Auftragsverarbeitung oder gemeinsame Verantwortung?

Die Frage ist für den Umgang mit Daten zwischen Unternehmen entscheidend. Denn daraus ergeben sich sehr unterschiedliche Datenschutz-Anforderungen, sowohl rechtlich wie auch organisatorisch.

Das Thema Datenschutz ist auch nach anderthalb Jahren DSGVO nicht weniger aktuell als im Mai 2018. Für viele Unternehmen waren die Änderungen bzw. die erstmalige Einführung eines Datenschutzkonzepts Grund zur Panik. Heute zeigt sich, dass das in vielen Bereichen unbegründet war. Aber auch klar ist, dass die Aufsichtsbehörden die Kontrollen verschärfen, auch die ersten hohen Bußgeldern sind inzwischen ausgesprochen worden.

Jetzt notwendige Maßnahmen ergreifen

Unternehmen sollten jetzt handeln, um selbst von Strafen verschont zu bleiben. Eine der notwendigen Maßnahmen ist die Abgrenzung zwischen einem Auftragsverarbeitungsvertrag und einer Vereinbarung zur gemeinsamen Verantwortlichkeit bei der Verarbeitung personenbezogener Daten.

Für viele Unternehmen ist diese Unterscheidung nur schwer nachvollziehbar und bedarf einiger Erfahrung. Dabei sind Fragen nach dem Kern der Dienstleistung, dem inhaltlichen Interesse der Verarbeitung von personenbezogenen Daten und der jeweiligen Weisungsgebundenheit entscheidend.

Anspruchsvoller wird diese Konstellation dann, wenn neben der per se bereits schwierigen Abgrenzung ein grenzüberschreitender Kontext hinzukommt. Eine besondere Herausforderung ist dabei die grenzüberschreitende Übermittlung von personenbezogenen Daten in Nicht-EU-Länder, sog. Drittländer wie der Schweiz.

Besondere Herausforderung Drittland

In der Schweiz findet gegenwärtig die Totalrevision des Datenschutzgesetzes statt, welche auch durch die DSGVO bedeutend geprägt wird. Aufgrund des bereits geltenden Marktortprinzips steht die Schweiz bei der Umsetzung der europäischen Standards vor einer großen Hürde. Der noch bestehende Angemessenheitsbeschluss der europäischen Kommission fordert die Schweiz zum Handeln auf, ansonsten droht er widerrufen zu werden. Tritt dieser Fall ein, müssen bilateral agierende Unternehmen bürokratisch aufwendige Maßnahmen für den Datenschutz ergreifen, wie z.B. Standarddatenschutzklauseln oder sogenannte Binding Corporate Rules abschließen. Diese würden nötig werden, um auch künftig personenbezogene Daten über die Landesgrenzen hinaus barrierefrei verarbeiten zu können. Der Datenschutz muss insbesondere im Bereich von Konzernstrukturen bzw. Verbundunternehmen mit gemeinsam genutzten Datenbeständen so organisiert sein, dass er den ausländischen Rechtsnormen zum Datenschutz ebenso genügt wie den Regelungen der DSGVO.

Ausführliche Informationen zum Thema “Gemeinsame Verantwortung” finden Sie in unserem Whitepaper von Maren Wienands, das Sie hier anfordern können.

Tags
  • DSGVO
  • Datenschutz
  • Auftragsverarbeiter
  • Auftragsverarbeitung
  • Globalisierung
  • Datenaustausch
  • Joint Controller

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649 deutschlandweiter Service