Wo liegen die Unterschiede zwischen gemeinsam Verantwortliche und Auftragsverarbeitung?
Wenn EU-Unternehmen bei ihrer Zusammenarbeit auch personenbezogene Daten austauschen, muss die Verantwortung für den Datenschutz geklärt werden. Eine Auftragsverarbeitung liegt nicht immer vor. Es gibt Konstellationen, in denen alle Beteiligten gemeinsam die Verantwortung tragen. Daher ist eine Begriffsabgrenzung für die richtige Vereinbarung gefragt.
Die wichtigsten Fakten in Kürze
- Die Frage nach der Form der Verantwortung, ob also entweder gemeinsam Verantwortliche (beide Unternehmen sind zumindest für einen Teil der Verarbeitung verantwortlich) oder eine Verarbeitung im Auftrag für einen anderen (Auftragsverarbeiter ist dann nicht der Verantwortlich) ist entscheidend dafür, wer für DSGVO-Verstöße haftet.
- Bei der Auftragsverarbeitung ist der Auftraggeber verantwortlich, weil der Auftragnehmer weisungsgebunden handelt.
- Bei Kollaborationen von Unternehmen sind diese oft gemeinsam Verantwortliche. Die kooperierenden Unternehmen müssen dann miteinander klären, wie sie die DSGVO-Pflichten untereinander aufteilen.
- Bei gemeinsam Verantwortliche haften die Vertragspartner gesamtschuldnerisch.
Unterscheidung zwischen Auftragsverarbeitung und gemeinsam Verantwortliche
Den Unterschied zwischen beiden Konstellationen erkennen Unternehmen anhand der Datenflüsse und des Datenaustauschs. Bei der Auftragsverarbeitung erhält das weisungsgebundene Unternehmen die Daten vom Auftraggeber.
Handelt es sich hingegen um gemeinsam Verantwortliche nach Artikel 26 DSGVO tauschen die Unternehmen die Daten untereinander in beide Richtungen aus und definieren auch gemeinsam den Zweck und die Mittel der Datenverarbeitung.
Allerdings sind die beiden Konstellationen nicht immer leicht voneinander abzugrenzen. Wenn Unklarheiten bestehen, hilft die Beantwortung dieser Fragen:
- Wer entscheidet über die Datenerhebung?
- Wer bestimmt die Dauer der Datenverarbeitung?
- Wer legt den Zugriff auf die erhobenen Daten fest?
- Wer entscheidet über den Zweck der Datenverarbeitung?
- Wer entscheidet über die Datenlöschung?
Wenn verbundene Unternehmen mehrere Personen stellen, die Entscheidungen treffen, bestimmt haben, sind diese wahrscheinlich gemeinsam Verantwortliche. Ein Datenschutzbeauftragter sollte nun die Verantwortlichkeiten definieren, um zu einer Vereinbarungen zwischen den Beteiligten zu gelangen.
Warum ist die Abgrenzung zwischen Auftragsverarbeitung oder gemeinsam Verantwortliche wichtig?
Viele Unternehmen gehen traditionell von einer Auftragsverarbeitung aus. Doch mit dem Inkrafttreten der DSGVO hat sich das geändert, was auch bedeutende EuGH-Urteile wie das zum Privacy Shield bestätigen. Gemeinsam Verantwortliche ist viel häufiger anzutreffen und führen zur Festlegung der gemeinsamen Haftungsverantwortung.
Bei einer Auftragsverarbeitung verantwortet der Auftraggeber die Datenverarbeitung und muss daher vor der Auftragsvergabe prüfen, ob der Auftragnehmer die technischen und organisatorischen Datenschutzmaßnahmen einhalten kann.
Gemeinsam Verantwortliche benötigen – jeder für sich – eine eigene Rechtsgrundlage, während die Verantwortlichen gemeinsame Entscheidungen über die Datenverarbeitung treffen und gemeinschaftlich haften.
Die Anwendung der richtigen Regelung ergibt sich unter anderem aus den Kurzpapieren der DSK (Datenschutzkonferenz), welche die Datenschutzbehörden von Bund und Ländern herausgeben.
- Die Auftragsverarbeitung beschreibt das Kurzpapier Nr. 13.
- Die gemeinsame Verantwortlichkeit ist im Kurzpapier Nr. 16 zu finden.
Fazit
Verbundene Unternehmen, die gemeinsam personenbezogene Daten verarbeiten bzw. sich gegenseitig damit beauftragen, müssen die Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit klären. Sie sollten hierüber eine vertragliche Festlegung unterzeichnen, um die Haftungsbedingungen zu kennen.
