Aktuell in CR

Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung? (Kremer, CR 2019, 225)

Der Beitrag stellt zunächst die gesetzlichen Regelungen zur gemeinsamen Verantwortlichkeit dar (I.), erörtert hiernach die Abgrenzung zwischen alleiniger oder gemeinsamer Verantwortlichkeit sowie Auftragsverarbeitung (II. und III.), geht sodann auf die Rechtsgrundlage für die Offenlegung im Verhältnis der gemeinsam Verantwortlichen zueinander sowie die Möglichkeit einer GbR der gemeinsam Verantwortlichen ein (IV. und V.), bevor dann die Folgen der gemeinsamen Verantwortlichkeit beschrieben werden (VI.). Der Beitrag endet mit mehreren typischen Fallgruppen (unten VII.).

Analyse der tatsächlichen Lebenssachverhalte zur Abgrenzung zwischen gemeinsamer Verantwortlichkeit und Auftragsverarbeitung

I. Gesetzliche Regelungen zur gemeinsamen Verantwortlichkeit

1. Regelungen in DSRL und BDSG-alt

2. Regelungen in der DSGVO

II. Abgrenzung nach dem tatsächlichen Lebenssachverhalt

1. Rollen der Beteiligten bei Verarbeitungen

2. Offenlegung personenbezogener Daten bei Verarbeitungen

3. Abgrenzung der Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO

4. Alleinige und gemeinsame Verantwortlichkeit

a) Zwecke und Mittel der Verarbeitung
b) Gemeinsamkeit der Entscheidung
aa) Übereinstimmen von Zwecken und Mitteln der Verarbeitung
bb) Tatsächliche Beeinflussung der Verarbeitung

c) Indizien für eine gemeinsame Verantwortlichkeit
d) Beispiel Infrastruktur in Unternehmensgruppen
e) Funktionsübertragung nach altem Recht

III. Abgrenzung zur Auftragsverarbeitung

1. Objektives Kriterium

2. Ermessens- und Entscheidungsspielräume bei Mitteln der Verarbeitung

3. Praxisbeispiele
a) Hostprovider
b) Software as a Service (SaaS)

4. Privilegierung der Offenlegung bei der Auftragsverarbeitung
a) Privilegierung nach BDSG-alt
b) Privilegierung nach DSGVO

5. Privilegierung der gemeinsamen Verantwortlichkeit
a) Gemeinsam Verantwortliche als Dritte oder Empfänger
b) Gesamtbetrachtung der Rechtmäßigkeit bei gemeinsam Verantwortlichen

IV. Gemeinsam Verantwortliche als Gesellschaft bürgerlichen Rechts

V. Folgen der gemeinsamen Verantwortlichkeit

1. Vereinbarung der gemeinsam Verantwortlichen

2. Rechtsfolgen bei Pflichtverletzungen
a) Haftung der gemeinsam Verantwortlichen
b) Sanktionen gegenüber gemeinsam Verantwortlichen

VI. Weitere typische Fallgruppen

1. Lettershop-Dienstleistungen

2. Schreibservices, Übersetzungen, Dokumenten- und Datenträgervernichtung

3. Social Media

4. Persönliche elektronische Gesundheitsakten und Online-Geschäftsstellen

5. Blockchain/Distributed Ledger

6. Diagnosedaten in Microsoft Office 365 ProPlus

7. Zentrale Melde- und Warndateien

---

 

I. Gesetzliche Regelungen zur gemeinsamen Verantwortlichkeit

1. Regelungen in DSRL und BDSG-alt

[1] Bereits die Richtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie, kurz „DSRL“) ¹  enthielt in Art. 2 lit. d) DSRL eine Begriffsbestimmung für den (gemeinsam) Verantwortlichen: „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein  oder gemeinsam  mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Demgegenüber kannte die Begriffsbestimmung der verantwortlichen Stelle im § 3 Abs. 7 BDSG-alt die Verarbeitung personenbezogener Daten nur „für sich selbst“ oder „durch andere im Auftrag“. Denn das alte BDSG war bereits vor der DSRL entstanden ²  und – auch insoweit europarechtswidrig – nicht an die DSRL angepasst worden.

2. Regelungen in der DSGVO

[2] Die Verordnung (EU) 2016/679 vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, kurz „DSGVO“) ³  hat die Begriffsbestimmung aus der DSRL inhaltsgleich in Art. 4 Nr. 7 DSGVO übernommen und um den neuen Art. 26 DSGVO ergänzt.⁴  Die DSGVO ist autonom auszulegendes europäisches Recht. Schon deshalb verbietet sich zu deren Auslegung jeder unreflektierte Rückgriff auf vermeintliche Erfahrungswerte aus dem alten BDSG. Bezogen auf die gemeinsame Verantwortlichkeit versteht sich dies mangels Vorgängerregelung im alten BDSG von selbst, gilt aber ebenso für die Abgrenzung der gemeinsamen Verantwortlichkeit von der alleinigen Verantwortlichkeit einschließlich der früheren Funktionsübertragung (dazu Rz. 19 f.) sowie der Auftragsverarbeitung bzw. früheren Auftragsdatenverarbeitung gem. § 11 BDSG-alt (ausführlich zur Abgrenzung Rz. 22 ff.).

II. Abgrenzung nach dem tatsächlichen Lebenssachverhalt

1. Rollen der Beteiligten bei Verarbeitungen

[3] Eine Verarbeitung gem. Art. 4 Nr. 2 DSGVO ist jeder Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. ⁵  Der in der DSGVO nicht definierte, aber insbesondere in Art. 30 Abs. 1 DSGVO verwendete Begriff „Verarbeitungstätigkeit“ dient einer prozessorientierter Zusammenfassung mehrerer einem gemeinsamen Zweck dienenden Verarbeitungen. ⁶

[4] Personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die ebenfalls von Art. 4 Nr. 1 DSGVO als betroffene Person definiert wird. Die Verarbeitung erfolgt durch Verantwortliche gem. Art. 4 Nr. 7 DSGVO, die allein oder gemeinsam über Zwecke und Mittel der Verarbeitung  entscheiden  (alleiniger Verantwortlicher oder gemeinsam Verantwortliche). Diese können sich eines Auftragsverarbeiters gem. Art. 4 Nr. 8 DSGVO bedienen, der  im Auftrag  des oder der Verantwortlichen die personenbezogenen Daten verarbeitet. ⁷

2. Offenlegung personenbezogener Daten bei Verarbeitungen

[5] Sind (neben der betroffenen Person) mindestens zwei Parteien an der Verarbeitung personenbezogener Daten beteiligt, kommt es dabei zur Offenlegung der durch einen Beteiligten verarbeiteten personenbezogenen Daten gegenüber dem/den anderen Beteiligten. Dies ist eine weitere Verarbeitung, da gem. Art. 4 Nr. 2 DSGVO insbesondere die „Offenlegung durch Übermittlung, Verbreitung oder andere Form der Bereitstellung“ erfasst ist. Das frühere, enger gefasste Übermitteln an einen Dritten gem. § 3 Abs. 4 Nr. 3 BDSG-alt durch Weitergabe (lit. a)) oder Bereithalten zur Einsicht oder zum Abruf (lit. b)) ist in der Offenlegung aufgegangen. ⁸  Jeder Beteiligte, dem personenbezogene Daten offengelegt werden, ist ein Empfänger gem. Art. 4 Nr. 9 DSGVO. Ob der Empfänger Dritter gem. Art. 4 Nr. 10 DSGVO ist, der nicht der unmittelbaren Verantwortung des Verantwortlichen unterliegt, sondern außerhalb seines Lagers steht, ist dabei anders als noch in § 3 Abs. 4 Nr. 3 BDSG-alt bedeutungslos. ⁹

[6] Denkbar sind damit drei Konstellationen bei der Beteiligung von mindestens zwei Parteien an einer Verarbeitung personenbezogener Daten einer betroffenen Person:

• (1)  Alleinige Verantwortlichkeit, Art. 4 Nr. 7 DSGVO:
  Ein allein Verantwortlicher legt personenbezogene Daten gegenüber einem/mehreren anderen allein Verantwortlichen offen. Jede Partei entscheidet eigenständig über Zwecke und Mittel der Verarbeitung der offengelegten Daten.
• (2)  Gemeinsame Verantwortlichkeit, Art. 4 Nr. 7, Art. 26 DSGVO:
  Zwei oder mehrere Verantwortliche entscheiden gemeinsam über Zwecke und Mittel einer Verarbeitung und legen hierfür personenbezogene Daten gegenüber dem/den jeweils anderen Verantwortlichen offen.
• (3)  Auftragsverarbeiter, Art. 4 Nr. 8, Art. 28 DSGVO:
  Ein/mehrere Verantwortliche/r legen personenbezogene Daten gegenüber einem Auftragsverarbeiter offen, damit dieser die Daten im Auftrag des/der Verantwortlichen verarbeitet.

3. Abgrenzung der Verantwortlichkeit gem. Art. 4 Nr. 7 DSGVO

[7] Die Unterscheidung zwischen den drei Konstellationen erfolgt nach dem Wortlaut der DSGVO auf tatsächlicher Ebene:

[8] Art. 4 Nr. 7 DSGVO verlangt eine gemeinsame Entscheidung der Beteiligten über Zwecke und Mittel der Verarbeitung. Art. 26 Abs. 1 S. 1 DSGVO ordnet sodann an, dass bei einer gemeinsamen Festlegung der Zwecke und Mittel der Verarbeitung (gemeint ist die Entscheidung i.S.d. Art. 4 Nr. 7 DSGVO ) ¹⁰  die Beteiligten gemeinsam Verantwortliche sind. Als Folge dieser gemeinsamen Verantwortlichkeit haben die Beteiligten gem. Art. 26 Abs. 1 S. 2 DSGVO eine Vereinbarung zu treffen. Demgegenüber verlangen Art. 4 Nr. 8, Art. 28 Abs. 1 DSGVO eine Verarbeitung, die im Auftrag eines Verantwortlichen erfolgt. Gibt es eine solche Verarbeitung im Auftrag, hat der Verantwortliche deshalb den Auftragsverarbeiter gem. Art. 28 Abs. 1 DSGVO sorgfältig auszuwählen und sicherzustellen, dass die Verarbeitung im Auftrag gem. Art. 28 Abs. 3 DSGVO auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgt.

[9] Ob und welchen Vertrag bzw. welche Vereinbarung die Beteiligten im Zusammenhang mit der Verarbeitung geschlossen haben ist für die Abgrenzung der Verantwortlichkeit ohne Bedeutung. Der Abschluss des Vertrags bzw. der Vereinbarung ist die rechtliche Pflicht einer tatsächlich gegebenen Verarbeitung durch gemeinsam Verantwortliche oder im Auftrag eines Verantwortlichen, nicht die Rechtsgrundlage für deren Herleitung. ¹¹  Die Rollen der Beteiligten ergeben sich damit auf tatsächlicher Ebene aus einer sachbezogenen funktionalen Abgrenzung. ¹²  Anderenfalls könnten die Beteiligten die rechtlichen Rahmenbedingungen für ihre Verarbeitungen selbst festlegen. ¹³  Die frühere Vertragstheorie ist demnach spätestens mit der DSGVO hinfällig. ¹⁴

4. Alleinige und gemeinsame Verantwortlichkeit

[10] Nicht jede Offenlegung personenbezogener Daten ist eine Auftragsverarbeitung (dazu III. Rz. 22 ff.) oder gemeinsame Verantwortlichkeit. Außer Acht gelassen wird bei der Einordnung allzu oft die Möglichkeit einer alleinigen Verantwortlichkeit der Beteiligten. ¹⁵  Maßgeblich ist, ob die Entscheidung (...)

 

                Hier direkt weiterlesen im juris PartnerModul IT-Recht