Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.
Begriff der gemeinsamen Verantwortlichkeit
Die DS-GVO regelt in Art. 26 die „Gemeinsam für die Verarbeitung Verantwortlichen“. Dieses Rechtsinstitut war zwar bereits in der EG-Datenschutzrichtlinie (RL 95/46/EG) angelegt, dort allerdings nicht detailliert ausgestaltet, und spielte in Deutschland bisher – wenn überhaupt – nur eine äußerst geringe Rolle, da es im BDSG-alt nicht ausdrücklich erwähnt war. Daher wird die ausdrückliche Regelung der gemeinsamen Verantwortlichkeit in der DS-GVO gerade für die Praxis in Deutschland erhebliche Auswirkungen haben.
An eine objektiv bestehende gemeinsame Verantwortlichkeit sind zukünftig Verpflichtungen geknüpft, deren Nichteinhaltung mit Geldbuße sanktioniert werden kann (vgl. Art. 83 Abs. 4 lit. a).
Gemäß Art. 26 Abs. 1 sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese Definition baut konsequent auf Art. 4 Nr. 7 auf, wonach Verantwortlicher diejenige Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
Keine „Privilegierungswirkung“ der gemeinsamen Verantwortlichkeit
Verantwortlichkeit ist keine Befugnis zur Datenverarbeitung. Sie stellt nur klar, wer welche Aufgaben aus der DS-GVO zu erfüllen hat. Art. 26 stellt daher weder eine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, noch braucht es eine Rechtsgrundlage dafür, dass sich mehrere Verantwortliche zusammenschließen. Soweit der jeweilige Verantwortliche im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, braucht er für diese Verarbeitung eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 und soweit besondere Kategorien personenbezogener Daten verarbeitet werden nach Art. 9 Abs. 2.
Gemeinsame Verantwortliche sind auch untereinander Empfänger im Sinne von Art. 4 Nr. 9 und können somit Gegenstand von Informationspflichten sein. Die Übermittlung personenbezogener Daten unter gemeinsam Verantwortlichen ist ein eigener Verarbeitungsvorgang im Sinne von Art. 4 Nr. 2 DS-GVO und bedarf als solcher einer Rechtsgrundlage. Soll eine Verarbeitung durch mehrere gemeinsam Verantwortliche etwa auf eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DS-GVO gestützt werden, muss die Einwilligung daher unmissverständlich die Verarbeitung durch alle gemeinsam Verantwortlichen und mithin auch die entsprechende Weitergabe an den bzw. die anderen gemeinsam Verantwortlichen umfassen. Stellt die Übermittlung an einen anderen gemeinsamen Verantwortlichen eine Zweckänderung dar, muss außerdem nach Art. 6 Abs. 4 geprüft werden, ob die Zweckänderung erlaubt ist.
Das Institut der gemeinsamen Verantwortlichkeit dient unter anderem dazu, Haftungsfragen in Fällen zu regeln, bei denen eine Stelle gemeinsam mit mindestens einer anderen Stelle die Festlegung der Zwecke und Mittel der Verarbeitung trifft (siehe WP 169 der Art.-29-Gruppe, S. 39). So soll verhindert werden, dass sich der einzelne an einer Datenverarbeitung Beteiligte seiner datenschutzrechtlichen Verantwortlichkeit und seiner Haftung entledigt, wenn er zwar nicht alleine über die Zwecke und Mittel einer Verarbeitung entscheidet, jedoch neben anderen Beteiligten einen tatsächlichen Einfluss auf die Zwecke und die wesentlichen Elemente der Mittel der Verarbeitung ausübt (vgl. auch die Schlussanträge des Generalanwalts beim EuGH in der Rs. C-210/17, Rn. 54). Die Durchsetzung zivilrechtlicher Ansprüche wird mit der gesamtschuldnerischen Haftung nach Art. 26 Abs. 3 für die betroffene Person erleichtert
Abgrenzung zu anderen Fallgestaltungen
Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung nach Art. 28, und von einer Übermittlung personenbezogener Daten an einen Verantwortlichen, bei der die Beteiligten die Zwecke und Mittel der Verarbeitung nicht gemeinsam festlegen.
Für Deutschland besteht zudem Klärungsbedarf bezüglich der sog. Funktionsübertragung, einer bisherigen deutschen „Besonderheit“. Als Funktionsübertragung wurde unter BDSG-alt in Abgrenzung zur Auftrags(daten)verarbeitung das Outsourcing einer „Funktion“/Aufgabe bezeichnet, die über das Auslagern einer Datenverarbeitung als solcher hinausgeht, indem dem Empfänger ein gewisser Entscheidungsspielraum hinsichtlich der Aufgabenerfüllung eingeräumt wird. Die die „Aufgabe“ übernehmende Stelle wurde in diesem Fall unter BDSG-alt als eigener Verantwortlicher angesehen; jedoch wurde in aller Regel – soweit ersichtlich – in diesem Zusammenhang üblicherweise kaum jemals eine gemeinsame Verantwortlichkeit angenommen.
Unter der DS-GVO ist für die sog. Funktionsübertragung kein Raum mehr. Dies folgt zum einen aus der in Art. 26 detailliert geregelten gemeinsamen Verantwortlichkeit, zum anderen daraus, dass gewisse Entscheidungsspielräume innerhalb des durch den Verantwortlichen gesteckten Rahmens eines Beauftragten bezüglich der Mittel der Verarbeitung die Auftragsverarbeitung nicht ausschließen. Verarbeitungen, die bislang in Deutschland als sog. Funktionsübertragung bewertet wurden, können unter der DS-GVO – je nach Fall – als Auftragsverarbeitung (Art. 28) als gemeinsame Verantwortlichkeit (Art. 26) oder aber als „normale“ Übermittlung an einen anderen Verantwortlichen (ohne gemeinsame Verantwortlichkeit) eingestuft werden. Welcher Fall jeweils vorliegt, beurteilt sich allein danach, wer über die Zwecke und (zumindest wesentlichen Elemente der) Mittel der Datenverarbeitung entscheidet.
Gemeinsame Entscheidung über Zwecke und Mittel der Verarbeitung
Eine „gemeinsame Entscheidung“ über die Zwecke und Mittel der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert jedoch nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt. Auch ist keine vollständig gleichrangige Kontrolle durch alle Beteiligten erforderlich. Vielmehr kann die Beteiligung der Parteien an der Bestimmung der Zwecke und Mittel sehr verschiedene Formen annehmen und muss nicht gleichmäßig verteilt sein. Das Bestehen einer gemeinsamen Verantwortlichkeit bedeutet nicht zwingend eine gleichrangige Verantwortlichkeit. Die verschiedenen für die Verarbeitung Verantwortlichen können in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Es ist denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung, gemeinsam Verantwortliche sind. Wer welche Rolle bei der Verarbeitung einnimmt und wer für was verantwortlich ist, muss in der Vereinbarung nach Art. 26 Abs. 1 genau festgelegt sein.
So können beispielsweise der Anbieter einer IT-Anwendung oder -Plattform und die verwendende Stelle gemeinsam Verantwortliche bei der Erhebung personenbezogener Daten der Endnutzer sein, insbesondere etwa wenn der Anbieter die Daten (auch) für eigene Zwecke zu verwenden plant und somit insoweit einen oder mehrere Verwendungszwecke im Voraus festgelegt hat. Die Beteiligten müssen die Mittel und die (ggfs. differenzierten) Zweckbestimmungen der Verarbeitung gegenseitig akzeptieren. Eine Entscheidung der verwendenden Stelle über die Zwecke und Mittel der Verarbeitung kann auch dann gegeben sein, wenn sie im Voraus durch den Anbieter festgelegte Zwecke und Mittel akzeptiert bzw. sich diesen anschließt. Eine vollständige Deckungsgleichheit der von den Beteiligten verfolgten Zwecke ist dabei nicht erforderlich, sofern die Zwecke eng zusammenhängen. Die bloße Zusammenarbeit mehrerer Stellen im Rahmen einer Kette führt als solche jedoch nicht zwingend zu einer gemeinsamen Verantwortlichkeit.
Gemeinsame Verantwortlichkeit ist nicht in der Weise möglich, dass einer der Beteiligten einer bereits bestehenden (Einzel- oder gemeinsamen) Verarbeitung für die Vergangenheit „beitritt“. Für die zukünftige Verarbeitung können indessen weitere Verantwortliche hinzutreten, sofern alle Beteiligten mit Blick auf die Zukunft gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. In diesem Fall müssen alle betroffenen Personen nach Art. 26 Abs. 2 bzw. Art. 13 Abs. 3 neu informiert werden.
Eine von den Beteiligten selbst gewählte Bezeichnung oder etwaige vertragliche Vereinbarungen können (lediglich) als Hinweis auf die tatsächliche Rollenverteilung dienen (siehe WP 169 der Artikel-29-Gruppe, S. 14, Schlussanträge des Generalanwalts beim EuGH in der Rs. C-210/16, Rn. 60).
Eine gemeinsame Verantwortlichkeit kann auch in solchen Fällen vorliegen, bei denen die Beteiligten das Verhältnis als Auftragsverarbeitung deklarieren, jedoch die Zwecke und Mittel der Verarbeitung auch oder sogar weitgehend vom „Auftragnehmer“ vorgegeben werden.
Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 gemeinschaftlich.
Gemeinsame Verantwortlichkeit kann ferner vorliegen, wenn einzelne Beteiligte für bestimmte Teile bzw. Phasen einer Verarbeitung getrennt verantwortlich sind, jedoch die Daten über eine gemeinsame Plattform zusammengetragen werden (WP 169 der Artikel-29-Gruppe, S. 25). Die gemeinsame Verarbeitung beschränkt sich dann allerdings auf den Betrieb der Plattform. Für die getrennten Verantwortungsbereiche muss die Plattform selbst bereits zwischen den einzelnen dann nicht mehr gemeinsamen Verantwortlichen trennen.
Besondere Verpflichtungen gemeinsam Verantwortlicher
Art. 26 legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DS-GVO geltenden Pflichten hinausgehen. Dadurch soll die Transparenz und Rechtsdurchsetzung für die betroffenen Personen verbessert werden.
Die gemeinsam Verantwortlichen müssen eine Vereinbarung abschließen, in der sie in transparenter Form festlegen, wer von ihnen welche in der DS-GVO geregelten Verpflichtungen erfüllt, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14. Diese Vereinbarung muss die tatsächlichen Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen „gebührend wiederspiegeln“, und das „Wesentliche“ dieser Vereinbarung muss betroffenen Personen zur Verfügung gestellt werden. Die Zurverfügungstellung ergänzt die eigentliche Pflicht zur Information der betroffenen Personen nach Art. 13 und 14. „Wesentlich“ und somit den betroffenen Personen zur Verfügung zu stellen ist zumindest eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll. Grundsätzlich dürfte es ausreichen, diese wesentlichen Elemente der Vereinbarung nach Art. 26 etwa auf einer Website bereitzustellen (vgl. ErwGr 58). Ungeachtet der von den gemeinsam Verantwortlichen in dieser Vereinbarung getroffenen Aufgabenteilung können jedoch betroffene Personen ihre Rechte stets bei und gegenüber jedem der gemeinsam Verantwortlichen ausüben (Art. 26 Abs. 3). Ein gut ausgearbeitetes Vertragsverhältnis zu den jeweiligen Verantwortlichkeiten als Grundlage der transparenten Vereinbarung liegt somit auch im Interesse der Verantwortlichen, die Haftungsfragen im Innenverhältnis zu klären.
Ob die Beteiligten eine Vereinbarung abgeschlossen haben, die den Anforderungen des Art. 26 entspricht, ist unerheblich dafür, ob eine gemeinsame Verantwortlichkeit vorliegt. Letztere bemisst sich allein nach den oben aufgezeigten Kriterien.
Besteht eine gemeinsame Verantwortlichkeit, ohne dass eine Vereinbarung nach Art. 26 DS-GVO getroffen wurde, können hierfür Geldbußen nach Art. 83 Abs. 4 lit. a verhängt werden.
Weitere Besonderheiten
Darüber hinaus sind im Falle gemeinsamer Verantwortlichkeit noch Besonderheiten in einigen weiteren Regelungsbereichen der DS-GVO zu beachten:
Jeder der gemeinsam Verantwortlichen haftet nach Art. 82 Abs. 4 in Verbindung mit Abs. 2 Satz 1 im Falle rechtswidriger Verarbeitung für den gesamten Schaden, sofern er nicht sein fehlendes Verschulden nachweisen kann (Art. 82 Abs. 3). Die Verantwortlichen haften auch ohne eine Vereinbarung nach Art. 26 Abs. 1 gemeinschaftlich. Diese hilft aber beim Haftungsausgleich im Innenverhältnis nach Art. 82 Abs. 5.
Fälle gemeinsamer Verantwortlichkeit können nicht selten zu einer Erhöhung der Risiken für die Rechte und Freiheiten betroffener Personen führen, so dass u. U. die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 geboten ist.
Anwendungsfälle:
Gemeinsame Verantwortlichkeit kann angesichts der Komplexität moderner Datenverarbeitungsvorgänge bei sehr unterschiedlichen Fallgestaltungen in Betracht kommen. Es ist nicht möglich, hierzu eine abschließende Liste zu erstellen, vielmehr bedarf es einer gewissen Flexibilität, um einen effektiven Schutz der Rechte und Freiheiten der betroffenen Personen zu gewährleisten. Nachfolgend werden daher ohne Anspruch auf Vollständigkeit einige Fälle aufgezeigt, bei denen – je nach Gestaltung – ggf. gemeinsame Verantwortlichkeit in Betracht kommen kann:
- klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren/ Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
- gemeinsame Verwaltung bestimmter Datenkategorien (z.B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen,
- gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen, z.B. gemeinsames Betreiben einer internetgestützten Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft
- E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen; der Betreiber des Portals und die jeweilige Behörde sind gemeinsam Verantwortliche (WP 169 der Artikel-29-Gruppe, Beispiel Nr. 11)
- Personalvermittlungs-Dienstleister, der für einen Arbeitgeber X Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber X gerichtet sind (WP 169, Beispiel Nr. 6)
- (je nach Gestaltung ggf.) gemeinsamer Informationspool/Warndatei mehrerer Verantwortlicher (z.B. Banken) über säumige Schuldner (WP 169, Beispiel Nr. 13)
Anmerkung zur Nutzung dieses Kurzpapiers:
Dieses Kurzpapier darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt, ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird:
„Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/dl-de/by-2-0)".