Abgrenzung von Verantwortlichem, Auftragsverarbeiter und gemeinsam Verantwortlichen
Vermehrt werden uns Fragen zur Abgrenzung der Verantwortlichkeit für die Verarbeitung personenbezogener Daten gestellt. Im Grunde genommen kennt die DS-GVO an dieser Stelle drei Akteure:
- Zum einen gibt es den Verantwortlichen an sich, der nach Art. 4 Nr. 7 DS-GVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam oder mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, definiert wird.
- Zum anderen gibt es den Auftragsverarbeiter. Dieser wird in Art. 4 Nr. 8 DS-GVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.
- Das dritte mögliche Konstrukt geht in Art. 26 DS-GVO davon aus, dass mehrere Akteure gemeinsam für die Verarbeitung personenbezogener Daten verantwortlich sein könnten (Joint Controllership). Wichtig ist hierbei die Klarstellung in Abs. 1 des Artikels 26, wonach eine gemeinsame Verantwortlichkeit mehrerer Stellen vorliegt, wenn alle Stellen gemeinsam die Zwecke sowie die Mittel zur Verarbeitung festlegen. Somit liegt eine gemeinsame Verantwortung dann vor, wenn mindestens zwei Verantwortliche (siehe Art. 4 Nr. 7 DS-GVO) gemeinsam personenbezogene Daten verarbeiten.
Offene Fragen zur gemeinsamen Verantwortlichkeit
Aktuell gibt es nur wenige Veröffentlichungen von Seiten der Aufsichtsbehörden, die sich mit dem Thema der gemeinsamen Verantwortlichkeit beschäftigen. Und das obwohl die Rechtsfigur und die in dieser Verbindung auftretenden Fragen seit Bekanntwerden des Art. 26 DS-GVO, große Fragezeichen auslösen. Es ist beispielsweise bis heute unklar, wie eine vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten ist. Hierfür gibt es durchaus vereinzelt Mustervereinbarungen, jedoch bisher keine einheitliche aller Aufsichtsbehörden.
Im Rahmen einer Konsultation zu diesem Thema versucht aktuell der Europäische Datenschutzausschuss (EDSA) eine klare Abgrenzung für die Praxis zu finden. Hierzu wurde von der EDSA ein Entwurf für eine Stellungnahme zur Abgrenzung von Verantwortlichem, Auftragsverarbeiter und gemeinsam Verantwortlichen veröffentlicht. Dazu soll es bis spätestens zum 19. Oktober 2020 Rückmeldungen geben. Schließlich soll eine finale Version des Dokuments veröffentlicht werden.
Kontaktieren Sie uns!
Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Quelle: pixabay.com
Nehmen Sie gerne jederzeit Kontakt zu uns auf.