08

Gemeinsames Handeln

Sie arbeiten mit anderen zusammen? Gewährleisten Sie den Datenschutz gemeinsam.

Sie arbeiten mit anderen zusammen? Gewährleisten Sie den Datenschutz gemeinsam.

09 Betroffenenrechte
07 Auftragsvergabe

Worum geht‘s?

Mit anderen Unternehmern zusammenzuarbeiten, ist das A und O im Geschäftsleben. Es gibt wohl kaum Unternehmen, die nicht auf die eine oder andere Weise mit anderen Unternehmen kooperieren oder Leistungen von diesen einkauft.

Wenn Sie Schritt 07 bearbeitet haben, haben Sie bereits erfahren, dass bei der Zusammenarbeit mit Dritten auch der Datenschutz eine wichtige Rolle spielt. Je nach Art der Zusammenarbeit bedarf es einer speziellen vertraglichen Grundlage nach Datenschutzrecht. In diesem Schritt 08 prüfen Sie, ob die geplante Zusammenarbeit eine gemeinsame Verantwortlichkeit nach Datenschutzrecht darstellt. Wenn dies der Fall ist, benötigen Sie eine vertragliche Grundlage – die Vereinbarung zur gemeinsamen Verantwortlichkeit.

Übrigens werden gern auch die englischen Begriffe Joint Control oder Joint Controllership genutzt, um die gemeinsame Verantwortlichkeit zu bezeichnen.

Betreffende Artikel der DSGVO und Erwägungsgründe
  • Art. 26 DSGVO – Gemeinsam Verantwortliche
  • Erwägungsgrund 79 – Zuteilung der Verantwortlichkeit

Was ist zu tun?

Prüfen Sie, wie die Zusammenarbeit bzw. Beauftragung eines Dritten zu bewerten ist.

Sobald Sie vorhaben, ein Unternehmen mit Leistungen zu beauftragen oder mit diesem zusammenzuarbeiten, müssen Sie prüfen, wie die Zusammenarbeit in Bezug auf den Datenschutz einzustufen ist. Dieser Schritt 08 steht im engen Zusammenhang mit Schritt 07.

Abgrenzung nach Verantwortlichkeiten in der Zusammenarbeit

Es ist zu entscheiden, ob eine Verarbeitung 

1. eine gemeinsame Verantwortlichkeit mit dem Vertragspartner, bei der Sie gemeinsam Zweck und Mittel der Verarbeitung bestimmen,

ODER

2. eine Auftragsverarbeitung, bei der Sie über Zweck und Mittel der Verarbeitung bestimmen und Weisungen an den Vertragspartner erteilen,

ODER

3. eine eigenverantwortliche Leistung des Vertragspartners, bei der Ihr Vertragspartner nach Erhalt der Daten eigenverantwortlich handelt,

darstellt.

1. Gemeinsame Verantwortlichkeit liegt vor, wenn ...

  • ... keine hierarchische Struktur besteht.

  • ... jede Vertragspartei Einfluss auf die Zwecke und Mittel der Verarbeitung hat, d.h. über das WARUM und WIE der gemeinsamen Datenverarbeitung entscheiden und dies kontrollieren kann.
  • ... die Parteien im Rahmen der Zusammenarbeit einen gemeinsamen Zweck oder auch jede für sich einen eigenen Zweck mit der Verarbeitung verfolgen können.

Zur Prüfung können Sie unsere Checkliste Gemeinsame Verantwortlichkeit nutzen, die Sie unter Arbeitshilfen abrufen können. Dort sind auch mehrere Beispiele für die Gemeinsame Verantwortlichkeit aufgeführt.

Beispiele für eine gemeinsame Verantwortlichkeit
  • Joint-Venture
  • Entwickeln und Betreiben einer gemeinsamen Vertriebsplattform
  • gemeinsame Verwaltung zum Beispiel von „Stammdaten“ für bestimmte gleichlaufende Geschäftszwecke im Konzern
  • Social Media, je nach Ausgestaltung, siehe Facebook-Fanpage 

2. Auftragsverarbeitung liegt vor, wenn ...

  • ... eine hierarchische Struktur besteht.

  • ... Ihr Auftragnehmer bzw. Vertragspartner Ihren Weisungen zur Verarbeitung unterworfen ist.

  • ... Sie allein Zwecke und Mittel der Verarbeitung bestimmen.

Wenn sich im Rahmen der Prüfung ergibt, dass ein Fall der Auftragsverarbeitung vorliegt, gehen Sie bitte weiter zum Schritt 07 – Auftragsvergabe.

Beispiele für eine Auftragsverarbeitung
  • Externe IT-Dienstleistungen, wie Fernwartung und Support von IT-Systemen bei Zugriff auf personenenbezogene Daten
  • Cloud-Dienstleistungen
  • SaaS – Software as a Service
  • Newslettererstellung, ‑verwaltung und ‑versand
  • Lohn- und Gehaltsabrechnung, Buchhaltung über Rechenzentren von Drittanbietern
  • Hostingleistungen
  • Call-Center-Dienste
  • Werbeadressenverarbeitung in einem Lettershop
  • Datenerfassung, ‑konvertierung durch Dienstleister oder Einscannen von Dokumenten
  • Backup- und Archivierungsdienste
  • Aktenvernichtung und Datenträgerentsorgung
  • Einsatz von Sicherheitsdiensten, die personenbezogene Daten erheben bzw. verarbeiten können

  • Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten

3. Ansonsten liegt Eigenverantwortlichkeit des Vertragspartners vor

Liegt kein Fall der gemeinsamen Verantwortlichkeit oder Auftragsverarbeitung vor, so entscheidet der Vertragspartner in der Regel eigenverantwortlich über seine Datenverarbeitung personenbezogener Daten. Es handelt sich insoweit um eine Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen. Ein spezieller datenschutzrechtlicher Vertrag ist nicht erforderlich, jedoch bieten sich Regelungen zum Datenschutz an.

Beispiele für Eigenverantwortlichkeit des Vertragspartners
  • Beauftragung von Leistungen aus dem Bereich freier Berufe, wie Steuerberatung und Wirtschaftsprüfung, Rechtsanwältinnen oder externe Betriebsärzte,

  • Inkassodienst mit Forderungsübertragung,

  • Bankleistungen für den Geldtransfer,

  • Postdienstleistung für den Brieftransport

4. Auf welcher Grundlage ist die Zusammenarbeit zu bewerten?

Die Bewertung müssen Sie anhand der tatsächlichen (objektiven) Gegebenheiten vornehmen. Ob der Vertragsgegenstand mit gemeinsamer Verantwortlichkeit oder Auftragsverarbeitung bezeichnet wird, ist nicht entscheidend.

Wichtige Urteile zur gemeinsamen Verantwortlichkeit

Der Europäische Gerichtshof (EuGH) hat in seinen bisherigen Entscheidungen die Kriterien für ein Vorliegen einer Gemeinsamen Verantwortlichkeit eher niedrigschwellig ausgelegt. So kann, auch wenn einer der Beteiligten keinen Zugriff auf die personenbezogenen Daten hat, eine Gemeinsame Verantwortlichkeit vorliegen. Zudem muss nicht die gesamte gemeinsame Zusammenarbeit bewertet und eingeordnet werden. Es ist möglich, dass nur für einen bestimmten Bereich oder eine Verarbeitungsphase eine Gemeinsame Verantwortlichkeit vorliegt und im Übrigen die zusammenarbeitenden Parteien eigenverantwortlich arbeiten.

Facebook Fanpages – EuGH, Urteile vom 05.06.2018 – C-210/16

Zeugen Jehovas – EuGH, 10.07.2018 – C-25/17

Fashion ID 29.07.2019 – C-40/17

Schließen Sie eine Vereinbarung über die gemeinsame Verantwortlichkeit.

Zu unterscheiden sind zwei Vertragsverhältnisse

1. Der eigentliche (zivilrechtliche) Vertrag, in dem Sie insbesondere die Leistung, Entgelte, Rechte und Pflichten, Preise und Laufzeit regeln.

2. Die (datenschutzrechtliche) Vereinbarung über die Gemeinsame Verantwortlichkeit, die die Aufgabenverteilung unter den Beteiligten in datenschutzrechtlicher Hinsicht regelt. Diese wird nachfolgend näher vorgestellt.

Inhalt der Vereinbarung über gemeinsame Verantwortlichkeit 

Zum Inhalt der Vereinbarung über die gemeinsame Verantwortlichkeit macht das Gesetz in Art. 26 DSGVO konkrete Vorgaben.

Mindestinhalte
  • Regelung zur internen Verteilung und Zuständigkeit, um die datenschutzrechtlichen Verpflichtungen zu erfüllen, insbesondere die Betroffenenrechte
  • Wer ist Ansprechpartner für die Betroffenen?
  • Regelung zur Erfüllung der Informationspflichten: Wer übernimmt welche Informationspflichten?

Sinnvolle weitere Regelungen
  • Interne Verantwortlichkeit zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten und einer ggf. erforderlichen Datenschutz-​Folgenabschätzung
  • Laufzeit, Folgen des Vertragsendes, Weiternutzung der Datenbestände bzw. deren Aufteilung unter den Beteiligten
  • Regelungen zu Haftungsfragen

Mit unserer Checkliste zur Prüfung der Gemeinsamkeit können Sie Vertragsentwürfe auf die Erfüllung dieser Anforderungen hin prüfen bzw. Verträge gestalten. Die Checkliste können Sie unter Arbeitshilfen abrufen.

Form des Vertrags

Der Vertrag muss nicht zwingend in einer bestimmten Form geschlossen werden. Zu empfehlen ist mindestens die Textform, wobei der Vertrag auch auf elektronischem Wege geschlossen werden kann.

Der Vertrag ist in transparenter Weise zu fassen, d. h. der Vertragsinhalt muss übersichtlich und verständlich dargeboten werden.

Für die Praxis

Bietet Ihr Vertragspartner einen Mustervertrag an, so prüfen Sie diesen darauf, ob alle vom Gesetz geforderten Regelungen enthalten sind.

Speichern Sie bei elektronisch geschlossenen Verträgen den Vertragstext anlässlich des Vertragsabschlusses, um diesen zu dokumentieren. Wenn der Dienstleister keinen Mustervertrag anbietet, nutzen Sie eigene Muster oder Vorlagen der Aufsichtsbehörde oder aus anderen zuverlässigen Quellen. Gern können Sie auch unser Muster unter Arbeitshilfen nutzen.

Informationspflichten

  • Informieren Sie die Betroffenen über die wesentlichen Inhalte der Vereinbarung.
  • Integrieren Sie diese hierzu am besten in Ihre Datenschutzerklärung.

Rechtsgrundlagen der Verarbeitung

  • Die gemeinsame Verantwortlichkeit an sich stellt keine Rechtsgrundlage für die von der Zusammenarbeit betroffenen Verarbeitungstätigkeiten dar. 
  • Wenn Sie beispielsweise auf Grundlage einer Einwilligung die Verarbeitung vornehmen wollen, muss in der Einwilligungserklärung auf die gemeinsame Verantwortlichkeit hingewiesen werden.

Erfassen Sie Verarbeitungen im Verarbeitungsverzeichnis

  • Im Verarbeitungsverzeichnis ist die gemeinsame Verantwortlichkeit für die davon betroffenen Verarbeitungsvorgänge zu erfassen.
  • Name und Kontaktdaten des mit Ihnen gemeinsam Verantwortlichen sind dabei aufzuführen.

Welche Arbeitshilfen gibt es?

Checkliste
Gemeinsame Verantwortlichkeit
Mehr zum Thema und Vertragsmuster
Aufsichtsbehörde Baden-Württemberg: Gemeinsame Verantwortlichkeit
DSK Kurzpapier Nr. 16
Gemeinsam für die Verarbeitung Verantwortliche
WP 169 Art-29-Gruppe Stellungnahme
„für die Verarbeitung Verantwortlicher"
07 Auftragsvergabe
09 Betroffenenrechte