11 Min

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Wenn in der EU agierende Unternehmen im Rahmen einer Zusammenarbeit personenbezogene Daten austauschen und verarbeiten, stellt sich die Frage: Wer haftet für den Datenschutz? Nicht immer liegt eine Auftragsverarbeitung vor. In bestimmten Konstellationen tragen alle Beteiligten die gemeinsame Verantwortlichkeit. Hier ist eine klare Abgrenzung der Begriffe gefragt, um die richtige Vereinbarung zu treffen und Bußgelder zu vermeiden.

Das Wichtigste in Kürze

  • Die Auftragsverarbeitung und gemeinsame Verantwortlichkeit regeln, wie personenbezogene Daten verarbeitet werden und wer dafür die Verantwortung trägt.
  • Bei einer Auftragsverarbeitung betraut ein Auftraggeber einen Auftragnehmer mit der Verarbeitung personenbezogener Daten zu einem bestimmten Zweck (z. B. lässt ein Unternehmen Werbung mit Kundenadressen von einem Lettershop drucken).
  • Der Auftraggeber ist der alleinige Verantwortliche, der Auftragnehmer handelt weisungsgebunden.
  • Bei der gemeinsamen Verantwortlichkeit sind mehrere Stellen gemeinsam zuständig (zum Beispiel innerhalb einer Unternehmensgruppe).
  • Gemeinsam Verantwortliche müssen im Rahmen einer Vereinbarung festlegen, wer welche in der DS-GVO geregelten Pflichten erfüllt.
  • Vertragspartner haften bei gemeinsamer Verantwortlichkeit gesamtschuldnerisch.

 

In diesem Beitrag

 

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Die Auftragsverarbeitung und die gemeinsame Verantwortlichkeit im Sinne der DS-GVO sind ein ungleiches Paar. In beiden Fällen ist eine Vereinbarung zwischen den Verantwortlichen nötig. Doch wer diese Verantwortlichen sind, hängt vom jeweiligen Fall ab. Den Unterschied erkennen Sie daran, welche Datenflüsse vorliegen und wer mit wem Daten austauscht:

a) Bei einem Verhältnis zur Auftragsverarbeitung beauftragt der Verantwortliche einen Auftragnehmer. Der Auftragnehmer ist weisungsgebunden und ist nicht beteiligt an der Entscheidung über die Zwecke und die Mittel der Datenverarbeitung

Beispiel: Ein Unternehmen beauftragt einen Lettershop mit dem Druck personalisierter Werbung und übermittelt ihm dazu die Adressen seiner Kunden. Als Verantwortlicher legt das Unternehmen in einem Auftragsverarbeitungsvertrag (AVV) Zweck (Flyer ausdrucken) und Mittel (geeignete Software) zur Verarbeitung personenbezogener Daten durch den Auftragnehmer fest. Dieser führt dann weisungsgebunden den Auftrag durch.

 

b) Wenn mehrere Verantwortliche die Verarbeitung der personenbezogenen Daten festlegen, dann greift Art. 26 DS-GVO zur gemeinsamen Verantwortlichkeit. Hier werden die Zwecke der Datenverarbeitung sowie die dafür genutzten Mittel gemeinsam definiert. Eine transparente Vereinbarung regelt dann, wie betroffene Personen ihre Rechte wahrnehmen können.

Beispiel: In einer Organisation übernimmt Unternehmen A die Personalverwaltung für Unternehmen B. Da hier ein gemeinsames Interesse an der Datenverarbeitung vorliegt, legen die zwei Verantwortlichen zusammen Zweck (Personalverwaltung) und Mittel (gemeinsame Personalsoftware) fest. Ein klassischer Fall von Shared Service innerhalb einer Unternehmensgruppe, bei dem in der Regel die gemeinsame Verantwortlichkeit greift.

 

Welche Kriterien helfen bei der Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit?

Eine Abgrenzung der beiden Regelungen kann kompliziert werden. Im Wesentlichen kommt es darauf an, wie die Datenflüsse vorliegen und wer mit wem Daten austauscht. Folgende Fragen verschaffen Ihnen mehr Klarheit darüber, welche Regelung für die Verarbeitung personenbezogener Daten in Ihrem Fall gilt:

  • Wer entscheidet, welche Daten erhoben werden?
  • Wer bestimmt, wie lange die Daten verarbeitet werden?
  • Wer legt fest, wer Zugriff auf die Daten hat?
  • Wer entscheidet, für welchen Zweck die Daten verarbeitet werden?
  • Wer entscheidet darüber, ob die Daten gelöscht werden dürfen?

Wenn Sie in Ihrer Unternehmenskonstellation mehrere Entscheider ermittelt haben, ist es ein erster Hinweis darauf, dass möglicherweise eine gemeinsame Verantwortlichkeit besteht. Als Nächstes sollten Sie sich an Ihren Datenschutzbeauftragten wenden, um die Verantwortlichkeiten und die zu treffenden Vereinbarungen zwischen allen Beteiligten genauer zu definieren.

 

Warum ist eine Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit für Unternehmen wichtig?

Bisher gingen viele Unternehmen davon aus, dass bei einer firmenübergreifenden Zusammenarbeit automatisch die Auftragsverarbeitung greift. Spätestens seit dem Inkrafttreten der DS-GVO und einigen bedeutenden Urteilen des EuGHs (z. B. zum Privacy Shield) ist die gemeinsame Verantwortlichkeit in den Fokus gerückt. Auch Aufsichtsbehörden nehmen das Thema immer ernster. Die Regelungen zu kennen und richtig umzusetzen schützt Unternehmen vor Geldstrafen.

Darüber hinaus ist die genaue Trennung auch wichtig für die Klärung der Frage, welches Unternehmen bei Anliegen rund um Datenschutzanfragen und -verstößen haftet. Die Betroffenenrechte können nämlich bei der gemeinsamen Verantwortlichkeit anders geltend gemacht werden und mehrere Beteiligte involvieren.

Und die Konstellationen abzugrenzen, bringt noch einen weiteren Vorteil: Wer sich mit den Datenflüssen im Unternehmen auseinandersetzt, kann die entsprechenden Prozesse entsprechend optimieren und ggf. Schritte bei der Datenverarbeitung einsparen.

 

Wer haftet bei der Auftragsverarbeitung bzw. der gemeinsamen Verantwortlichkeit?

Bei der Auftragsverarbeitung entscheidet der Verantwortliche, der den Auftrag zur Datenverarbeitung vergibt, über den Zweck der Verarbeitung. Der Auftragnehmer ist ihm gegenüber weisungsgebunden. Die Rechtsgrundlage für die Verarbeitung liegt in der Verantwortung des Auftraggebers. Seine Gesamtverantwortung umfasst auch die Datenverarbeitung durch den Auftragsverarbeiter mit allen rechtlichen Folgen.

Dazu muss der Verantwortliche vor Auftragsvergabe auch prüfen, ob der Auftragsverarbeiter garantiert in der Lage ist, technische und organisatorische Datenschutzmaßnahmen anzuwenden. Zudem muss er klären, ob der Schutz der Rechte der betroffenen Personen gewährleistet wird. Der Auftragsverarbeiter haftet nur, wenn er die personenbezogenen Daten zu Zwecken verarbeitet, die nicht vom Verantwortlichen festgelegt wurden.

Das ist bei der gemeinsamen Verantwortlichkeit anders. Jeder Verantwortliche braucht eine eigene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten. Die Verantwortlichen entscheiden gemeinsam über die Zwecke und Mittel der Verarbeitung und nehmen bestimmenden Einfluss auf die Datenverarbeitung. Dabei können die einzelnen Stellen in einem unterschiedlichen Maß mitbestimmen. Trotzdem haften sie bei rechtswidriger Datenverarbeitung gemeinschaftlich.

 

Welche Regelung muss in welchem Fall angewendet werden?

Für eine praktische Orientierung, wie sich die Regelungen der DS-GVO auslegen lassen, sind die Kurzpapiere der Datenschutzkonferenz (DSK) hilfreich. Dahinter stehen die unabhängigen Datenschutzbehörden des Bundes und der Länder. Eine detaillierte Auslegung zur Auftragsverarbeitung ist im Kurzpapier Nr. 13 der DSK festgehalten. Nähere Informationen zur gemeinsamen Verantwortlichkeit finden Sie im Kurzpapier Nr. 16 der DSK.

 

Wann ist die Vertragsgestaltung besonders kompliziert?

Die EU-Datenschutz-Grundverordnung (DS-GVO) muss immer angewendet werden, wenn ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter mit Sitz in der EU beteiligt ist. Dabei ist es nicht relevant, ob die Verarbeitung der personenbezogenen Daten in der EU stattfindet. In diesem Fall muss Ihr Unternehmen aber neben einem wirksamen Vertrag ein angemessenes Schutzniveau durch Garantien wie EU-Standardvertragsklauseln oder Binding Corporate Rules vorweisen.

In diesem Sinne müssen Sie klären, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Wenn die zu verarbeitenden personenbezogenen Daten nicht in der EU erhoben, verarbeitet oder genutzt werden, dann müssen die Verantwortlichen Verträge mit entsprechenden Garantien schließen, die die persönlichen Daten der Betroffenen wie durch die DS-GVO vorgesehen schützen.

 

Was muss bei der konzerninternen Zusammenarbeit bedacht werden?

Eine weitere Herausforderung liegt in der gemeinsamen Verantwortlichkeit bei einer konzerninternen Zusammenarbeit. Wenn die Personal- oder Kundendaten oder die IT zentral organisiert werden, dann sind die Konzerngesellschaften gemeinsam verantwortlich für die Datenverwaltung. Kommen neue Konzerngesellschaften dazu, müssen die Verträge neu geregelt werden, weil die Datenflüsse ergänzt werden.

 

Wie sieht die Unterstützung durch den Datenschutzbeauftragten aus?

Ein externer Datenschutzbeauftragter kann Unternehmen bei der Klärung der Frage unterstützen, ob in ihrem Fall eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Dazu nimmt er alle Vorgänge zur Datenverarbeitung in ihrer konkreten Konstellation genau unter die Lupe. Außerdem klärt er mit ihnen, ob und inwieweit sie Einwilligungen von Betroffenen einholen und in welchem Rahmen sie diese über die wesentlichen Inhalte der Vereinbarungen informieren müssen.

 

Fazit

Ob Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vorliegt, hängt davon ab, wer am Austausch und der Verarbeitung der personenbezogenen Daten beteiligt ist. Grundsätzlich gilt: Wer keinen Entscheidungsspielraum hat und nur weisungsgebunden handelt, ist in der Regel ein Auftragsverarbeiter. Verantwortlich für eine personenbezogene Datenverarbeitung ist hingegen, wer über die Zwecke und Mittel der Verarbeitung entscheidet.

Je nach Unternehmenskonstellation kann sich die Ermittlung der richtigen Regelung komplex gestalten. Dennoch ist eine genaue Abgrenzung unbedingt nötig, um die Betroffenenrechte DS-GVO-konform zu wahren und Geldstrafen zu vermeiden. Unternehmen sollten sich daher zunächst mit ihren Datenflüssen auseinandersetzen mithilfe ihres Datenschutzbeauftragten die Verantwortlichkeiten klären.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Sprechen Sie uns an

 

 

Über den Autor

Maren Wienands Maren Wienands
Maren Wienands

Maren Wienands ist Juristin, zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV) und besitzt umfangreiche Kenntnisse sowohl aus der datenschutzrechtlichen als auch der IT-sicherheitsrechtlichen Perspektive. Als Team Lead Privacy (Corporate) leitete sie bei DataGuard außerdem ein Team aus Konzernexperten und unterstützte unsere Kunden bei der pragmatischen Umsetzung der DSGVO. Durch ihr Jurastudium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erhalten können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus. Durch ihre langjährige detaillierte Befassung mit diesen Themen konnte sie einen umfassenden Einblick in die gesamte Materie des Datenschutzes gewinnen.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren