Neue Orientierungshilfe zur „gemeinsamen Verantwortlichkeit“

Was die Verantwortlichkeit für die Verarbeitung personenbezogener Daten angeht, kennt die DS-GVO im Wesentlichen drei Akteure. Zum einen den Verantwortlichen, der nach Art. 4 Nr. 7 DS-GVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet und zum anderen den Auftragsverarbeiter. Der „Auftragsverarbeiter“ wird als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, der die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DS-GVO).

Die DS-GVO geht in Art. 26 DS-GVO davon aus, dass mehrere Akteure gemeinsam für Verarbeitungen im Zusammenhang mit personenbezogenen Daten verantwortlich sein können (Joint Controllership).
Gemäß Art. 26 Abs. 1  DS-GVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Bislang gab es in nur wenige Veröffentlichungen von Seiten der Aufsichtsbehörden, die sich mit dem Thema der Gemeinsam Verantwortlichen beschäftigen, obwohl die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Frage, wie eine solche vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten ist, seit Bekanntwerden des Art. 26 DS-GVO  bei vielen Verantwortlichen große Fragezeichen auslöste.

Das Kurzpapier Nr. 16  „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO“  der Datenschutzkonferenz unternahm als eine der ersten aufsichtsbehördlichen Veröffentlichungen zum Thema den Versuch, den Begriff und die mit dem Thema zusammenhängenden Abgrenzungsfragen aufzuarbeiten.   

Die  noch weiterhin bestehenden Unsicherheiten rund um diese Rechtsfigur versuchte der LfDI BW auszuräumen und stellte ein Vertragsmuster zur gemeinsamen Verantwortlichkeit nach Artikel 26 DS-GVO zur Verfügung. Dieses Muster wurde auf Grundlage gemeinsamer Überlegungen mit einer Reihe von Unternehmen und öffentlichen Stellen entwickelt.

Erwähnenswert in diesem Zusammenhang ist auch die GDD-Praxishilfe XV: „Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO“. Mit der Veröffentlichung leistete die GDD ihren Beitrag zur Beseitigung der bestehenden Verunsicherung und stellte eine praxisbezogene Hilfestellung für die Datenschutzpraktiker in Unternehmen und Behörden dar, welche die Vorgaben aus Art. 26 DS-GVO umzusetzen bzw. deren Einhaltung zu überwachen haben. Abgerundet wurde die Praxishilfe von einer Muster Checkliste zum Joint Controllership.

Nach langer Zeit hat nun der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe zur gemeinsamen Verantwortlichkeit veröffentlicht. Die neue Orientierungshilfe stellt die gemeinsame Verantwortlichkeit im Licht der Rechtsprechung insbesondere des Europäischen Gerichtshofs vor und gibt Handlungsempfehlungen für die bayerischen öffentlichen Stellen, von denen natürlich auch Verantwortliche außerhalb Bayerns profitieren können.

Nach Auffassung des BayLfD ist die Rechtsfigur der gemeinsamen Verantwortlichkeit viel häufiger anzutreffen als gemeinhin angenommen wird. Die Orientierungshilfe möchte daher helfen mögliche „Berührungsängste“ abzubauen, die ggf. daraus erwachsen, dass die gemeinsame Verantwortlichkeit den Anwendern noch immer als weniger „vertraut“ erscheint als die seit jeher bekannte Auftrags(daten)verarbeitung.

(Foto: Ziyan Yang – stock.adobe.com)