ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo

Verantwortung bei der Verarbeitung von Daten unter der DSGVO

/von

Immer dann, wenn personenbezogene Daten an einen Dritten übermittelt werden, bedarf es hierzu einer rechtlichen Grundlage. Insoweit hat sich zwischen dem bisherigen BDSG und der künftig anzuwendenden DSGVO nichts geändert. Während es jedoch bisher nur zwischen der streng weisungsgebundenen Auftragsdatenverarbeitung und der in Eigenverantwortung durchgeführten Funktionsübertragung zu unterscheiden galt, definiert die DSGVO eine dritte Variante.

Gemeinsam für die Verarbeitung Verantwortliche

In Art. 26 definiert die DSGVO die Anforderungen, wenn mehrere Verantwortliche eine Verarbeitung gemeinsam vornehmen. Während das bisherige BDSG eine derartige Konstellation nicht vorsah und es definitionsgemäß immer sowohl einen Auftraggeber als auch einen Auftragnehmer geben musste, eröffnet die DSGVO auch die Möglichkeit, eine Verarbeitung in gemeinsamer Verantwortlichkeit vorzunehmen. In der Literatur findet sich bisher wenig Konkretes zu dieser Art der gemeinsamen Datenverarbeitung, insbesondere fehlt es an Beispielen, welche Art gemeinsamer Datenverarbeitung unter diese Regelung fallen kann. Der Gesetzgeber hat die Abgrenzung dahingehend formuliert, dass eine gemeinsame Verantwortlichkeit immer dann vorliegt, wenn „zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung“ festlegen. Denkbar wären daher Angebote verschiedener Unternehmen, die sich gut ergänzen und daher gemeinsam angeboten werden sollen:

  • verschiedene Handwerker betreiben im Rahmen einer Kooperation eine gemeinsame Internetplattform und bieten darüber ihre Dienstleistungen an;
  • Unternehmen eines Konzerns betreiben eine gemeinsame Webseite;
  • ein Einkaufszentrum betreibt eine Webseite auf der die ansässigen Unternehmen und Geschäfte ihre Waren und Dienstleistungen einstellen können und direkt mit dem Kunden in Kontakt treten können;
  • in bestimmten Fällen wird auch die gemeinsame Datenverarbeitung innerhalb eines Konzerns unter diese Regelung fallen können.

Anforderungen des Gesetzgebers

Für den Gesetzgeber war es insbesondere wichtig, dass die Transparenz der Verarbeitung und die Möglichkeiten für die betroffenen Personen, ihre Betroffenenrechte geltend zu machen unter der Gemeinsamkeit der Verantwortlichkeit nicht verloren gehen. Daher ist eine Vereinbarung zu treffen, in der Folgendes in transparenter Form festgelegt ist:

  • Aufteilung der Verpflichtungen aus der DSGVO, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht;
  • wer welchen Informationspflichten gemäß den Artikeln 13 und 14 DSGVO nachkommt;

Funktionen und Beziehungen der gemeinsamen Verantwortlichen.

Die wesentlichen Inhalte dieser Vereinbarung sind der betroffenen Person zur Verfügung zu stellen. Ungeachtet der vereinbarten Aufteilungen ist die betroffene Person berechtigt, alle sich aus der DSGVO ergebenden Rechte gegenüber jedem einzelnen der Verantwortlichen geltend zu machen.

Konzernprivileg

Ob diese Regelung künftig in Konzernen angewandt werden kann, und die bisher in Konzernen häufig übliche Anwendung von Verträgen zur Auftragsverarbeitung zwischen den Unternehmen ersetzen wird, muss die künftige Positionierung der Aufsichtsbehörden oder die Rechtsprechung zeigen. Wir gehen davon aus, dass dies nur in denjenigen Einzelfällen möglich sein wird, in denen tatsächlich eine gemeinsame Verantwortlichkeit für unterschiedliche Verarbeitungen vorliegt. Der klassische Fall, dass zum Beispiel eine Holding zentrale Dienstleistungen (Rechenzentrum, Lohn- Gehaltsabrechnung) zur Verfügung stellt, wird wohl weiterhin als Auftragsverarbeitung gemäß Art. 28 DSGVO anzusehen sein.

Übermitteln Sie personenbezogene Daten an andere Unternehmen oder innerhalb des Konzerns? Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Abgrenzung zwischen Auftragsverarbeitung, Funktionsübertragung oder gemeinsamer Verantwortlichkeit sowie bei der Ausgestaltung der jeweils notwendigen Vereinbarungen.

Das könnte Sie auch interessieren
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie Rechtsgrundlagen: Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungLDSG oder BDSG – was gilt wann?
beschwerde aufsicht 77Serie Betroffenenrechte: Das Recht auf Beschwerde bei der Aufsicht nach Art. 77 DSGVO
verschlüsselung supportende windows 7https-Verschlüsselung immer und auf allen Seiten!
Privacy Shield – aktueller Sachstand (19.02.2016)
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoDie Verpflichtung auf das Datengeheimnis nach der DSGVO
Datenschutz-Zertifizierungen nach der DS-GVOstandard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenbdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungBeschäftigtendatenschutz nach der DSGVO und dem BDSG-neu