: gemeinsam Verantwortliche werden gegenüber sonstigen Verantwortlichen nicht privilegiert. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, benötigt er dafür diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO (und nach Art. 9 Abs. 2 DSGVO, soweit besondere Kategorien personenbezogener Daten verarbeitet werden). Es wäre also falsch anzunehmen, eine Datenver­ar­beitung erfolge auf „Grundlage der gemeinsamen Verantwortlichkeit”.


Maßnahmen bei Vorliegen einer gemeinsamen Verantwortlichkeit

Wenn eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO vorliegt, sind die gemeinsam Verantwort­lichen zum Abschluss eines „Joint Controllership Agreement“ (d.h. einer Vereinbarung nach Art. 26 Abs. 1 DSGVO) verpflichtet. In der Vereinbarung müssen sie in transparenter Form festlegen, wer von ihnen welche in der DS-GVO geregelten Verpflichtungen erfüllt, insbesondere die Betroffenenrechte und die Infor­ma­tions­pflichten nach Art. 13 und 14 DSGVO. Die Vereinbarung muss die tatsächlichen Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen „gebührend wiederspiegeln” und das „wesentliche” dieser Vereinbarung muss betroffenen Personen zur Verfügung gestellt werden (vgl. Art. 26 Abs. 2 DSGVO).

Weitere Details zum Inhalt der Vereinbarung gibt die DSGVO nicht vor. Jedoch liegt es im Interesse der Verant­wortlichen, das Vertragsverhältnis gründlich auszuarbeiten und insbesondere auch die Haftungsfragen im Innenverhältnis zu klären. Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 DSGVO im Falle rechtswidriger Datenverarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (vgl. Art. 82 Abs. 3 DSGVO). Zwar haften die Verantwortlichen auch ohne ein Joint Controllership Agreement gemeinschaftlich, es hilft aber beim Haftungsausgleich im Innenver­hältnis nach Art. 82 Abs. 5 DSGVO. Bei entsprechender Vereinbarung kann also ein in Anspruch genommener gemeinsam Verantwortlicher bei einem anderen gemeinsam Verantwortlichen Regress nehmen.


Mögliche Fallgruppen

In der Praxis kann eine gemeinsame Verantwortlichkeit in verschiedensten Konstellationen auftreten, weshalb eine abschließende Aufzählung nicht möglich ist. Nur beispielhaft soll daher an dieser Stelle eine Aufzählung von möglichen Fällen einer gemeinsamen Verantwortlichkeit wiedergegeben werden, wie sie die sog. Daten­schutzkonferenz des Bundes und der Länder vornimmt:

  • Gemeinsame Verwaltung bestimmter Datenkategorien (z.B. Personenstammdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen;
  • Gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen, z.B. gemeinsames Betreiben einer Internet-Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft;
  • Personalvermittlungsdienstleister, der für einen bestimmten Arbeitgeber Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen bei diesem Arbeitgeber gerichtet sind;
  • Klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen.

Fazit

Eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO kann in vielen Konstellationen vorliegen. Oftmals sind sich die an der Datenverarbeitung Beteiligten dieses Umstandes nicht bewusst. Daher sollten auch bereits be­stehende Datenverarbeitungsprozesse auf das Vorliegen eines „Joint Controllerships” hin geprüft werden. Ist eine gemeinsame Verantwortlichkeit gegeben, so müssen die Beteiligten hierzu eine entsprechende Verein­ba­rung („Joint Controllership Agreement”) abschließen, das auch die Haftung der Beteiligten untereinander regeln sollte. Andernfalls drohen behördliche Sanktionen und ggf. vermeidbare Haftungsrisiken.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu