„Gemeinsam Verantwortliche“ als Begriff

Bei einer Weitergabe personenbezogenen Daten muss der Datenschutzbeauftragte kontrollieren, ob diese Weitergabe zulässig ist. Er denkt zunächst an die Weitergabe im Wege der vereinfachenden Auftragsverarbeitung. Doch teilweise passt diese nicht. Dann kommt eine echte Übermittlung in Betracht, die auf Zulässigkeit vor allem nach Art. 6 DSGVO zu prüfen ist. Hier ist der Empfänger immer auch Verantwortlicher. Jede Übermittlung – Weitergabe außerhalb einer Auftragsverarbeitung – führt damit immer zu einem neuen zweiten Verantwortlichen. Das Gesetz lässt es nun zu, dass sich mehrere Verantwortliche die Datenschutzpflichten untereinander aufteilen können (Art. 26 DSGVO). Voraussetzung ist lediglich eine Vereinbarung, mit der gemeinsam auch die Zwecke und die Mittel der Verarbeitung festgelegt werden.

Gemeinsam Verantwortliche im Konzern

Die Konzerngesellschaften können als Auftragsverarbeiter eingesetzt werden. Nicht selten will aber eine Konzernschwester auch eigene Ziele mit den Daten verfolgen. Dann kann es sich nicht mehr um eine Auftragsverarbeitung handeln, denn somit wird die Konzernschwester Verantwortliche, wobei die Zulässigkeit der Datenweitergabe nach Art. 6 DSGVO zu bewerten ist. Um die Erfüllung der Datenschutzpflichten konzernkoordiniert vorzunehmen, kann es zweckmäßig sein, die Erledigung dieser Pflichten beispielsweise der nationalen Gesellschaft per Gemeinsamer Verantwortlichkeit zuzuweisen.

Dienstleister als Gemeinsam Verantwortliche

Dies kann nützlich sein, wenn die Einordnung des Dienstleisters als Auftragsverarbeiter nicht möglich ist. Solche Dienstleister gehen zwar mit personenbezogenen Daten um, werden jedoch von den Aufsichtsbehörden nicht als Auftragsverarbeiter angesehen, wie beispielsweise Inkassodienstleister, Banken oder Steuerberater (www.siehe.eu/1186). Auch der Betrieb einer Seite auf einem sozialen Netzwerk, der zu zwei Verantwortlichen führt, eignet sich für die gemeinsame Verantwortlichkeit (EuGH, C-210/16 www.siehe.eu/1187, und Facebooks AGB Gemeinsame Verantwortlichkeit, www.siehe.eu/k1188), ebenso ein Kundenbindungssystem, das von einem anderen Unternehmen betrieben wird.

Kein Muss

Die Vereinbarung der gemeinsamen Verantwortlichkeit ist kein Muss. Die zwei oder mehreren Verantwortlichen können auch mit ihren vollständigen Datenschutzpflichten nebeneinander bestehen. Seine Rechte kann die betroffene Person übrigens auch bei gemeinsamer Verantwortlichkeit gegenüber beiden Unternehmen geltend machen.

(Dieses "Stichwort des Monats" ist in der Ausgabe 10/2018 des Datenschutz-Berater erschienen)