17.08.2017Fachbeitrag

Update Datenschutz Nr. 26

Gemeinsame Verantwortlichkeit – Was ist das und was ist zu tun?

Art. 26 DSGVO knüpft an eine sogenannte gemeinsame Verantwortlichkeit bestimmte Rechtsfolgen und Pflichten, die es in dieser Form bislang nicht gab. Unternehmen müssen daher für sich klären, ob eine gemeinsame Verantwortlichkeit mit anderen bei der Verarbeitung personenbezogener Daten besteht und ob die Norm damit bei ihnen zur Anwendung kommt.

Eine gemeinsame Verantwortlichkeit ist gegeben, wenn zwei oder mehr Unternehmen gemeinsam die Zwecke und Mittel zur Verarbeitung von personenbezogenen Daten festlegen, Art. 26 Abs. 1 S. 1 DSGVO. Das ist der Fall, wenn sie gemeinsam über die Zwecke, also die Gründe, den Anlass, die Art und den Umfang sowie die Ziele der Datenverarbeitung – anders gesagt, das Ob, Wofür und Wie weit – bestimmen und wenn sie die wesentlichen technischen Mittel und Methoden – das Wie – der Datenverarbeitung gemeinsam definieren. Mit anderen Worten: Eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO liegt vor, wenn Unternehmen, etwa im Rahmen von Kooperationen, gemeinsam festlegen, dass sie zum Zwecke der Kooperation bestimmte personenbezogene Daten verarbeiten und dafür gemeinsam definierte technische Mittel nutzen.

Eine solche Situation kann vorliegen, wenn ein Unternehmen seine Produkte über Plattformen im Internet vermarktet, aber auch wenn das Unternehmen mit Vertragshändlern oder Handelsvertretern zusammenarbeitet. Wesentlich ist, dass das Vermarktungsinstrument – die Plattform oder der Vertragshändler – auch ein eigenes Interesse an den personenbezogenen Daten und der gemeinsamen Verarbeitung hat.

Der Begriff der gemeinschaftlichen Verantwortlichkeit ist dabei weit zu verstehen. Nach der herrschenden Meinung kommt es nicht darauf an, dass über beides, die Zwecke und die Mittel der Verarbeitung, gemeinsam entschieden wird. Es reicht vielmehr aus, dass jeder der Beteiligten über eines entscheidet. Das bedeutet, dass auch wenn der eine Kooperationspartner über die Zwecke der Datenverarbeitung entscheidet, der andere aber frei über die Mittel der Datenverarbeitung entscheidet, eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 Abs. 1 S.1 DSGVO gegeben sein kann.

Folge der gemeinsamen Verantwortlichkeit ist, dass die Betroffenen der Datenverarbeitung ihre jeweiligen Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen können, Art. 26 Abs. 3 DSGVO. Es besteht also eine gesamtschuldnerische Haftung, bei der ein Verantwortlicher in vollem Umfang für Verstöße gegen Datenschutz des anderen (Mit-)Verantwortlichen haften muss.

Außerdem verpflichtet Art. 26 Abs. 1 S. 2 DSGVO die Parteien zur Festlegung der aus ihrer Zusammenarbeit resultierenden datenschutzrechtlichen Pflichten in einer Vereinbarung. Als Beispielsinhalte einer solchen Vereinbarung nennt Art. 26 Abs. 1 S. 2 DSGVO die Betroffenenrechte nach der DSGVO sowie die Informationspflichten gemäß Art. 13, 14 DSGVO. Außerdem müssen die wesentlichen Inhalte einer solchen Vereinbarung den Betroffenen zur Verfügung gestellt werden, Art. 26 Abs. 2 S. 2 DSGVO.

In der Praxis stellt sich oftmals die Schwierigkeit, das Institut der gemeinsamen Verantwortlichkeit von jeweils eigenständigen Verantwortlichkeiten der beteiligten Unternehmen sowie einer etwaigen weisungsgebundenen Auftragsverarbeitung abzugrenzen. Für Unternehmen bedeutet das, dass sie ihre Kooperationen und Vertriebskanäle genau darauf überprüfen müssen, ob eine gemeinsame Verantwortlichkeit vorliegt. Sollte das der Fall sein, müssen entsprechende Vereinbarungen zur gemeinsamen Verantwortlichkeit – ähnlich denen mit Auftragsverarbeitern gemäß Art. 28 DSGVO - geschlossen werden. Dabei sind die zwingenden Inhalte gemäß Art. 26 Abs. 1 S. 2 DSGVO zu berücksichtigen. Auch mit Blick auf die gesamtschuldnerische Haftung nach außen ist der Abschluss einer entsprechenden Vereinbarung dringend zu empfehlen. Mit der Regelung kann zwischen den Parteien festgelegt werden, wer im Falle eines Verstoßes im Innenverhältnis dafür haftet, unabhängig davon, wer im Außenverhältnis zum Betroffenen in Anspruch genommen wird.

Da das Instrument der gemeinsamen Verantwortlichkeit und die Notwendigkeit einer schriftlichen Vereinbarung unter der DSGVO so im deutschen Datenschutzrecht noch nicht bekannt war, sollten Unternehmen sich frühzeitig mit dem Thema befassen, zumal das Erstellen von Mustervereinbarungen und deren Verhandlung und Abschluss mit dem jeweiligen Kooperationspartner Zeit in Anspruch nehmen kann. Bis zur Anwendbarkeit der DSGVO am 25.05.2018 müssen die entsprechenden Vereinbarungen abgeschlossen sein.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.