Wenn in der EU agierende Unternehmen im Rahmen einer Zusammenarbeit personenbezogene Daten austauschen und verarbeiten, stellt sich die Frage: Wer haftet für den Datenschutz? Nicht immer liegt eine Auftragsverarbeitung vor. In bestimmten Konstellationen tragen alle Beteiligten die gemeinsame Verantwortlichkeit. Hier ist eine klare Abgrenzung der Begriffe gefragt, um die richtige Vereinbarung zu treffen und Bußgelder zu vermeiden.
Das Wichtigste in Kürze
- Die Auftragsverarbeitung und gemeinsame Verantwortlichkeit regeln, wie personenbezogene Daten verarbeitet werden und wer dafür die Verantwortung trägt.
- Bei einer Auftragsverarbeitung betraut ein Auftraggeber einen Auftragnehmer mit der Verarbeitung personenbezogener Daten zu einem bestimmten Zweck (z. B. lässt ein Unternehmen Werbung mit Kundenadressen von einem Lettershop drucken).
- Der Auftraggeber ist der alleinige Verantwortliche, der Auftragnehmer handelt weisungsgebunden.
- Bei der gemeinsamen Verantwortlichkeit sind mehrere Stellen gemeinsam zuständig (zum Beispiel innerhalb einer Unternehmensgruppe).
- Gemeinsam Verantwortliche müssen im Rahmen einer Vereinbarung festlegen, wer welche in der DS-GVO geregelten Pflichten erfüllt.
- Vertragspartner haften bei gemeinsamer Verantwortlichkeit gesamtschuldnerisch.
In diesem Beitrag
- Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
- Welche Kriterien helfen bei der Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?
- Warum ist eine Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit für Unternehmen wichtig?
- Wer haftet bei der Auftragsverarbeitung bzw. der gemeinsamen Verantwortlichkeit?
- Welche Regelung muss in welchem Fall angewendet werden?
- Wann ist die Vertragsgestaltung besonders kompliziert?
- Was muss bei der konzerninternen Zusammenarbeit bedacht werden?
- Wie sieht die Unterstützung durch den Datenschutz-Beauftragten aus?
- Fazit
Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
Die Auftragsverarbeitung und die gemeinsame Verantwortlichkeit im Sinne der DS-GVO sind ein ungleiches Paar. In beiden Fällen ist eine Vereinbarung zwischen den Verantwortlichen nötig. Doch wer diese Verantwortlichen sind, hängt vom jeweiligen Fall ab. Den Unterschied erkennen Sie daran, welche Datenflüsse vorliegen und wer mit wem Daten austauscht:
a) Bei einem Verhältnis zur Auftragsverarbeitung beauftragt der Verantwortliche einen Auftragnehmer. Der Auftragnehmer ist weisungsgebunden und ist nicht beteiligt an der Entscheidung über die Zwecke und die Mittel der Datenverarbeitung
Beispiel: Ein Unternehmen beauftragt einen Lettershop mit dem Druck personalisierter Werbung und übermittelt ihm dazu die Adressen seiner Kunden. Als Verantwortlicher legt das Unternehmen in einem Auftragsverarbeitungsvertrag (AVV) Zweck (Flyer ausdrucken) und Mittel (geeignete Software) zur Verarbeitung personenbezogener Daten durch den Auftragnehmer fest. Dieser führt dann weisungsgebunden den Auftrag durch.
b) Wenn mehrere Verantwortliche die Verarbeitung der personenbezogenen Daten festlegen, dann greift Art. 26 DS-GVO zur gemeinsamen Verantwortlichkeit. Hier werden die Zwecke der Datenverarbeitung sowie die dafür genutzten Mittel gemeinsam definiert. Eine transparente Vereinbarung regelt dann, wie betroffene Personen ihre Rechte wahrnehmen können.
Beispiel: In einer Organisation übernimmt Unternehmen A die Personalverwaltung für Unternehmen B. Da hier ein gemeinsames Interesse an der Datenverarbeitung vorliegt, legen die zwei Verantwortlichen zusammen Zweck (Personalverwaltung) und Mittel (gemeinsame Personalsoftware) fest. Ein klassischer Fall von Shared Service innerhalb einer Unternehmensgruppe, bei dem in der Regel die gemeinsame Verantwortlichkeit greift.
Welche Kriterien helfen bei der Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?
Eine Abgrenzung der beiden Regelungen kann kompliziert werden. Im Wesentlichen kommt es darauf an, wie die Datenflüsse vorliegen und wer mit wem Daten austauscht. Folgende Fragen verschaffen Ihnen mehr Klarheit darüber, welche Regelung für die Verarbeitung personenbezogener Daten in Ihrem Fall gilt:
- Wer entscheidet, welche Daten erhoben werden?
- Wer bestimmt, wie lange die Daten verarbeitet werden?
- Wer legt fest, wer Zugriff auf die Daten hat?
- Wer entscheidet, für welchen Zweck die Daten verarbeitet werden?
- Wer entscheidet darüber, ob die Daten gelöscht werden dürfen?
Wenn Sie in Ihrer Unternehmenskonstellation mehrere Entscheider ermittelt haben, ist es ein erster Hinweis darauf, dass möglicherweise eine gemeinsame Verantwortlichkeit besteht. Als Nächstes sollten Sie sich an Ihren Datenschutzbeauftragten wenden, um die Verantwortlichkeiten und die zu treffenden Vereinbarungen zwischen allen Beteiligten genauer zu definieren.
Warum ist eine Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit für Unternehmen wichtig?
Bisher gingen viele Unternehmen davon aus, dass bei einer firmenübergreifenden Zusammenarbeit automatisch die Auftragsverarbeitung greift. Spätestens seit dem Inkrafttreten der DS-GVO und einigen bedeutenden Urteilen des EuGHs (z. B. zum Privacy Shield) ist die gemeinsame Verantwortlichkeit in den Fokus gerückt. Auch Aufsichtsbehörden nehmen das Thema immer ernster. Die Regelungen zu kennen und richtig umzusetzen schützt Unternehmen vor Geldstrafen.
Darüber hinaus ist die genaue Trennung auch wichtig für die Klärung der Frage, welches Unternehmen bei Anliegen rund um Datenschutzanfragen und -verstößen haftet. Die Betroffenenrechte können nämlich bei der gemeinsamen Verantwortlichkeit anders geltend gemacht werden und mehrere Beteiligte involvieren.
Und die Konstellationen abzugrenzen, bringt noch einen weiteren Vorteil: Wer sich mit den Datenflüssen im Unternehmen auseinandersetzt, kann die entsprechenden Prozesse entsprechend optimieren und ggf. Schritte bei der Datenverarbeitung einsparen.
Wer haftet bei der Auftragsverarbeitung bzw. der gemeinsamen Verantwortlichkeit?
Bei der Auftragsverarbeitung entscheidet der Verantwortliche, der den Auftrag zur Datenverarbeitung vergibt, über den Zweck der Verarbeitung. Der Auftragnehmer ist ihm gegenüber weisungsgebunden. Die Rechtsgrundlage für die Verarbeitung liegt in der Verantwortung des Auftraggebers. Seine Gesamtverantwortung umfasst auch die Datenverarbeitung durch den Auftragsverarbeiter mit allen rechtlichen Folgen.
Dazu muss der Verantwortliche vor Auftragsvergabe auch prüfen, ob der Auftragsverarbeiter garantiert in der Lage ist, technische und organisatorische Datenschutzmaßnahmen anzuwenden. Zudem muss er klären, ob der Schutz der Rechte der betroffenen Personen gewährleistet wird. Der Auftragsverarbeiter haftet nur, wenn er die personenbezogenen Daten zu Zwecken verarbeitet, die nicht vom Verantwortlichen festgelegt wurden.
Das ist bei der gemeinsamen Verantwortlichkeit anders. Jeder Verantwortliche braucht eine eigene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten. Die Verantwortlichen entscheiden gemeinsam über die Zwecke und Mittel der Verarbeitung und nehmen bestimmenden Einfluss auf die Datenverarbeitung. Dabei können die einzelnen Stellen in einem unterschiedlichen Maß mitbestimmen. Trotzdem haften sie bei rechtswidriger Datenverarbeitung gemeinschaftlich.
Welche Regelung muss in welchem Fall angewendet werden?
Für eine praktische Orientierung, wie sich die Regelungen der DS-GVO auslegen lassen, sind die Kurzpapiere der Datenschutzkonferenz (DSK) hilfreich. Dahinter stehen die unabhängigen Datenschutzbehörden des Bundes und der Länder. Eine detaillierte Auslegung zur Auftragsverarbeitung ist im Kurzpapier Nr. 13 der DSK festgehalten. Nähere Informationen zur gemeinsamen Verantwortlichkeit finden Sie im Kurzpapier Nr. 16 der DSK.
Wann ist die Vertragsgestaltung besonders kompliziert?
Die EU-Datenschutz-Grundverordnung (DS-GVO) muss immer angewendet werden, wenn ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter mit Sitz in der EU beteiligt ist. Dabei ist es nicht relevant, ob die Verarbeitung der personenbezogenen Daten in der EU stattfindet. In diesem Fall muss Ihr Unternehmen aber neben einem wirksamen Vertrag ein angemessenes Schutzniveau durch Garantien wie EU-Standardvertragsklauseln oder Binding Corporate Rules vorweisen.
In diesem Sinne müssen Sie klären, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Wenn die zu verarbeitenden personenbezogenen Daten nicht in der EU erhoben, verarbeitet oder genutzt werden, dann müssen die Verantwortlichen Verträge mit entsprechenden Garantien schließen, die die persönlichen Daten der Betroffenen – wie durch die DS-GVO vorgesehen – schützen.
Was muss bei der konzerninternen Zusammenarbeit bedacht werden?
Eine weitere Herausforderung liegt in der gemeinsamen Verantwortlichkeit bei einer konzerninternen Zusammenarbeit. Wenn die Personal- oder Kundendaten oder die IT zentral organisiert werden, dann sind die Konzerngesellschaften gemeinsam verantwortlich für die Datenverwaltung. Kommen neue Konzerngesellschaften dazu, müssen die Verträge neu geregelt werden, weil die Datenflüsse ergänzt werden.
Wie sieht die Unterstützung durch den Datenschutzbeauftragten aus?
Ein externer Datenschutzbeauftragter kann Unternehmen bei der Klärung der Frage unterstützen, ob in ihrem Fall eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Dazu nimmt er alle Vorgänge zur Datenverarbeitung in ihrer konkreten Konstellation genau unter die Lupe. Außerdem klärt er mit ihnen, ob und inwieweit sie Einwilligungen von Betroffenen einholen und in welchem Rahmen sie diese über die wesentlichen Inhalte der Vereinbarungen informieren müssen.
Fazit
Ob Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vorliegt, hängt davon ab, wer am Austausch und der Verarbeitung der personenbezogenen Daten beteiligt ist. Grundsätzlich gilt: Wer keinen Entscheidungsspielraum hat und nur weisungsgebunden handelt, ist in der Regel ein Auftragsverarbeiter. Verantwortlich für eine personenbezogene Datenverarbeitung ist hingegen, wer über die Zwecke und Mittel der Verarbeitung entscheidet.
Je nach Unternehmenskonstellation kann sich die Ermittlung der richtigen Regelung komplex gestalten. Dennoch ist eine genaue Abgrenzung unbedingt nötig, um die Betroffenenrechte DS-GVO-konform zu wahren und Geldstrafen zu vermeiden. Unternehmen sollten sich daher zunächst mit ihren Datenflüssen auseinandersetzen mithilfe ihres Datenschutzbeauftragten die Verantwortlichkeiten klären.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: