Abgrenzung von Verantwortlichem, Auftragsverarbeiter und gemeinsam Verantwortlichen

Vermehrt werden uns Fragen zur Abgrenzung der Verantwortlichkeit für die Verarbeitung personenbezogener Daten gestellt. Im Wesentlichen kennt die DS-GVO an dieser Stelle drei Akteure. Zum einen gibt es den Verantwortlichen an sich, der nach Art. 4 Nr. 7 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam oder mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zum anderen gibt es den Auftragsverarbeiter. Dieser wird in Art. 4 Nr. 8 DS-GVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.

Das dritte möglich Konstrukt geht in Art. 26 DS-GVO davon aus, dass mehrere Akteure gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich sein könnten (Joint Controllership). Wichtig ist hierbei die Klarstellung in Abs. 1 des Artikels 26, wonach eine gemeinsame Verantwortlichkeit mehrerer Stellen vorliegt, wenn alle Stellen gemeinsam die Zwecke sowie die Mittel zur Verarbeitung festlegen. Somit liegt eine gemeinsame Verantwortung dann vor, wenn mindestens zwei Verantwortliche (siehe Art. 4 Nr. 7 DS-GVO) gemeinsam personenbezogene Daten verarbeiten.

Aktuell gibt es nur wenige Veröffentlichungen von Seiten der Aufsichtsbehörden, die sich mit dem Thema der gemeinsamen Verantwortlichkeit beschäftigen, obwohl die Rechtsfigur und die in dieser Verbindung auftretenden Fragen seit Bekanntwerden des Art. 26 DS-GVO, große Fragezeichen auslösen. Es ist beispielsweise bis heute unklar, wie eine vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten ist. Hierfür gibt es durchaus vereinzelt Mustervereinbarungen, jedoch bisher keine einheitliche aller Aufsichtsbehörden.

Im Rahmen einer Konsultation zu diesem Thema versucht aktuell der Europäische Datenschutzausschuss (EDSA) eine klare Abgrenzung für die Praxis zu finden. Hierzu wurde von der EDSA ein Entwurf für eine Stellungnahme zur Abgrenzung von Verantwortlichem, Auftragsverarbeiter und gemeinsam Verantwortlichen veröffentlicht. Hierzu soll es bis spätesten zum 19. Oktober 2020 Rückmeldungen geben und im Anschluss eine finale Version des Dokuments veröffentlicht werden.

Kontaktieren Sie uns!

Sollten Sie zu diesem Thema oder weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes. Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog