Nicht mehr ganz neu im Datenschutz, aber weiter kompliziert: Joint Controller vs. Auftragsverarbeitung

Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ ist mit Inkrafttreten der DSGVO und durch die Rechtsprechung des Europäischen Gerichtshofes zu einem Thema geworden, das zu vielen Fragen und Unsicherheiten in der Praxis führt. Was ist darunter zu verstehen und was gilt es für Unternehmen zu beachten? UIMC gibt einen kurzen Überblick:

Das Prinzip der „gemeinsamen Verantwortlichkeit“ war zwar schon in der Richtlinie 95/46/EG aus dem Jahr 1995 vorhanden, hat aber in Deutschland erst mit EU-Datenschutzgrundverordnung (DSGVO) praktische Relevanz bekommen. Ziel ist es, für die betreffende Person, also zum Beispiel für den Verbraucher, transparent zu machen, wer für die Datenverarbeitung verantwortlich ist, auch wenn es mehrere Akteure gibt. Wörtlich heißt es in Artikel 26 der DSGVO:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt […].“

Jeder der beteiligten Verantwortlichen hat einen „bestimmenden tatsächlichen Einfluss“ auf die Datenverarbeitung, er übt also auch Kontrolle darüber aus. Abzugrenzen ist die „gemeinsame Verantwortlichkeit“ unter anderem von der Auftragsdatenverarbeitung. Der wesentliche Unterschied liegt im gestaltenden Einfluss auf die Mittel und Zwecke, also die Art und Weise und die Ziele der Datenverarbeitung. Ein Auftragsdatenverarbeiter arbeitet im übertragenen Sinne als „verlängerter Arm“ des Auftraggebers, ist ihm aber weisungsgebunden und hat kein eigenes Interesse an den Daten oder dem Ergebnis der Verarbeitung. Klassische Beispiele sind die Digitalisierung des Archivs oder auch gemeinsame Kundendatenbanken in Konzernen.

Gemeinsame Verantwortlichkeit bedeutet nicht automatisch gleichwertige Verantwortlichkeit. Bereits relativ geringe Beiträge zu einer vermeintlich fremden Datenverarbeitung können zur gemeinsamen Verantwortlichkeit führen. Praktische Beispiele sind die „Gefällt mir“-Buttons von Facebook, die auf Webseiten von Unternehmen eingebunden werden können. Der Europäische Gerichtshof hat in einem Rechtsstreit zwischen der Verbraucherzentrale und einem Online-Händler vor dem Landgericht Düsseldorf klargestellt, dass Facebook und Unternehmen, die „Gefällt mir“-Buttons auf ihrer Webseite einbinden, für die Erhebung und Übermittlung personenbezogener Daten gemeinsam verantwortlich sind. Es mache auch keinen Unterschied, dass das Unternehmen keinen direkten Zugriff auf die von Facebook erhobenen Daten habe. Entscheidend ist, dass beide mit der Verarbeitung eigene Zwecke und Ziele verfolgen. Facebook stellt den Unternehmen mit den sogenannten „Insights“ zwar Daten der Nutzer zur Verfügung, nutzt diese aber auch selbst in größerem Umfang.

„In der Praxis ist es wichtig zu erkennen, ob eine gemeinsame Verantwortlichkeit vorliegen könnte. Dann sollten mit dem jeweiligen Partner die Zuständigkeiten geregelt und den betreffenden Personen transparent gemacht werden.“ rät der Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. UIMC hat eigene Checklisten im Rahmen einer Praxishilfe entwickelt, um die einzelnen Rechtskonstrukte voneinander abzugrenzen und klar zu erkennen. Diese kann über http://praxishilfen.uimcollege.de kostenfrei abgerufen werden.

„Die „gemeinsame Verantwortlichkeit“ ist nach wie vor ein Thema mit viel Bewegung und wir beobachten gerichtliche Entscheidungen und Veröffentlichungen der Aufsichtsbehörden genau.“ Im Zweifel rät Dr. Voßbein betroffenen Unternehmen, sich professionell beraten zu lassen um eventuelle Bußgelder und Haftungsrisiken zu vermeiden.

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel