ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Verantwortung bei der Verarbeitung von Daten unter der DSGVO

/von

Immer dann, wenn personenbezogene Daten an einen Dritten übermittelt werden, bedarf es hierzu einer rechtlichen Grundlage. Insoweit hat sich zwischen dem bisherigen BDSG und der künftig anzuwendenden DSGVO nichts geändert. Während es jedoch bisher nur zwischen der streng weisungsgebundenen Auftragsdatenverarbeitung und der in Eigenverantwortung durchgeführten Funktionsübertragung zu unterscheiden galt, definiert die DSGVO eine dritte Variante.

Gemeinsam für die Verarbeitung Verantwortliche

In Art. 26 definiert die DSGVO die Anforderungen, wenn mehrere Verantwortliche eine Verarbeitung gemeinsam vornehmen. Während das bisherige BDSG eine derartige Konstellation nicht vorsah und es definitionsgemäß immer sowohl einen Auftraggeber als auch einen Auftragnehmer geben musste, eröffnet die DSGVO auch die Möglichkeit, eine Verarbeitung in gemeinsamer Verantwortlichkeit vorzunehmen. In der Literatur findet sich bisher wenig Konkretes zu dieser Art der gemeinsamen Datenverarbeitung, insbesondere fehlt es an Beispielen, welche Art gemeinsamer Datenverarbeitung unter diese Regelung fallen kann. Der Gesetzgeber hat die Abgrenzung dahingehend formuliert, dass eine gemeinsame Verantwortlichkeit immer dann vorliegt, wenn „zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung“ festlegen. Denkbar wären daher Angebote verschiedener Unternehmen, die sich gut ergänzen und daher gemeinsam angeboten werden sollen:

  • verschiedene Handwerker betreiben im Rahmen einer Kooperation eine gemeinsame Internetplattform und bieten darüber ihre Dienstleistungen an;
  • Unternehmen eines Konzerns betreiben eine gemeinsame Webseite;
  • ein Einkaufszentrum betreibt eine Webseite auf der die ansässigen Unternehmen und Geschäfte ihre Waren und Dienstleistungen einstellen können und direkt mit dem Kunden in Kontakt treten können;
  • in bestimmten Fällen wird auch die gemeinsame Datenverarbeitung innerhalb eines Konzerns unter diese Regelung fallen können.

Anforderungen des Gesetzgebers

Für den Gesetzgeber war es insbesondere wichtig, dass die Transparenz der Verarbeitung und die Möglichkeiten für die betroffenen Personen, ihre Betroffenenrechte geltend zu machen unter der Gemeinsamkeit der Verantwortlichkeit nicht verloren gehen. Daher ist eine Vereinbarung zu treffen, in der Folgendes in transparenter Form festgelegt ist:

  • Aufteilung der Verpflichtungen aus der DSGVO, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht;
  • wer welchen Informationspflichten gemäß den Artikeln 13 und 14 DSGVO nachkommt;

Funktionen und Beziehungen der gemeinsamen Verantwortlichen.

Die wesentlichen Inhalte dieser Vereinbarung sind der betroffenen Person zur Verfügung zu stellen. Ungeachtet der vereinbarten Aufteilungen ist die betroffene Person berechtigt, alle sich aus der DSGVO ergebenden Rechte gegenüber jedem einzelnen der Verantwortlichen geltend zu machen.

Konzernprivileg

Ob diese Regelung künftig in Konzernen angewandt werden kann, und die bisher in Konzernen häufig übliche Anwendung von Verträgen zur Auftragsverarbeitung zwischen den Unternehmen ersetzen wird, muss die künftige Positionierung der Aufsichtsbehörden oder die Rechtsprechung zeigen. Wir gehen davon aus, dass dies nur in denjenigen Einzelfällen möglich sein wird, in denen tatsächlich eine gemeinsame Verantwortlichkeit für unterschiedliche Verarbeitungen vorliegt. Der klassische Fall, dass zum Beispiel eine Holding zentrale Dienstleistungen (Rechenzentrum, Lohn- Gehaltsabrechnung) zur Verfügung stellt, wird wohl weiterhin als Auftragsverarbeitung gemäß Art. 28 DSGVO anzusehen sein.

Übermitteln Sie personenbezogene Daten an andere Unternehmen oder innerhalb des Konzerns? Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Abgrenzung zwischen Auftragsverarbeitung, Funktionsübertragung oder gemeinsamer Verantwortlichkeit sowie bei der Ausgestaltung der jeweils notwendigen Vereinbarungen.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
datenlöschung löschen schreddern vernichten 17 dsgvoDatenschutz-gerechte Datenlöschung nach BGSG
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21Sichtweisen der Aufsichtsbehörden zu Tracking Tools und DSGVO
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaKosten für Kontrollen im Rahmen der Auftragsverarbeitung
aufsichtsbehörde bußgeld eprivacy verordnung epvo schadensersatzErste Bußgelder nach DSGVO verhängt
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukEU-Datenschutzgrundverordnung (DSGVO) passiert EU Rat
testen mit echtdatenTesten mit Echtdaten – Eine echte Herausforderung der DSGVO