Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 551 000
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Wenn in der EU agierende Unternehmen im Rahmen einer Zusammenarbeit personenbezogene Daten austauschen und verarbeiten, stellt sich die Frage: Wer haftet für den DatenschutzNicht immer liegt eine Auftragsverarbeitung vor. In bestimmten Konstellationen tragen alle Beteiligten die gemeinsame Verantwortlichkeit. Hier ist eine klare Abgrenzung der Begriffe gefragt, um die richtige Vereinbarung zu treffen und Bußgelder zu vermeiden. 

Das Wichtigste in Kürze

  • Die Auftragsverarbeitung und gemeinsame Verantwortlichkeit regeln, wie personenbezogene Daten verarbeitet werden und wer dafür die Verantwortung trägt. 
  • Bei einer Auftragsverarbeitung betraut ein Auftraggeber einen Auftragnehmer mit der Verarbeitung personenbezogener Daten zu einem bestimmten Zweck (z. B. lässt ein Unternehmen Werbung mit Kundenadressen von einem Lettershop drucken).  
  • Der Auftraggeber ist der alleinige Verantwortliche, der Auftragnehmer handelt weisungsgebunden.  
  • Bei der gemeinsamen Verantwortlichkeit sind mehrere Stellen gemeinsam zuständig (zum Beispiel innerhalb einer Unternehmensgruppe). 
  • Gemeinsam Verantwortliche müssen im Rahmen einer Vereinbarung festlegen, wer welche in der DS-GVO geregelten Pflichten erfüllt. 
  • Vertragspartner haften bei gemeinsamer Verantwortlichkeit gesamtschuldnerisch. 

In diesem Beitrag

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit? 

Die Auftragsverarbeitung und die gemeinsame Verantwortlichkeit im Sinne der DS-GVO sind ein ungleiches PaarIn beiden Fällen ist eine Vereinbarung zwischen den Verantwortlichen nötig. Doch wer diese Verantwortlichen sind, hängt vom jeweiligen Fall ab. Den Unterschied erkennen Sie daranwelche Datenflüsse vorliegen und wer mit wem Daten austauscht: 

a) Bei einem Verhältnis zur Auftragsverarbeitung beauftragt der Verantwortliche einen Auftragnehmer. Der Auftragnehmer ist weisungsgebunden und ist nicht beteiligt an der Entscheidung über die Zwecke und die Mittel der Datenverarbeitung

Beispiel: Ein Unternehmen beauftragt einen Lettershop mit dem Druck personalisierter Werbung und übermittelt ihm dazu die Adressen seiner Kunden. Als Verantwortlicher legt das Unternehmen in einem Auftragsverarbeitungsvertrag (AVV) Zweck (Flyer ausdrucken) und Mittel (geeignete Software) zur Verarbeitung personenbezogener Daten durch den Auftragnehmer fest. Dieser führt dann weisungsgebunden den Auftrag durch. 

 

b) Wenn mehrere Verantwortliche die Verarbeitung der personenbezogenen Daten festlegen, dann greift Art. 26 DS-GVO zur gemeinsamen Verantwortlichkeit. Hier werden die Zwecke der Datenverarbeitung sowie die dafür genutzten Mittel gemeinsam definiert. Eine transparente Vereinbarung regelt dann, wie betroffene Personen ihre Rechte wahrnehmen können.  

Beispiel: In einer Organisation übernimmt Unternehmen A die Personalverwaltung für Unternehmen BDa hier ein gemeinsames Interesse an der Datenverarbeitung vorliegt, legen die zwei Verantwortlichen zusammen Zweck (Personalverwaltung) und Mittel (gemeinsame Personalsoftware) fest. Ein klassischer Fall von Shared Service innerhalb einer Unternehmensgruppe, bei dem in der Regel die gemeinsame Verantwortlichkeit greift. 

 

Welche Kriterien helfen bei der Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit? 

Eine Abgrenzung der beiden Regelungen kann kompliziert werdenIm Wesentlichen kommt es darauf an, wie die Datenflüsse vorliegen und wer mit wem Daten austauscht. Folgende Fragen verschaffen Ihnen mehr Klarheit darüber, welche Regelung für die Verarbeitung personenbezogener Daten in Ihrem Fall gilt: 

  • Wer entscheidet, welche Daten erhoben werden? 
  • Wer bestimmt, wie lange die Daten verarbeitet werden? 
  • Wer legt fest, wer Zugriff auf die Daten hat? 
  • Wer entscheidet, für welchen Zweck die Daten verarbeitet werden? 
  • Wer entscheidet darüber, ob die Daten gelöscht werden dürfen? 

Wenn Sie in Ihrer Unternehmenskonstellation mehrere Entscheider ermittelt haben, ist es ein erster Hinweis darauf, dass möglicherweise eine gemeinsame Verantwortlichkeit besteht. Als Nächstes sollten Sie sich an Ihren Datenschutzbeauftragten wenden, um die Verantwortlichkeiten und die zu treffenden Vereinbarungen zwischen allen Beteiligten genauer zu definieren. 

Warum ist eine Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit für Unternehmen wichtig? 

Bisher gingen viele Unternehmen davon aus, dass bei einer firmenübergreifenden Zusammenarbeit automatisch die Auftragsverarbeitung greift. Spätestens seit dem Inkrafttreten der DS-GVO und einigen bedeutenden Urteilen des EuGHs (z. B. zum Privacy Shield) ist die gemeinsame Verantwortlichkeit in den Fokus gerückt. Auch Aufsichtsbehörden nehmen das Thema immer ernster. Die Regelungen zu kennen und richtig umzusetzen schützt Unternehmen vor Geldstrafen. 

Darüber hinaus ist die genaue Trennung auch wichtig für die Klärung der Frage, welches Unternehmen bei Anliegen rund um Datenschutzanfragen und -verstößen haftet. Die Betroffenenrechte können nämlich bei der gemeinsamen Verantwortlichkeit anders geltend gemacht werden und mehrere Beteiligte involvieren. 

Und die Konstellationen abzugrenzen, bringt noch einen weiteren Vorteil: Wer sich mit den Datenflüssen im Unternehmen auseinandersetzt, kann die entsprechenden Prozesse entsprechend optimieren und ggf. Schritte bei der Datenverarbeitung einsparen. 

Wer haftet bei der Auftragsverarbeitung bzw. der gemeinsamen Verantwortlichkeit? 

Bei der Auftragsverarbeitung entscheidet der Verantwortliche, der den Auftrag zur Datenverarbeitung vergibt, über den Zweck der Verarbeitung. Der Auftragnehmer ist ihm gegenüber weisungsgebunden. Die Rechtsgrundlage für die Verarbeitung liegt in der Verantwortung des Auftraggebers. Seine Gesamtverantwortung umfasst auch die Datenverarbeitung durch den Auftragsverarbeiter mit allen rechtlichen Folgen.  

Dazu muss der Verantwortliche vor Auftragsvergabe auch prüfen, ob der Auftragsverarbeiter garantiert in der Lage ist, technische und organisatorische Datenschutzmaßnahmen anzuwenden. Zudem muss er klären, ob der Schutz der Rechte der betroffenen Personen gewährleistet wird. Der Auftragsverarbeiter haftet nur, wenn er die personenbezogenen Daten zu Zwecken verarbeitet, die nicht vom Verantwortlichen festgelegt wurden. 

Das ist bei der gemeinsamen Verantwortlichkeit anders. Jeder Verantwortliche braucht eine eigene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten. Die Verantwortlichen entscheiden gemeinsam über die Zwecke und Mittel der Verarbeitung und nehmen bestimmenden Einfluss auf die Datenverarbeitung. Dabei können die einzelnen Stellen in einem unterschiedlichen Maß mitbestimmen. Trotzdem haften sie bei rechtswidriger Datenverarbeitung gemeinschaftlich. 

Welche Regelung muss in welchem Fall angewendet werden? 

Für eine praktische Orientierung, wie sich die Regelungen der DS-GVO auslegen lassen, sind die Kurzpapiere der Datenschutzkonferenz (DSK) hilfreich. Dahinter stehen die unabhängigen Datenschutzbehörden des Bundes und der Länder. Eine detaillierte Auslegung zur Auftragsverarbeitung ist im Kurzpapier Nr. 13 der DSK festgehalten. Nähere Informationen zur gemeinsamen Verantwortlichkeit finden Sie im Kurzpapier Nr. 16 der DSK. 

Wann ist die Vertragsgestaltung besonders kompliziert? 

Die EU-Datenschutz-Grundverordnung (DS-GVO) muss immer angewendet werden, wenn ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter mit Sitz in der EU beteiligt ist. Dabei ist es nicht relevant, ob die Verarbeitung der personenbezogenen Daten in der EU stattfindet. In diesem Fall muss Ihr Unternehmen aber neben einem wirksamen Vertrag ein angemessenes Schutzniveau durch Garantien wie EU-Standardvertragsklauseln oder Binding Corporate Rules vorweisen. 

In diesem Sinne müssen Sie klären, ob eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Wenn die zu verarbeitenden personenbezogenen Daten nicht in der EU erhoben, verarbeitet oder genutzt werden, dann müssen die Verantwortlichen Verträge mit entsprechenden Garantien schließen, die die persönlichen Daten der Betroffenen  wie durch die DS-GVO vorgesehen  schützen. 

Was muss bei der konzerninternen Zusammenarbeit bedacht werden?  

Eine weitere Herausforderung liegt in der gemeinsamen Verantwortlichkeit bei einer konzerninternen ZusammenarbeitWenn die Personal- oder Kundendaten oder die IT zentral organisiert werden, dann sind die Konzerngesellschaften gemeinsam verantwortlich für die Datenverwaltung. Kommen neue Konzerngesellschaften dazu, müssen die Verträge neu geregelt werden, weil die Datenflüsse ergänzt werden. 

Mehr zur konzerninternen Zusammenarbeit finden Sie in unserem Artikel Datenschutz und Datenübermittlung im Konzern – das ist zu beachten.  

Wie sieht die Unterstützung durch den Datenschutzbeauftragten aus? 

Ein Datenschutzbeauftragter kann Unternehmen bei der Klärung der Frage unterstützen, ob in ihrem Fall eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Dazu nimmt er alle Vorgänge zur Datenverarbeitung in ihrer konkreten Konstellation genau unter die Lupe. Außerdem klärt er mit ihnen, ob und inwieweit sie Einwilligungen von Betroffenen einholen und in welchem Rahmen sie diese über die wesentlichen Inhalte der Vereinbarungen informieren müssen. 

Fazit 

Ob Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vorliegt, hängt davon ab, wer am Austausch und der Verarbeitung der personenbezogenen Daten beteiligt ist. Grundsätzlich gilt: Wer keinen Entscheidungsspielraum hat und nur weisungsgebunden handelt, ist in der Regel ein Auftragsverarbeiter. Verantwortlich für eine personenbezogene Datenverarbeitung ist hingegen, wer über die Zwecke und Mittel der Verarbeitung entscheidet. 

Je nach Unternehmenskonstellation kann sich die Ermittlung der richtigen Regelung komplex gestaltenDennoch ist eine genaue Abgrenzung unbedingt nötig, um die Betroffenenrechte DS-GVO-konform zu wahren und Geldstrafen zu vermeiden. Unternehmen sollten sich daher zunächst mit ihren Datenflüssen auseinandersetzen mithilfe ihres Datenschutzbeauftragten die Verantwortlichkeiten klären.

 

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenloses Erstgespräch vereinbaren

 

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close