07413 Gemeinsame Verantwortlichkeit – Inhalt, Abgrenzung und Folgen
|
Erfolgt eine Verarbeitung personenbezogener Daten durch mehrere Stellen, z. B. in Konzernen, ist es möglich, dass sie für diese Verarbeitung gemeinsam verantwortlich sind. Für diesen Fall sieht die Datenschutz-Grundverordnung besondere Verpflichtungen vor, wie etwa den Abschluss einer speziellen Vereinbarung zwischen den gemeinsam Verantwortlichen, die insbesondere die Verteilung der Pflichten zwischen den Verantwortlichen regelt. In welchen Konstellationen eine gemeinsame Verantwortlichkeit vorliegt, ist nicht immer einfach festzustellen. Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von einer Auftragsverarbeitung und einer Übermittlung der Daten an einen allein Verantwortlichen, bei der die beteiligten Stellen die Zwecke und Mittel der Verarbeitung nicht gemeinsam festlegen.
Der Beitrag bietet eine Hilfestellung bei der Abgrenzung und der Umsetzung der Pflichten, die bei Vorliegen einer gemeinsamen Verantwortlichkeit zu beachten sind. Er erläutert die rechtlichen Rahmenbedingungen und zeigt Gestaltungsmöglichkeiten für die Praxis auf. Arbeitshilfen: von: |
1 Ausgangspunkt – Regelung in Art. 26 Abs. 1
Legen mehrere Verantwortliche die Zwecke und Mittel einer Verarbeitung gemeinsam fest, wie es z. B. bei Verarbeitungen in Konzernen und Unternehmensverbünden der Fall sein kann, müssen sie die Regelung in Art. 26 Datenschutz-Grundverordnung beachten. Diese Vorschrift präzisiert die rechtliche Verantwortung der gemeinsam Verantwortlichen im Verhältnis untereinander sowie gegenüber den betroffenen Personen. Insbesondere soll eine transparente und eindeutige Verteilung und Zuordnung der den Verantwortlichen nach der DSGVO obliegenden Pflichten erfolgen.
Zitierweise
Anmerkung der Redaktion: Für einen besseren Lesefluss wird im Beitrag darauf verzichtet, Vorschriften der DSGVO jeweils mit „DSGVO” zu zitieren. Alle im Beitrag zitierten Artikel sind solche der DSGVO, es sei denn, es wird explizit ein anderes Gesetz zitiert.
Anmerkung der Redaktion: Für einen besseren Lesefluss wird im Beitrag darauf verzichtet, Vorschriften der DSGVO jeweils mit „DSGVO” zu zitieren. Alle im Beitrag zitierten Artikel sind solche der DSGVO, es sei denn, es wird explizit ein anderes Gesetz zitiert.
Zusätzliche Pflichten
Die in Art. 26 geregelten Pflichten von gemeinsam Verantwortlichen sind zusätzlicher Art, d. h., sie ergänzen die sonstigen Pflichten von Verantwortlichen, die im Wesentlichen in Kapitel 4 der DSGVO geregelt sind und jeden der gemeinsam Verantwortlichen grundsätzlich gleichermaßen treffen.
Die in Art. 26 geregelten Pflichten von gemeinsam Verantwortlichen sind zusätzlicher Art, d. h., sie ergänzen die sonstigen Pflichten von Verantwortlichen, die im Wesentlichen in Kapitel 4 der DSGVO geregelt sind und jeden der gemeinsam Verantwortlichen grundsätzlich gleichermaßen treffen.
