Gemeinsame Verantwortlichkeit nach DSGVO
Aus Art. 26 Datenschutzgrundverordnung (DSGVO) ergibt sich, dass die gemeinsame Verantwortlichkeit immer dann gegeben ist, wenn 2 oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Der Umgang mit dieser Rechtsvorschrift ist den meisten Datenschutzverantwortlichen wenig vertraut. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat daher die Orientierungshilfe „Gemeinsame Verantwortlichkeit“ veröffentlicht, die bestehende Berührungsängste abbauen und Unsicherheiten im Umgang mit dem Rechtsinstrument der gemeinsamen Verantwortlichkeit entgegenwirken soll.
Gemeinsame Festlegung, gemeinsame Verantwortlichkeit
Die DSGVO sieht im Zusammenhang mit der Verarbeitung personenbezogener Daten verschiedene Rollen vor. Von wesentlicher Bedeutung ist dabei neben der Einzelverantwortlichkeit und der Auftragsverarbeitung die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO. Dieser regelt den Fall, dass 2 oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dies ist in der Praxis bei arbeitsteiligen Verarbeitungen häufig der Fall, wobei es unterschiedliche Formen und Ausprägungen einer gemeinsamen Verantwortlichkeit gibt.
Sind die Voraussetzungen von Art. 26 Abs. 1 Satz 1 DSGVO erfüllt, werden die an der Verarbeitung Beteiligten als gemeinsam Verantwortliche eingeordnet und den Pflichten aus Art. 26 Abs. 1 Satz 2, Abs. 2 und 3 DSGVO unterworfen. Insbesondere müssen sie eine Vereinbarung abschließen, welche in transparenter Form festlegt, wer von ihnen welche Verpflichtungen gem. der DSGVO erfüllt. Das ist mit einigem Aufwand für die Beteiligten verbunden, hat aber den Vorteil, dass die datenschutzrechtlichen Zuständigkeiten und (Teil-)Verantwortlichkeiten klar verteilt werden können. Daraus ergibt sich ein Mehrwert sowohl für die Beteiligten als auch für die betroffenen Personen.
Orientierungshilfe vom BayLfd
Nach Erkenntnissen der deutschen Datenschutzbehörden ist den meisten Datenschutzverantwortlichen zwar der Wortlaut von Art. 26 DSGVO bekannt, der praktische Umgang mit dem Rechtsinstrument der gemeinsamen Verantwortlichkeit aber unvertraut. Um dies zu ändern, hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) die Orientierungshilfe „Gemeinsame Verantwortlichkeit“ veröffentlicht. Die Erläuterungen des BayLfD stellen die gemeinsame Verantwortlichkeit im Licht der Rechtsprechung insbesondere des Europäischen Gerichtshofs vor und geben Handlungsempfehlungen für die bayerischen öffentlichen Stellen, die sich aber leicht auf andere Institutionen und Unternehmen übertragen lassen.
Aufbau und Inhalt
Nach einer Einführung in die rechtlichen Grundlagen und die Entstehungsgeschichte der gemeinsamen Verantwortlichkeit klärt die Orientierungshilfe über deren Voraussetzungen auf. Es wird dargestellt, welche Entscheidungsbefugnisse Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO haben und wie eine gemeinsame Beteiligung an der Entscheidung sowie bei der Festlegung der Zwecke und Mittel der Verarbeitung ausgestaltet werden kann. Es folgen Beispiele für gemeinsame Verantwortlichkeit, die besondere Relevanz für den öffentlichen Sektor haben. Dabei geht es etwa um E-Government, Kooperationen von Hochschulen und Forschungseinrichtungen oder die Nutzung von Social Media und anderen Kommunikationsdiensten. Im Anschluss wird gemeinsame Verantwortlichkeit von anderen datenschutzrechtlichen Formen der Verantwortlichkeit abgegrenzt. Zu den anderen Formen zählen unter anderem die Einzel- und Nichtverantwortlichkeit, die Auftragsverarbeitung und die Funktionsübertragung. Der abschließende Abschnitt beschäftigt sich ausführlich mit den rechtlichen Folgen der gemeinsamen Verantwortung und geht dabei nicht nur auf die aktuelle Rechtsprechung ein, sondern gibt auch viele wertvolle Praxishinweise.
Weiterführende Links:
Gemeinsame Verantwortlichkeit, Orientierungshilfe des BayLfD (PDF-Dokument)
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Rechtsunsicherheit für die Kundenanlage
17.12.2024
-
Die Verordnung über das Verbot von Produkten, die in Zwangsarbeit hergestellt wurden
11.12.2024
-
Änderungen des Energiewirtschaftsrechts – Was kommt noch nach dem Ampel-Aus?
10.12.2024
-
Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig
06.12.2024
-
Das Scraping-Urteil des BGH zum Facebook-Datenleck
04.12.2024
-
BGH begrenzt Zulässigkeit von Skonti auf verschreibungspflichtige Arzneimittel
03.12.2024
-
Microsoft Advertising haftet bei fehlender Einwilligung automatisch gesetzter Cookies
28.11.2024
-
Rückbeteiligung bei Unternehmensverkäufen: Chancen und Herausforderungen
26.11.2024
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
25.11.2024
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024