Gemeinsam Verantwortlichen
Home » DSGVO » Hauptakteure » Gemeinsam Verantwortlichen

Wer ist dieser Akteur?

Gemeinsam Verantwortliche sind zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Für solche gemeinsam Verantwortliche werden in der Datenschutz-Grundverordnung spezifische Regeln eingeführt, um die Beziehung zwischen den gemeinsam Verantwortlichen zu regeln.

Was sind deren Aufgaben?

Die Aufgaben sind die gleichen wie die eines (einzelnen) Verantwortlichen, werden aber von allen gemeinsamen Verantwortlichen gemeinsam ausgeführt.

Wann liegt eine gemeinsame Verantwortlichkeit vor?

Eine gemeinsame Verantwortlichkeit liegt vor, wenn eine bestimmte Datenverarbeitung stattfindet, bei der mehrere Verantwortliche gemeinsam die Mittel und den Zweck der Verarbeitung bestimmen. Dies bedeutet, dass mehrere Verantwortliche gemeinsam über die Verarbeitung entscheiden. Hier unterscheidet der EDSA zwischen gemeinsamen Entscheidungen und konvergierenden Entscheidungen.

  • Gemeinsame Entscheidung: Die Verantwortlichen entscheiden gemeinsam und in gemeinsamer Absicht über die Mittel und Zwecke der Verarbeitung.
  • Konvergierende Entscheidung: „Entscheidungen können als konvergierend in Bezug auf die Zwecke und Mittel angesehen werden, wenn sie einander ergänzen und für die Verarbeitung in einer Weise erforderlich sind, dass sie sich spürbar auf die Festlegung der Zwecke und Mittel der Verarbeitung auswirken.“[1] Das bedeutet, dass die Verarbeitung durch jeden Verantwortlichen mit der Verarbeitung durch den anderen Verantwortlichen verknüpft ist und ohne diese nicht möglich wäre.

Eine gemeinsame Verantwortlichkeit kann auch entstehen, wenn eine Stelle keinen Zugang zu personenbezogenen Daten hat. Was die Mittel der Verarbeitung anbelangt, so muss nicht jeder für die Verarbeitung gemeinsam Verantwortlichenimmer alle Mittel festlegen. Verschiedene Verantwortliche können in verschiedenen Phasen der Verarbeitung personenbezogener Daten unterschiedliche Mittel verwenden. Das Gleiche gilt für die Zwecke der Daten. Eine gemeinsame Verantwortlichkeit liegt vor, wenn die personenbezogenen Daten für alle Verantwortlichen zu demselben Zweck verarbeitet werden, aber auch, wenn die Zwecke der verschiedenen Verantwortlichen eng miteinander verbunden sind oder sich ergänzen. Das heißt, wenn die Verarbeitung allen Verantwortlichen zugutekommt und alle Verantwortlichen sich auf die Zwecke und Mittel geeinigt haben, liegt eine gemeinsame Verantwortlichkeit vor.

Der Begriff der gemeinsamen Verantwortlichkeit bedarf jedoch einer sorgfältigen Prüfung und muss von Fall zu Fall entschieden werden. Ein klarer Überblick über die Beziehungen zwischen allen beteiligten Parteien sowie über den Datenfluss ist elementar, um festzustellen, ob eine gemeinsame Verantwortlichkeit vorliegt oder nicht. Der EDSA liefert in seinen Leitlinien zu diesem Thema mehrere Beispiele.[2]

Was sind deren Rechte und Pflichten?

Die Rechte und Pflichten der gemeinsam Verantwortlichen sind in Art. 26 Absatz 1–2DSGVOfestgelegt. Die gemeinsam Verantwortlichen:

„legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“

Zu diesem Zweck sollten Standardverträge zwischen den gemeinsam Verantwortlichen verwendet werden, um eindeutig festzulegen, welcher Verantwortliche genau welche Verantwortlichkeiten und Aufgaben zu erfüllen hat. Dazu gehört auch die Festlegung der Zwecke der Verarbeitung sowie der Mittel für die Verarbeitung.[3] Die betroffenen Personen sollten die Kontaktinformationen eines der Verantwortlichen erhalten, damit sie leichter feststellen können, an wen sie sich bei Fragen zur Datenverarbeitung wenden können. Außerdem sollten den betroffenen Personen die Aufteilung der Zuständigkeiten und die wesentlichen Ergebnisse der Vereinbarung (des Vertrags) zwischen den gemeinsam Verantwortlichen zur Verfügung gestellt werden. So sollte beispielsweise ein Datenschutzhinweis für die betroffene Person die gemeinsam Verantwortlichen sowie deren Aufgaben und Zuständigkeiten bei der Datenverarbeitung aufführen.

Diese klare Zuweisung von Verantwortung und Haftung wird in Erwägungsgrund 79 der Datenschutz-Grundverordnung als notwendige Voraussetzung für gemeinsam Verantwortliche genannt. Allerdings fügt Art. 26 Absatz 3 jedoch hinzu, dass die betroffenen Personen ihre Fragen und Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend machen können.[4]

Beispiel 1:

Die Universitäten A, B und C beschließen, ein gemeinsames Forschungsprojekt durchzuführen. Für dieses Projekt speist jede Universität personenbezogene Daten in eine Datenbank ein, die von einer der Universitäten für das gemeinsame Forschungsprojekt bereitgestellt wurde. A, B und C verarbeiten dann die personenbezogenen Daten in dieser Datenbank für ihr gemeinsames Forschungsprojekt, da sie zuvor über die Zwecke und Mittel der Verarbeitung entschieden haben. Das bedeutet, dass in diesem Forschungsprojekt Daten gesammelt werden, um ein vorher festgelegtes Ziel zu erreichen. Die Daten werden dann mit einer bestimmten, vorher festgelegten Softwarelösung analysiert. In diesem Szenario sind A, B und C gemeinsam Verantwortliche, da sie die Mittel und Zwecke der Verarbeitung gemeinsam festgelegt haben. Daher sollten alle Universitäten durch vertragliche Vereinbarungen die Rechte und Verantwortlichkeiten jeder Partei in Bezug auf die Datenverarbeitung auf transparente Weise festlegen.[5] Darüber hinaus sollten die betroffenen Personen immer sicher sein, an welche Partei sie sich wenden können und sollten, wenn sie Fragen haben oder ihre in der DSGVO festgelegten Rechte ausüben möchten.

Verarbeitet eine Universität A personenbezogene Daten in der Datenbank zu einem anderen Zweck als dem des gemeinsamen Forschungsprojekts, so wird diese Universität A für diesen besonderen Zweck zu einem gesonderten Verantwortlichen.

Beispiel 2:

Unternehmen A ist die Muttergesellschaft einer Gruppe von Unternehmen B, C und D. Zur Speicherung von Forschungsdaten verwenden die Tochtergesellschaften eine Datenbank, die von der Muttergesellschaft A gehostet und bereitgestellt wird.
Jedes Unternehmen B, C und D kann nur auf die personenbezogenen Daten zugreifen, die es selbst in die Datenbank eingegeben hat. Außerdem verarbeitet jedes Unternehmen die Daten nur für seine eigenen Zwecke. In diesem Szenario gibt es keine gemeinsame Verantwortlichkeit. Die Unternehmen B, C und D sind getrennte Verantwortliche, da sie die Zwecke ihrer Datenverarbeitung selbst bestimmen. Unternehmen A gilt als Auftragsverarbeiter, da es ein Mittel zur Verarbeitung bereitstellt, nämlich die Speicherung der personenbezogenen Daten in seiner Datenbank.

 

Quellenangaben

1EDSA. Leitlinien 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung. Version 1. Verabschiedet am 02. September 2020. Verfügbar unter: https://edpb.europa.eu/sites/edpb/files/consultation/EDSA_guidelines_202007_controllerprocessor_en.pdf S. 18. Letzter Zugriff am 30.10.2020.

2Ebd. S.18ff für mehrere Beispiele für und gegen eine gemeinsame Verantwortlichkeit.

3Ibid. p.3

4Weitere Informationen zur gemeinsamen Verantwortlichkeit finden Sie in den Leitlinien des EDSB: Leitlinien des EDSB zu den Begriffen „Verantwortlicher“, „Auftragsverarbeiter“ und „gemeinsam Verantwortliche“ nach der Verordnung (EU) 2018/1725, S.22ff

5Für weitere Informationen über die gemeinsam Verantwortliche siehe: EDSB, Leitlinien des EDSB zu den Begriffen „Verantwortlicher“, „Auftragsverarbeiter“ und „gemeinsam Verantwortliche“ nach der Verordnung (EU) 2018/1725, November 2019, S. 16ff

 

Skip to content