Zusammenfassung
"Gemeinsam Verantwortliche" ist eine neue Rollenbeschreibung aus der EU-Datenschutz-Grundverordnung. Dabei werden die Aufgaben beim Datenschutz bei der Verarbeitung personenbezogener Daten zwischen mehreren Personen aufgeteilt. Die Verteilung der Aufgaben ist in einem Vertrag zu vereinbaren und auch nach außen an die "Betroffenen "(deren Daten verarbeitet werden) zu kommunizieren.
1 Definition
Der neue Begriff der "gemeinsam für die Verarbeitung Verantwortlichen" ist in Art. 26 Abs. 1 DSGVO definiert: "Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche". Als "Verantwortliche" gelten nach der Definition von Art. 4 Abs. 7 DSGVO die natürlichen oder juristischen Personen, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Im BDSG [bis 24.05.2018] gilt als verantwortliche Stelle jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (§ 3 Abs. 7 BDSG). Über "gemeinsam Verantwortliche" enthält das alte BSDG keine spezifischen Regelungen, diese müssen ganz allgemein die Pflichten aller Verantwortlichen erfüllen, vor allem die Melde- bzw. Informationspflichten gegenüber den Betroffenen (§ 4e BDSG, § 6 BDSG, § 19 BDSG).
2 Vertrag zwischen den gemeinsam Verantwortlichen
Gemeinsam Verantwortliche haben eine Vereinbarung in transparenter Form über ihre Zusammenarbeit abzuschließen (Art. 26 Abs. 1 DSGVO). Darin ist folgendes zu regeln:
- Wer erfüllt welche Verpflichtung gemäß DSGVO, insbesondere bezüglich der Wahrnehmung der Rechte der betroffenen Person?
- Wer kommt welchen Informationspflichten gemäß Art. 13 DSGVO und Art. 14 DSGVO nach, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind?
Die Vereinbarung muss zeigen, wie die Beziehung zwischen den gemeinsam Verantwortlichen tatsächlich funktioniert und welche Verpflichtungen sie gegenüber betroffenen Personen übernehmen (Art. 26 Abs. 2 DSGVO).
Information der Betroffenen
Die betroffenen Personen müssen über die wesentlichen Punkte der Vereinbarung informiert werden (Art. 26 Abs. 2 DSGVO). Sie können ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der gemeinsam Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO). Diese Bestimmung entspricht auch der Regelung von Art. 14 DSGVO, nach der Informationspflicht auch dann besteht, wenn die Daten nicht direkt bei den betroffenen Personen erhoben wurden. In Bezug auf Gemeinsam Verantwortliche bedeutet das, dass jeder von ihnen informationspflichtig gegenüber den Betroffenen ist, auch wenn er die Daten nicht selber gesammelt hat.
3 Wichtige Vertragspunkte
Wie erwähnt sind im Vertrag die Verpflichtungen nach Art. 13 DSGVO und Art. 14 DSGVO zu berücksichtigen. Es ist zusätzlich sinnvoll, wenn man zusätzlich Regelungen über weitere Verpflichtungen trifft, vor allem
Dabei können gemeinsame Regelungen einiges erleichtern, besonders im Hinblick auf technische Maßnahmen.
- Am besten geben alle Gemeinsamen Verantwortlichen den Betroffenen ihre Namen und Kontaktdaten bekannt.
- Die Gemeinsamen Verantwortlichen können eine Anlaufstelle bekanntgeben, bei der die Betroffenen Fragen und Beschwerden einreichen können. Es ist zu empfehlen, dass man eine gemeinsame Anlaufstelle organisiert und Fragen oder Beschwerden dann an die zuständigen Verantwortlichen weiterleitet (Art. 26 Abs. 1 DSGVO).
- Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung sind nicht unbedingt für alle Verantwortlichen dieselben. Dies gilt auch für die berechtigten Interessen, die von den Verantwortlichen oder einem Dritten verfolgt werden.
- Deshalb ist im Vertrag festzulegen, woher die Daten stammen und wer Daten wofür verarbeiten kann. Dies sollte man auch den Betroffenen bekannt geben.
- Beabsichtigt einer oder mehrere der Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss das im Vertrag erwähnt sein, bzw. den Betroffenen bekannt gegeben werden.
- Es ist am einfachsten, wenn die Dauer, während der die personenbezogenen Daten gespeichert werden, für alle Gemeinsam Verantwortlichen gleich ist. Ist das nicht der Fall muss man das bekannt geben.
- Werden Daten für automatisierte Entscheidungsfindung, einschließlich Profiling, genutzt, ist bekanntzugeben, welcher der Gemeinsam Verantwortlichen das macht.
- Betroffene müssen über ihre Rechte informiert werden, auch darüber dass ein Beschwerderecht bei einer Aufsichtsbehörde besteht.
- Gemeinsame technische Sicherungsmaßnahmen erleichtern die Zusammenarbeit und verbesse...