Zurück zur Übersicht
18.02.2022

Gemeinsame Verantwortlichkeit und Auftragsverarbeitung

Ein Thema, das der Datenschutzaufsicht nach wie vor mit am häufigsten begegnet, ist die gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO. Dies bestätigt über unsere tägliche Arbeit hinaus auch die erhöhte Nachfrage zu Schulungen in diesem Bereich. Spätestens durch die aktuelle Rechtsprechung des Europäischen Gerichtshofs zur Figur und den möglichen Formen der gemeinsamen Verantwortlichkeit sind viele Fragen zur Rollenverteilung, den Rechten und Pflichten der verantwortlichen Stellen sowie zur Vertragsgestaltung in diesem Bereich aufgekommen.

Bereits vor einiger Zeit konnte durch das erste europäische Muster zur Erstellung eines Vertrages über die gemeinsame Verantwortlichkeit die komplexen Vorgaben der DSGVO umsetzbar gemacht werden. Anhand eines konkreten Projekts von öffentlichen und privaten Stellen des Landes war es möglich, die im Rahmen gemeinsamer Verantwortlichkeit relevanten Aspekte herauszuarbeiten und die zugehörigen Schwerpunkte für die Vertragsgestaltung zu identifizieren. In dem Vertragsmuster werden die verschiedenen Verarbeitungsprozesse im Einklang mit der aktuellen Rechtsprechung des Europäischen Gerichtshofs in sogenannte Wirkbereiche aufgeschlüsselt und Hilfestellung für die konkrete Zuordnung der Pflichten der einzelnen Verantwortlichen sowie die transparente Bereitstellung aller notwendigen Informationen an die betroffenen Personen gegeben.

Nicht zuletzt spielt in diesem Zusammenhang auch die Abgrenzung zur Auftragsverarbeitung (Artikel 28 DSGVO) eine große Rolle. Auch hierzu war es uns möglich, ein Vertragsmuster zu erstellen, das praktische Tipps für die Gestaltung von Auftragsverarbeitungsverträgen im Sinne der DSGVO gibt. Es enthält neben Regelungen zur Festlegung der Leistungen des Auftragnehmers auch solche zu den Rechten und Pflichten beider Parteien sowie hilfreiche Passagen für die Inanspruchnahme von Subunternehmen.

Beide Vertragsmuster zur gemeinsamen Verantwortlichkeit sowie zur Auftragsverarbeitung, die durch den LfDI erstellt wurden, erfreuen sich als praktische Hilfestellung erfreulicherweise auch weiterhin größter Aufmerksamkeit.

Der Europäische Datenschutzausschuss hatte außerdem bereits im September 2020 weitere Abhilfe geschaffen, indem er die „Guidelines on the concepts of controller and processor in the GDPR“ – sprich „Leitlinien über die Abgrenzung der Verantwortlichkeiten und des Konzepts der Auftragsverarbeitung“ – verabschiedet hat. Diese wurde im Rahmen einer öffentlichen Konsultation einer erneuten großen Überprüfung unterworfen, in der sich aus Anmerkungen zum Inhalt des Papiers seitens Unternehmen, Verbänden, Privaten, etc. insbesondere der Wunsch nach (noch) konkreteren Definitionen und Abgrenzungen der Verantwortlichkeiten und praktischen Beispielsfällen zur Veranschaulichung ergeben hat. Infolge der Analyse dieser Äußerungen hat der Europäische Datenschutzausschuss im Juli 2021 eine überarbeitete Version der Leitlinien veröffentlicht. Das hat die Stabsstelle Europa unverzüglich zum Anlass genommen, die bereits vor einiger Zeit erstellten FAQs zu den Leitlinien, in denen die Kernaussagen zusammengefasst werden, ebenfalls anzupassen. Der Inhalt der FAQs wurde insgesamt erweitert und aktualisiert, insbesondere wurden die neuen anschaulichen Beispielsfälle aus der Leitlinie ergänzt. Durch die umfassenden, teils ergänzenden Erläuterungen sowie Querverweise auf das Dokument des Europäischen Datenschutzausschusses geben die FAQs nun einen noch besseren Überblick über die komplexen Rechtsfragen zu den Verantwortlichkeiten.

Quelle: LfDI Baden-Württemberg

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks