Die Nutzung von Dienstleister zur Auslagerung von Tätigkeiten und Prozessen ist ein oft vorhandener Prozess in einer Organisation. Verantwortliche und Auftragsverarbeiter, zu welchem die Dienstleister im Sinne der DSGVO meisten werden, bedürfen eines genauen Blickes im Hinblick auf die Verantwortung. Vor diesem Hintergrund ist eine Differenzierung bzw. Erkennung der alleinigen Verantwortlichkeit, der gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung in der Praxis von größter Bedeutung.
Verantwortliche
Verantwortlich ist nach der DSGVO in erster Linie die Person, welche für die Einhaltung der Datenschutznormen verantwortlich und in Art. 4 Nr. 7 DSGVO legal definiert ist. Denn der Begriff des Verantwortlichen ist von großer Bedeutung, wenn es um die Ausübung und Einhaltung der Betroffenenrechte geht. Denn Verantwortliche:r ist gemäß Art. 4 Nr. 7 DSGVO eine juristische oder eine natürliche Person, eine Behörde, eine Einrichtung oder andere Stelle. Grundlegendes Erkennungsmerkmal eines Verantwortlichen im Sinne der Verordnung ist die Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in der jeweiligen Organisation.
Entscheidungsmacht ist maßgeblich
Die Entscheidungsmacht ist maßgeblich für die vorhandene Verantwortung und ist anhand der Umstände des Einzelfalls zu prüfen. Diese Entscheidungsmacht kann allerdings auch aus gesetzlichen Regelungen des Unionsrechts oder eines Mitgliedstaates resultieren. Zum Beispiel wenn ein Beteiligter zu einer Datenverarbeitung zu einem bestimmten Zweck gesetzlich verpflichtet ist. Oder zur Erfüllung einer Aufgabe dient, für die eine Datenverarbeitung erforderlich ist. Daher sind die abgeschlossenen Verträge zwischen den Beteiligten zu prüfen und maßgeblich dabei ist der tatsächliche Einfluss auf die Datenverarbeitung. Datenschutzrechtliche Rolle eines Akteurs sind somit nicht verhandelbar.
Verantwortliche
Bei einer Datenverarbeitung unter Beteiligung von mehreren Akteuren ist neben einer getrennten alleinigen Verantwortlichkeit auch eine Verarbeitung in Form einer gemeinsamen Verantwortlichkeit oder einer Auftragsverarbeitung möglich. Die Unterscheidung der unterschiedlichen Verarbeitungsformen ist an die unterschiedlichen bußgeldbewehrten Pflichten geknüpft und daher unentbehrlich.
Auftragsverarbeiter
Verantwortliche benötigen für die Datenverarbeitung immer eine eigene Rechtsgrundlage, diese gilt auch für die Datenverarbeitung durch den Auftragsverarbeiter wenn keine weitere Rechtsgrundlage erforderlich als diejenige, auf die sich die Datenverarbeitung durch den Verantwortlichen stützt. Dabei bildet ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO die Grundlage für die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter durch Verantwortliche.
Gemeinsame Verantwortlichen
Sind die Voraussetzungen für eine gemeinsame Verantwortlichkeit gegeben, dann müssen gemeinsam Verantwortliche gemäß Art. 26 Abs. 1 S.2 DSGVO in einer Vereinbarung u.a. festlegen, welche datenschutzrechtlichen Pflichten von welcher Seite erfüllt sind. Der erste Schritt ist daher eine Prüfung, ob es sich um Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO handelt oder ob er die personenbezogenen Daten im Auftrag von Verantwortlichen verarbeitet werden. Ist dieses der Fall, dann ist im zweiten Schritt zu prüfen, ob diese als getrennte alleinige Verantwortliche oder als gemeinsame Verantwortliche anzusehen sind.
Der feine Unterschied
Im Unterschied zum Verantwortlichen entscheidet der Auftragsverarbeiter nicht selbst über die Mittel und Zwecke der Datenverarbeitung, sondern setzt lediglich die Weisungen von Verantwortlichen um. Entscheidungskriterium für die Abgrenzung zwischen der Auftragsverarbeitung und der Verantwortlichkeit ist daher, ob der jeweilige Akteur einen Einfluss auf die Datenverarbeitung hat.
Allerdings lassen sich bei Auftragsverarbeitern durchaus Spielräume in Bezug auf die Mittel der Verarbeitung einräumen, ohne dass hierdurch eine Verantwortlichkeit entsteht. Hinsichtlich der Mittel der Verarbeitung ist zwischen den technischen und organisatorischen Aspekten der Datenverarbeitung und den wesentlichen Mitteln zu unterscheiden. Die Entscheidung über die technischen und organisatorischen Mittel (TOMs), zum Beispiel die eingesetzte Hard- oder Software für die Datenverarbeitung, lässt sich unproblematisch auf Auftragsverarbeiter übertragen.
Kann ein Beteiligter jedoch über die wesentlichen Mittel der Datenverarbeitung entscheiden, wie zum Beispiel:
- dem Zweck
- dem Umfang
- der Rechtmäßigkeit der Verarbeitung
- der Speicherdauer der Daten
- der Kategorien von Betroffenen
- der Kategorien von Empfängern
- der Art der personenbezogenen Daten
Dann ist immer eine Verantwortung für die Datenverarbeitung gegeben. Auftragsverarbeiter sind daher eher ein verlängerter Arm des Verantwortlichen und verarbeiten personenbezogene Daten nach Weisungen des Verantwortlichen.
Auftragsverarbeitung – Art. 28 DSGVO
Nachfolgend ein Beispiel für eine Auftragsverarbeitung:
Der IT-Dienstleister D erbringt für ein Unternehmen U Dienstleistungen im Zusammenhang mit der Webseite des Unternehmens, indem er das Hosting der Webseite technisch umsetzt.
Dabei verarbeitet D auch personenbezogene Daten der Nutzer im Auftrag des U. V und D sind daher verpflichtet, für die Abwicklung der Dienstleistungen im Zusammenhang mit dem Webseiten-Hosting einen AV-Vertrag abzuschließen, da D personenbezogene Daten des U in dessen Auftrag weisungsgebunden verarbeitet.
Gemeinsame Verantwortlichkeit – Art. 26 DSGVO
Eine gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 S. 1 DSGVO besteht, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen. Die Unternehmen A und B haben ein gemeinsames Produkt auf den Markt gebracht (Co-Branding) und möchten nun ein Event organisieren, um das Produkt zu vermarkten. Dazu teilen sie Daten aus ihren jeweiligen Kund:innen-Datenbanken und erstellen daraus die Liste der Personen, die eine Einladung erhalten. Sie einigen sich auch über die Modalitäten des Einladungsversands, wie ein Feedback während des Events eingeholt wird und über weitere Werbemaßnahmen. Da A und B in diesem Kontext zusammen die definierten Zwecke und wesentlichen Mittel der Datenverarbeitung festlegen, sind diese gemeinsam verantwortlich.
Vorgehensweise
Die Rollen der beteiligten Personen bei einer Datenverarbeitung von personenbezogenen Daten bringen unterschiedliche datenschutzrechtliche Pflichten mit sich und eine Nichteinhaltung kann mit einem Bußgeld sanktioniert werden. Eine korrekte Einordnung der unterschiedlichen Rollen ist daher zwingend erforderlich und setzt eine Prüfung aller Umstände des Einzelfalls voraus. Unternehmen sind daher gut beraten, ihre:n Datenschutzbeauftrage:n bei solchen Prüfungen frühzeitig einzubinden.
Also lassen Sie sich gut beraten.
1 Kommentar