Getrennt oder gemeinsam verantwortlich

Wirken mehrere Beteiligte an einer Verarbeitung personenbezogener Daten mit, ist für die Abgrenzung zwischen Auftragsverarbeitung, gemeinsamer Verantwortlichkeit und getrennter Verantwortlichkeit die Beteiligung der Akteure an der Entscheidung über die Zwecke und wesentlichen Mittel der Verarbeitung maßgeblich.

Schon vor Geltungsbeginn der DSGVO erhielten die Aufsichtsbehörden viele Anfragen zu den unterschiedlichsten Praxiskonstellationen der Verarbeitung personenbezogener Daten unter Mitwirkung mehrere Akteure, verbunden mit der Bitte um Einschätzung, ob es sich um Auftragsverarbeitung handele. Unter der DSGVO ist nun verstärkt auch die Abgrenzung zur gemeinsamen Verantwortlichkeit sehr relevant, zumal der Europäische Gerichtshof bereits in mehreren Fällen aus dem Internetbereich eine gemeinsame Verantwortlichkeit bejaht hat.

Wichtige Hinweise für die Einordnung der Akteure als getrennte oder gemeinsame Verantwortliche oder als Auftragsverarbeiter gibt das Leitlinienpapier Nr. 7/2020 des Europäischen Datenschutzausschusses (EDSA), das die maßgeblichen Kriterien für die datenschutzrechtliche Rollenzuweisung erläutert. Das Papier berücksichtigt auch die einschlägigen Entscheidungen des Europäischen Gerichtshofs (EuGH) in den Rechtssachen „Fashion ID“, „Wirtschaftsakademie“ und „Zeugen Jehovas“.

Nach dem Gesetzeswortlaut (Art. 26 DSGVO) liegt eine gemeinsame Verantwortlichkeit vor, wenn zwei oder mehr Verantwortliche die Zwecke und wesentlichen Mittel der Verarbeitung gemeinsam festlegen. Dies wiederum kommt in zwei Varianten vor: in der „einfachen“ Variante verfolgen die Beteiligten einen gemeinsamen Zweck. Gemeinsame Verantwortlichkeit gibt es aber – so der Europäische Gerichtshof – auch dann, wenn mehrere Beteiligte zwar jeweils unterschiedliche Zwecke festlegen, die Zwecke sich jedoch ergänzen, weil die Verarbeitung nur deshalb stattfinden kann, weil jeder Beteiligte jeweils seinen Zweck festgelegt und zudem einen Beitrag zur Festlegung der wesentlichen Mittel der Verarbeitung geleistet hat (etwa einen Social Media Button in seine Webseite eingebunden hat). Die Abgrenzung zur getrennten Verantwortlichkeit ist in dieser zweiten Variante der gemeinsamen Verantwortlichkeit nicht immer ganz einfach.

Der Umstand, dass alle Beteiligten ein wirtschaftliches Interesse an der Verarbeitung haben, reicht für sich gesehen nicht aus, um gemeinsame Verantwortlichkeit zu begründen. Dienstleister, die lediglich Verarbeitungsleistungen gegen Entgelt erbringen, haben zwar naturgemäß hieran ein wirtschaftliches Interesse, sie sind jedoch – soweit sie die Zwecke der Verarbeitung nicht festlegen – nicht (gemeinsam) Verantwortliche, sondern Auftragsverarbeiter. Darauf weist das oben zitierte EDSA-Leitlinienpapier (Rn. 60) ausdrücklich hin. Im Ergebnis bestätigt diese Aussage das von uns schon vor Geltungsbeginn der DSGVO vertretene maßgebliche Abgrenzungskriterium zwischen Verantwortlichkeit und Auftragsverarbeitung. Die größere Herausforderung für die Praxis dürfte es demgegenüber sein, wie oben dargestellt zwischen getrennter und gemeinsamer Verantwortlichkeit zu unterscheiden.

Quelle: BayLDA

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks