Update Datenschutz Nr. 60
Gemeinsame Verantwortlichkeit – Aufsichtsbehörden veröffentlichen erste Mustervereinbarung
Das Thema „gemeinsame Verantwortlichkeit“ gemäß Art. 26 DSGVO nimmt immer weiter an Fahrt auf. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat nun erstmals ein Muster für eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DSGVO sowie ein Muster zur Erfüllung der Informationspflichten gemäß Art. 26 Abs. 2 S. 2 DSGVO veröffentlicht.
Rechtsfigur der gemeinsamen Verantwortlichkeit gewinnt an Bedeutung
Unternehmen sind gemeinsam für eine Datenverarbeitung im Sinne von Art. 26 DSGVO verantwortlich, wenn sie gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden. Ob und wann dies der Fall ist, muss für jeden Datenverarbeitungsvorgang im Einzelfall geprüft werden. Aus der zu diesem Thema ergangenen Rechtsprechung des EuGH zu Facebook-Fanpages (Rechtssache C-210/16; wir berichteten im Update Nr. 39) sowie aus den Schlussanträgen des Generalanwalts zur Einbindung des „Facebook-Like“-Buttons auf einer Website im Fall „FashionID“ (Rechtssache C-40/17; wir berichteten im Update Nr. 50) lässt sich ableiten, dass das Erfordernis der gemeinsamen Festlegung von Zwecken und Mitteln der Datenverarbeitung sehr weit auszulegen ist. Es soll insbesondere nicht erforderlich sein, dass die Beteiligten detaillierte Kenntnis von der Datenverarbeitung durch den jeweils anderen Beteiligten haben oder dass übereinstimmende gemeinsame Zwecke verfolgt werden. Zur Begründung einer gemeinsamen Verantwortlichkeit sollen beispielsweise bereits vorbereitende Tätigkeiten wie die Einbindung eines Website-Plugins ausreichen. Sollten die Gerichte und Aufsichtsbehörden an dieser Rechtsprechung festhalten, müssen künftig sehr viele Datenverarbeitungen mit mehr als einem Beteiligten als gemeinsame Verantwortlichkeit angesehen werden und nicht – wie bislang in der Praxis oftmals der Fall – als Alleinverantwortlichkeit oder Auftragsverarbeitung.
Liegt eine gemeinsame Verantwortlichkeit vor, haben die beteiligten Unternehmen gemäß Art. 26 Abs. 1 S. 2 DSGVO eine Vereinbarung abzuschließen, mit der die datenschutzrechtlichen Pflichten der einzelnen Beteiligten in transparenter Form festgelegt werden. Der wesentliche Inhalt dieser Vereinbarung ist den betroffenen Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung zu stellen. Verstöße gegen diese Vorschriften bergen – wie nahezu alle Verstöße gegen DSGVO-Regelungen – erhebliche Bußgeldrisiken (Art. 83 Abs. 4 lit. a) DSGVO). Stets zu beachten ist, dass das Vorliegen einer gemeinsamen Verantwortlichkeit keine Rechtsgrundlage für Datenübermittlungen in deren Rahmen darstellt, sondern hierfür eine separate Rechtsgrundlage gemäß Art. 6 bzw. Art. 9 DSGVO erforderlich ist.
Mustervereinbarung gemäß Art. 26 Abs. 1 S. 2 DSGVO
Vor diesem Hintergrund ist es erfreulich, dass der LfDI erstmals von aufsichtsbehördlicher Seite ein Muster für eine Vereinbarung über die gemeinsame Verantwortlichkeit zur Verfügung stellt, an dem sich Unternehmen orientieren können. Mit Ausnahme des Kurzpapiers Nr. 16 der Datenschutzkonferenz vom 19. März 2018, in dem einige wenige Anwendungsfälle der gemeinsamen Verantwortlichkeit genannt sind, fehlt es bislang an allgemeinen Leitfäden der Aufsichtsbehörden zur Frage, wann eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO überhaupt vorliegt. Die Vorfrage, ob überhaupt eine gemeinsame Verantwortlichkeit (und nicht etwa eine Auftragsvereinbarung oder getrennte Verantwortlichkeiten) vorliegt, müssen Unternehmen im ersten Schritt klären, indem sie alle Verarbeitungsvorgänge mit mehr als einem Beteiligten prüfen.
Liegt eine gemeinsame Verantwortlichkeit vor, so kann das vom LfDI veröffentlichte Muster als erste Hilfestellung für den Entwurf des zwischen den Verantwortlichen zu schließenden Vertrages dienen. Zu beachten ist jedoch, dass das Muster des LfDI lediglich die einfache Konstellation abdeckt, dass zwei Unternehmen eine Datenverarbeitung gemeinsam betreiben, z. B. eine gemeinsame Datenbank. Die in der Praxis häufigen und viel komplexeren Sachverhalte, wie z. B. Datenverarbeitungen in Vertriebs- oder diversen Konzern-Konstellationen oder die gemeinsame Datenverarbeitung über die Grenzen der EU hinaus, finden in dem Muster keinen Niederschlag.
Zudem enthalten viele Regelungen des Musters lediglich Pauschalverweise auf die DSGVO und es fehlen einige Regelungen, die unverbundene Unternehmen üblicherweise in datenschutzrechtlichen Verträgen miteinander vereinbaren, etwa Kontroll- und Zutrittsrechte oder Kündigungsmöglichkeiten. Solche Regelungen sind vor dem Hintergrund der gesamtschuldnerischen Haftung der gemeinsam Verantwortlichen jedoch dringend zu empfehlen.
Musterinformation gemäß Art. 26 Abs. 2 S. 2 DSGVO
Bemerkenswert ist, dass der LfDI zum Vertragsmuster auch gleich eine Musterinformation gemäß Art. 26 Abs. 2. S. 2 DSGVO zum wesentlichen Inhalt des Vertrages veröffentlicht hat.
Darin wird erstmals deutlich, was die Aufsichtsbehörden unter dem wesentlichen Inhalt der Vereinbarung gemäß Art. 26 DSGVO verstehen, der den betroffenen Personen zur Verfügung gestellt werden muss. Hierzu gehört nach Auffassung des LfDI der Grund der gemeinsamen Verantwortlichkeit, die Beschreibung der einzelnen Prozessabschnitte der Verarbeitung sowie die Zuordnung der daraus resultierenden Pflichten zu einer Partei und die Nennung der Stelle, bei der die Betroffenenrechte geltend gemacht werden können.
Die Informationspflicht gemäß Art. 26 Abs. 2 S. 2 DSGVO geht nach der Auffassung des LfDI somit über die bislang in der Praxis vertretene Ansicht weit hinaus, nach der in erster Linie die Wahrnehmung der Betroffenenrechte erleichtert werden soll. Insbesondere die Beschreibung der einzelnen Prozessabschnitte und deren Zuteilung zu einzelnen Beteiligten können zu praktischen Umsetzungsproblemen und ggf. Offenlegung von Geschäftsgeheimnissen führen. Bei komplexen Verarbeitungsvorgängen, bei denen mehrere Verantwortliche an verschiedenen Stufen der Datenverarbeitung beteiligt sind, droht ferner ein „Information Overflow“ – der Transparenz als zentralem Anliegen des Art. 26 Abs. 2 S. 2 DSGVO wäre damit wenig gedient. An dieser Stelle wird erneut deutlich, dass die veröffentlichten Muster des LfDI in erster Linie auf einfache Verarbeitungskonstellationen mit wenigen Beteiligten zielen. Für komplexe Anwendungsfälle der gemeinsamen Verantwortlichkeit, die nach der jüngsten Rechtsprechung des EuGH in zunehmendem Ausmaß zu erwarten sind, stoßen die Muster an ihre Grenzen.
Die Musterinformation des LfDI lässt erkennen, dass die wesentlichen Vertragsinhalte den betroffenen Personen proaktiv und unabhängig von einer Anfrage zur Verfügung gestellt werden müssen, was nach dem Wortlaut von Art. 26 Abs. 2 S. 2 DSGVO jedoch zweifelhaft erscheint.
Praxishinweise
Es ist zu begrüßen, dass die baden-württembergische Aufsichtsbehörde mit der Veröffentlichung der Muster zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO vorangeht. Im Umkehrschluss bedeutet dies jedoch auch, dass die Aufsichtsbehörden das Thema nunmehr für sich entdeckt haben. Es ist daher damit zu rechnen, dass die gemeinsame Verantwortlichkeit bei den kommenden Datenschutzprüfungen der Aufsichtsbehörden eine größere Rolle spielen wird.
Unternehmen sollten daher spätestens jetzt damit beginnen, (i) gemeinsame Verantwortlichkeiten in ihren Datenverarbeitungsvorgängen zu identifizieren, (ii) für ausreichende Rechtsgrundlagen zu sorgen (insbesondere Abwägungen im Rahmen des Art. 6 Abs. 1 lit. f) DSGVO zu dokumentieren und ggf. erforderliche Einwilligungen der betroffenen Personen einzuholen), (iii) entsprechende Vereinbarungen abzuschließen und (iv) die betroffenen Personen gemäß Art. 26 Abs. 2 S. 2 DSGVO über den wesentlichen Inhalt dieser Vereinbarungen zu informieren.
Die veröffentlichten Muster des LfDI sind eine erste Orientierungshilfe für die vertragliche Ausgestaltung der gemeinsamen Verantwortlichkeit, werden aber nur im Ausnahmefall unverändert verwendbar sein.