Veröffentlicht von:
DSGVO-Besonderheiten: Was bedeutet „Gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO?
- 2 Minuten Lesezeit
In der Praxis werden die sog. gemeinsam Verantwortlichen immer relevanter. So müsste wohl jedem die Internetseite Booking.com bekannt sein: Diese Internet-Plattform wird durch ein Zusammenspiel von mehreren Verantwortlichen betrieben: durch Reisebüros, Hotelketten und durch Fluggesellschaften. Im engeren Sinne handelt es sich bei den „gemeinsam Verantwortlichen“ um zwei oder mehrere Verantwortliche [Unternehmen], die gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden.
Seit Inkrafttreten der DSGVO im Mai 2018 legt Art. 26 DSGVO den gemeinsamen Verantwortlichen nunmehr spezifische Pflichten auf: So müssen die beteiligten Unternehmen eine detaillierte Vereinbarung abschließen. In der Vereinbarung werden die jeweiligen datenschutzrechtlichen Pflichten der Verantwortlichen bestimmt. Und selbstverständlich sollten die im Vertrag festgelegten Pflichten auch umsetzbar sein und umgesetzt werden.
Ab wann liegt eine gemeinsame Verantwortlichkeit vor?
Oftmals ist es schwer für Unternehmen erkennbar, ob sie als gemeinsame Verantwortliche tätig werden. Dies ist immer im Einzelfall durch einen Profi zu überprüfen, da die DSGVO auch andere Formen gemeinsamer Datenverarbeitung vorsieht, wie z. B. die Auftragsdatenverarbeitung.
Der EuGH bejahte in seiner „Facebook-Fanpages-Entscheidung“ vom 05.06.2018 die gemeinsame Verantwortlichkeit in folgender Konstellation:
Hier stellte der EuGH fest, dass die Betreibenden der Fanpages und die Facebook Inc. gemeinsame Verantwortliche i.S.v. Art. 26 DSGVO seien. Die Entscheidung wurde damit begründet, dass die Fanpage-Betreibenden über die Zwecke der Verarbeitung mitentscheiden würden (z. B. bei der Bestimmung der konkreten Zielgruppe durch vorab erfolgte Einstellungen). Die Verarbeitung der personenbezogenen Daten erfolgt bei Facebook über anonyme Statistiken, sog. Seiten-Insights. Laut EuGH ist es in einer Vereinbarung festzulegen, wer von den gemeinsamen Verantwortlichen welche Verpflichtung der DSGVO erfüllt. Zudem bestehe eine diesbezügliche Informationspflicht gegenüber den Nutzern.
Nach aktuellem Stand hält Facebook dieser Tage neben einer Information für Nutzer, vorgefertigte Dokumente für Fanpage-Betreibende bereit. Ob die automatisierten, vorgefertigten Dokumente den Vorgaben der DSGVO entsprechen, ist sehr fragwürdig.
Wer haftet?
Innerhalb der gemeinsamen Verantwortlichkeit haftet grundsätzlich jeder Verantwortliche – auch für die Fehler des anderen. Insbesondere soll die Haftung den Zweck erfüllen, dass Betroffene ihre Rechte leichter durchsetzen können. Jeder der gemeinsam Verantwortlichen haftet grundsätzlich nach Art. 82 IV i.V.m. II 1 DSGVO im Falle rechtswidriger Verarbeitung für den gesamten Schaden. Eine Haftung entfällt, sofern das fehlende Verschulden nachgewiesen werden kann, Art. 82 III DSGVO.
Fazit
Die „gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO bringt viele Herausforderungen für Unternehmen mit sich. Zunächst ist im Falle einer gemeinsamen Verantwortlichkeit zu prüfen, ob der (ggf. vorgefertigte) Vertrag den gesetzlichen Anforderungen entspricht. Daneben sollte überprüft werden, ob die im Vertrag festgesetzten Pflichten auch durch die Vertragspartner eingehalten werden können. Eine wichtige Voraussetzung ist, dass Sie Ihren Vertragspartnern vertrauen. Empfehlenswert ist es, einen solchen Vertrag von einem Datenschutz-Profi erstellen zu lassen.
Unsere Kanzlei Hämmerling von Leitner-Scharfenberg mit Sitz in Berlin und Hamburg wird bundesweit im Bereich des Datenschutzrechts tätig. Herr Hämmerling ist als Fachanwalt und für IT-Recht, als geprüfter Datenschutzbeauftragter und Datenschutzauditor mit sämtlichen rechtlichen Fragestellungen der DSGVO vertraut. Wenn Sie sich angesprochen fühlen, rufen Sie uns gerne für eine kostenlose Ersteinschätzung an!
Artikel teilen: