Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Recht
  • Deutsches Anwalt Office Premium
  • Kanzleimanagement
  • Arbeits- & Sozialrecht
  • Familien- & Erbrecht
  • Wirtschaftsrecht
  • Miet- & Immobilienrecht
  • Verkehrsrecht
  • allg. Zivilrecht
  • Strafrecht & öffentl. Recht
  • Prozessrecht

§ 8 Auftragsverarbeitung / II. Abgrenzung zur gemeinsamen Verantwortung gem. Art. 26 DSGVO

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Dr. Robert Kazemi

1. Erforderlichkeit der Abgrenzung/haftungsrechtliche Gesichtspunkte

 

Rz. 13

Gelangt man im Rahmen der Abgrenzung der Auftragsverarbeitung zur "eigenen" Verantwortung zu dem Ergebnis, dass der Beauftragte selbst als Verantwortlicher und damit nicht als Auftragsverarbeiter zu qualifizieren ist, ist weiter zu prüfen, ob sich die Verantwortlichkeit des Beauftragten als eigenständige oder gemeinsame Verantwortung darstellt.

 

Rz. 14

Dies kann – vor allem aus haftungsrechtlicher Sicht – von erheblicher Bedeutung sein. Denn unter Geltung der DSGVO haften gemeinsam Verantwortliche gem. Art. 82 Abs. 2 S. 1 DSGVO[12] dem geschädigten Betroffenen gesamtschuldnerisch[13] für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Dies bedingt ein nicht unerhebliches Risiko, weil der nicht direkt an einer Verarbeitung beteiligte gemeinsame Verantwortliche damit im Außenverhältnis vollumfänglich (auch mit Blick auf etwaige Verstöße gegen Art. 5 bis 7 und 9 DSGVO) auch für die Verfehlungen seines Mitverantwortlichen einzustehen hat, was insbesondere dort zu Problemen führen kann, wo zwischen den gemeinsam Verantwortlichen ein erhebliches wirtschaftliches Ungleichgewicht besteht und sich der in Art. 82 Abs. 5 DSGVO vorgesehene Innausgleich im Falle der Inanspruchnahme des wirtschaftlich stärkeren Verantwortlichen im Außenverhältnis im Innenverhältnis der Verantwortlichen nicht vollständig realisieren lässt.

 

Rz. 15

Nach Art. 83 Abs. 4 lit. a) hat jeder gemeinsam Verantwortliche ordnungsrechtlich für die Einhaltung der an die gemeinsame Verantwortung in Art. 26 DSGVO gestellten Anforderungen einzustehen. Diese Verpflichtungen beziehen insbesondere die Erfüllung der Informations- und Auskunftspflichten gegenüber der betroffenen Person mit ein, die unabhängig von der tatsächlichen Aufgabenverteilung, gegenüber jedem der gemeinsam Verantwortlichen erhoben und geltend gemacht werden können (Art. 26 Abs. 3 DSGVO). Auch insoweit besteht also eine gesamtschuldnerische Verpflichtung. Fraglich erscheint, ob die "gemeinsame Verantwortung" – ordnungsrechtlich – zusätzlich auch zu einer Einstandspflicht jedes Verantwortlichen in Bezug auf die originär für jeden Verantwortlichen bestehenden Pflichten, wie die Verpflichtung zur Führung eines Verfahrensverzeichnisses, die Bestellung eines Datenschutzbeauftragten, die Etablierung technischer und organisatorischer Maßnahmen, usw. führt. Dies ist – jedenfalls nach dem Wortlaut des Art. 83 Abs. 4 lit a.) DSGVO – naheliegend.[14] Eine Einstandspflicht für die Einhaltung der allgemeinen Datenschutzgrundsätze nach Art. 5 DSGVO und die Verarbeitungsgrundsätze nach Art. 6, 7 und 9 DSGVO begründet die gemeinsame Verantwortung nicht, so dass jeder gemeinsam Verantwortliche nicht nur eigenständig über die Rechtmäßigkeit der Verarbeitung zu befinden, sondern auch alleine dafür einzustehen hat. Ein Verstoß gegen Art. 5 bis 7 und 9 DSGVO durch einen gemeinsamen Verantwortlichen bedingt damit keinen ordnungsrechtlichen Verstoß auch des anderen Verantwortlichen.

[12] Hier heißt es: "Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde."
[13] So auch Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 26 Rn 29.
[14] In diesem Sinne auch Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 26 Rn 31.

2. Wann liegt eine gemeinsame Verantwortung vor?

 

Rz. 16

Obgleich es die Definition der Auftragsverarbeitung – wie vorstehend (Rdn 9) erläutert – nicht gestattet, dass ein Auftragsnehmer personenbezogene Daten eigenverantwortlich und zugleich (jedenfalls) auch im Interesse seines Auftraggebers verarbeitet, sind derartige Konstellationen des arbeitsteiligen Zusammenwirkens datenschutzrechtlich nicht gänzlich unbeachtet und ungeregelt geblieben. Bereits Art. 4 Nr. 7 DSGVO geht davon aus, dass ein Verantwortlicher auch gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann. Art. 26 Abs. 1 DSGVO konkretisiert dies dahingehend, dass zwei oder mehr Verantwortliche, die gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, als "gemeinsam Verantwortliche" gelten.

 

Rz. 17

Ob eine "alleinige" oder eine "gemeinsame" Verantwortung vorliegt, soll nach Auffassung der Art. 29-Datenschutzgruppe maßgeblich davon abhängen, ob eine gemeinsame Kontrolle mehrerer Verantwortlicher gegeben ist. Dies soll der Fall sein, "wenn verschiedene Parteien im Zusammenhang mit spezifischen Verarbeitungen entweder über den Zweck oder über wesentliche Elemente der Mittel (gemeinsam) entscheiden."[15] Diese gemeinsame Entscheidung muss nicht zwingend "gleichberechtigt" erfolgen und kann verschiedene Formen aufweisen. Entscheidend ist lediglich, dass "mehrere Akteure an einer Verarbeitung beteiligt sind, deren Beziehung sehr eng (z.B. vollständig übereinstimmende Zwecke und Mittel der Verarbeitung) oder eher locker sein (es stimmen z.B. nur die Zwecke oder nur die Mittel oder nur Teile davon überein)"[16] sein kann. "Auf der anderen Sei...

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Haushaltsnahe Dienstleistungen und Handwerkerleistungen / 7.3 Begünstigte Aufwendungen
    3.087
  • § 13 Zinsloses Darlehen unter nahen Angehörigen / B. Schenkungsteuer
    2.322
  • Abgrenzung von Anschaffungskosten, Herstellungskosten un ... / 5 Anschaffungsnaher Aufwand
    2.136
  • Lebensalter / 1 Vollendung eines Lebensjahres
    1.958
  • Kündigungsfristen (Miete) / 3 Kündigungsfrist bei Geschäftsräumen
    1.892
  • § 2 Die Gebühren nach dem RVG / 1. Einigungsgebühr, Nr. 1000, 1003, 1004 VV RVG
    1.886
  • § 57 Zivilprozessrecht / II. Muster: Klageschriften
    1.872
  • Rohrverstopfung (Mietrecht)
    1.729
  • § 4 Arbeitsrecht / 9. Muster: Anschreiben Urlaubsansprüche und deren drohender Verfall
    1.634
  • Schwangerschaft: Beschäftigungsverbot oder Arbeitsunfähigkeit
    1.538
  • Die verbilligte Vermietung von Wohnungen
    1.529
  • Gewerblicher Grundstückshandel / 2.2 Erwerb und Veräußerung innerhalb von 5 Jahren
    1.437
  • § 2 Die Gebühren nach dem RVG / 2. Geschäftsgebühr, Nr. 2300 VV RVG
    1.321
  • Garage/Stellplatz im Mietrecht / 6 Umsatzsteuerbefreiung?
    1.301
  • § 14 Widerruf der Vollmacht / E. Widerrufserklärung
    1.236
  • § 4 Arbeitsrecht / 4. Muster: Urlaubsbescheinigung
    1.230
  • § 4 Arbeitsrecht / b) Muster: Fortbildungsvertrag
    1.199
  • Wohnrecht (Miete) / 5 Beendigung des Wohnrechts
    1.184
  • § 4 Arbeitsrecht / 4. Muster: Kündigungsschutzklage
    1.161
  • § 2 Die Gebühren nach dem RVG / III. Anerkenntnis
    1.160
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Recht
Datenschutz: Gemeinsame Verantwortlichkeit nach DSGVO
Daten Datenschutz Schlüssel Cybersicherheit
Bild: Getty Images

Art. 26 DSGVO regelt die gemeinsame Verantwortlichkeit bei der Datenverarbeitung durch mehrere Verantwortliche. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat nun eine Orientierungshilfe veröffentlicht, die Unsicherheiten abbauen und klare Handlungsempfehlungen geben soll.
Microsoft 365: Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung für Microsoft 365
Microsoft Deutschlandzentrale München
Bild: Microsoft

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft nicht den Anforderungen von Art. 28 Abs. 3 DSGVO entspricht.
Haufe Shop: Mergers & Acquisitions
Mergers & Acquisitions
Bild: Haufe Shop

M&A-Aktivitäten umfassen ein breites Themenspektrum, zu dem Unternehmenskäufe und -verkäufe, Beteiligungen, Fusionen und Joint Ventures genauso gehören wie strategische Allianzen. Die Motive für M&A-Aktivitäten können vielfältig sein, sie reichen von Wachstum über Restrukturierungen bis zu Nachfolgeregelungen. Über 80 renommierte Autorinnen und Autoren aus Unternehmens- und Rechtsberatung und aus der Wissenschaft analysieren in diesem Praxisbuch den M&A-Markt aus der Markt-, Transaktions- und Rechtsperspektive. Neu ist die Berücksichtigung von Entwicklungen im Kontext Nachhaltigkeit.
DSGVO-Pflichten für Unterne... / 3.7 Pflichten bei der Auftragsverarbeitung (Art. 8 Abs. 1 DSGVO)
DSGVO-Pflichten für Unterne... / 3.7 Pflichten bei der Auftragsverarbeitung (Art. 8 Abs. 1 DSGVO)

Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet und die andere Stelle ist den Weisungen des Auftraggebers unterworfen, liegt eine Auftragsverarbeitung i. S. d. Art. 28 Abs. 1 DSGVO vor. Weitere Voraussetzung für eine ...

4 Wochen testen
Newsletter Recht
Bild: Haufe Online Redaktion
Newsletter Recht - Wirtschaftsrecht

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:

  • Handels- und Gesellschaftsrecht
  • Gewerblicher Rechtsschutz
  • Vertriebsrecht
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Recht Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Advolux
Haufe Onlinetraining
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Recht
Anwaltssoftware
Anwaltliches Fachwissen Software
Gesellschafts- & Wirtschaftsrecht Lösungen
Alle Recht Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren