Gratis
28. Januar 2019 - Praxistipps zur Abgrenzung

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Drucken

Das Konstrukt der gemeinsamen Verantwortlichkeit schafft derzeit viel Unmut. Lesen Sie, welche Fragen und Beispiele Sie nutzen können, um eine klarere Trennung zu schaffen.

Wann sind Unternehmen gemeinsam Verantwortliche? Wie bei der Auftragsverarbeitung ist auch bei der gemeinsamen Verantwortlichkeit eine Vereinbarung zwischen den beteiligten Verantwortlichen nötig (Bild: iStock.com/AndreyPopov)

Zahlreiche Unternehmen verschickten vor dem 25. Mai 2018 massenhaft Verträge zur Auftragsverarbeitung (AV). Alles in der Hoffnung, schnell noch die bevorstehenden Pflichten der Datenschutz-Grundverordnung (DSGVO) abhaken zu können. Viele meinten, damit sei es getan.

Selbst Unternehmen, die skeptisch waren und daran zweifelten, ob überhaupt ein AV-Verhältnis vorlag, unterschrieben ohne Murren – teils aus Angst vor den drohenden Geldbußen, teils aus Unwissenheit.

Umso gewaltiger war der Paukenschlag, den die Entscheidung des Europäischen Gerichtshofs (EuGH) in Sachen Facebook-Fanpages ausgelöst hat. In seinem Urteil äußerte sich das Gericht erstmalig zur gemeinsamen Verantwortlichkeit.

Das EuGH-Urteil in Sachen „Facebook-Fanpages“

Die Entscheidung des EuGH reiht sich neben „Google Spain“ und „Safe Harbor“ in die Reihe der bedeutsamsten Entscheidungen zum Datenschutz ein.

Wie kam es zu der Entscheidung? Das ULD, die Datenschutzbehörde in Schleswig Holstein, forderte die Wirtschaftsakademie auf, ihre Facebook-Fanpage zu deaktivieren. Die Aufsichtsbehörde kam zu dem Ergebnis, dass die Fanpage rechtswidrig sei.

Das ULD bemängelte, dass der Nutzer nicht hinreichend über die Verarbeitung auf Facebook informiert werde und die Datenverarbeitung ohne Rechtsgrundlage erfolge. Die Wirtschaftsakademie sah das anders und meinte, für die Datenverarbeitung sei ausschließlich Facebook verantwortlich.

Der EuGH stellte klar, dass im konkreten Fall sowohl Facebook als auch der Fanpage-Betreiber gemeinsam für die Datenverarbeitung verantwortlich seien (Urteil vom 05.06.2018 – C 210/16).

Schon kurze Zeit später bestätigte der EuGH seine Auffassung in einer weiteren Entscheidung (Urteil vom 10.07.2018 – C 25/17). Der EuGH musste klären, ob die Religionsgemeinschaft der Zeugen Jehovas gemeinsam mit den Verkündern verantwortlich ist.

Grund hierfür war eine Anordnung der finnischen Aufsichtsbehörde. Die Aufsichtsbehörde verbot den Zeugen Jehovas ihre Verkündigungstätigkeit.

Mitglieder, die als Verkünder von Tür zu Tür gingen, notierten rechtswidrig Name und Anschrift der aufgesuchten Personen.

Auch hier entscheid der EuGH, dass die Beteiligten gemeinsam verantwortlich sind, und verwies umfassend auf sein Urteil in Sachen Facebook-Fanpages.

In beiden Fällen urteilte der EuGH zwar nach der alten Rechtslage, also nach der Datenschutz-Richtlinie (Richtlinie 95/46/EG).

Dennoch liefern die Entscheidungen wichtige Hinweise zur gemeinsamen Verantwortlichkeit nach der DSGVO.

Denn der Begriff des Verantwortlichen in der DSGVO entspricht dem der aufgehobenen Datenschutz-Richtlinie.

Wesentliche Urteilsgrundsätze

Der Fanpage-Betreiber kann in seinem Facebook-Account sogenannte Insights-Daten sehen. Dabei handelt es sich um eine statistische Auswertung, die keine Rückschlüsse auf einen konkreten Nutzer ermöglicht.

Der EuGH stellte fest, dass es sich zwar bei den Insights-Daten aus Sicht des Fanpage-Betreibers um anonyme Daten handelt. Das sei jedoch unerheblich.

Nicht jeder der gemeinsam Verantwortlichen müsse Zugang zu den personenbezogenen Daten haben. Es reicht aus, dass der Fanpage-Betreiber die Datenverarbeitung veranlasst.

Indem er eine Fanpage eröffnet und somit den Nutzer auf Facebook „lockt“, trägt er maßgeblich zur Datenverarbeitung bei.

Der EuGH erkennt zwar, dass der Fanpage-Betreiber keine Möglichkeit hat, auf die weitere Datenverarbeitung durch Facebook Einfluss zu nehmen.

Es reicht jedoch aus, wenn sich die gemeinsam Verantwortlichen in unterschiedlichen Phasen und Ausmaßen an der Verarbeitung beteiligen.

Das bedeutet konkret, die Beteiligten müssen nicht jeweils zu 50 % entscheiden. Selbst wenn der eine Verantwortliche zu 70 % und der andere zu 30 % über die Zwecke und Mittel der Verarbeitung entscheidet, sind sie gemeinsam verantwortlich.

Noch nicht einmal die Verarbeitungszwecke müssen laut EuGH identisch sein. Es genügt, wenn die Zwecke eines jeden Verantwortlichen eng zusammenhängen.

Gemeinsame Verantwortlichkeit: keine neue Idee

Die Idee, dass es bei einer arbeitsteiligen Verarbeitung nicht nur einen Verantwortlichen gibt, sondern auch andere Konstellationen möglich sind, ist keinesfalls neu.

Bereits die Datenschutz-Richtlinie (Richtlinie 95/46/EG) hatte die gemeinsame Verantwortlichkeit geregelt. Die Richtlinie hatte den Verantwortlichen definiert als denjenigen, der gemeinsam oder allein über die Zwecke und Mittel der Verarbeitung bestimmt. Der identische Wortlaut ist auch in der DSGVO in Art. 26 zu finden.

Anders sah es hingegen im alten Bundesdatenschutzgesetz (BDSG-alt) aus. Dort war die gemeinsame Verantwortlichkeit nicht ausdrücklich geregelt. Daher schenkten Unternehmen der gemeinsamen Verantwortlichkeit nahezu keine Beachtung.

Gänzlich anders lief das bei unseren europäischen Nachbarn. Einige Mitgliedstaaten gingen schon lange vor Geltung der DSGVO davon aus, dass viele Verarbeitungsprozesse gemeinsam verantwortlich durchgeführt wurden.

Meinung der Aufsichtsbehörden

Aus diesem Grund hat die Artikel-29-Gruppe bereits im Jahr 2010 ein Working Paper (WP) zum Begriff des Verantwortlichen veröffentlicht (WP 169). Die Artikel-29-Gruppe stellt darin eine Regel für die Abgrenzung zur Auftragsverarbeitung auf: Wer über die Zwecke und Mittel der Verarbeitung entscheidet, ist immer Verantwortlicher.

Maßgeblich ist, dass der Beteiligte faktisch auf die Verarbeitung einwirken und sie beeinflussen kann. Wer hingegen keinen Entscheidungsspielraum hat und weisungsabhängig ist, kann nur Auftragsverarbeiter sein.

Wichtige Fragen zur Abgrenzung

Das klingt zunächst einfach. In der Praxis sieht das jedoch ganz anders aus.

Häufig bieten Unternehmen Dienstleistungen an, bei denen der Verantwortliche de facto keine Möglichkeiten hat, die Verarbeitung zu beeinflussen. Er hat allenfalls die Wahl, ob er das konkrete Angebot so annimmt, wie es ist, oder sich für einen anderen Anbieter entscheidet.

Einfacher ist es, sich an folgenden Fragen zu orientieren: Wer entscheidet darüber,

  • welche Daten erhoben werden?
  • wie lange diese verarbeitet werden?
  • wer Zugriff auf die Daten haben darf?
  • für welche Zwecke sie verarbeitet werden?
  • ob gelöscht werden darf?

Kurzpapier der DSK

Auch die Datenschutzkonferenz (DSK) hat ein Kurzpapier zur gemeinsamen Verantwortlichkeit veröffentlicht. Es greift im Wesentlichen die Grundsätze der Artikel-29-Gruppe auf.

Der große Mehrwert des Kurzpapiers liegt in den Anwendungsfällen, die das Papier enthält. Die DSK nennt beispielhaft Fälle aus der Praxis, die in der Regel keine Auftragsverarbeitung darstellen, sondern nach Art. 26 DSGVO zu beurteilen sind.

Eine weitere Hilfestellung zur Abgrenzung kann folgende Frage sein: Lässt sich der Zweck der Datenverarbeitung auch ohne den anderen Beteiligten verfolgen?

Wenn die Antwort „nein“ lautet, handelt es sich in aller Regel um eine gemeinsame Verantwortlichkeit.

Lässt sich der andere Akteur dagegen problemlos ersetzen bzw. austauschen, ist das ein Indiz für eine Auftragsverarbeitung.

Fälle aus der Praxis

Die Abgrenzung zur Auftragsverarbeitung scheint mit dem Urteil des EuGH nicht leichter geworden zu sein.

Dennoch gibt es Beispiele aus anderen Bereichen, an denen sich Verantwortliche orientieren können.

1. Verarbeitung im Konzern

Ein klassischer Fall für die gemeinsame Verantwortlichkeit ist die konzerninterne Zusammenarbeit.

Vor allem im Konzern werden Dienstleistungen wie die Verwaltung von Personal- und Kundendaten oder die IT zentral organisiert. Bei der Verwaltung von Personal- und Kundendaten liegt häufig ein gemeinsamer Daten-Pool vor, auf den die jeweiligen Konzerngesellschaften zugreifen.

Die Konzerngesellschaften vereinbaren, welche Daten für die Verarbeitung erforderlich sind, wer Schreibrechte hat und wer Änderungen vornehmen darf. Die Beteiligten sind gemeinsam Verantwortliche für die Datenverwaltung.

Diese Konstellation findet sich z.B. bei Versicherungen. Die Geschäfte unterschiedlicher Versicherungssparten führen separate Rechtseinheiten aus. Die jeweiligen Versicherungsgesellschaften sind datenschutzrechtlich verantwortliche Stellen.

Betreiben sie ein gemeinsames Portal, um die Versicherungsnehmer zu verwalten, liegt eine gemeinsame Verantwortlichkeit vor.

Unschädlich ist, dass die Konzernleitung vorgibt, dass die Daten zentral verarbeitet werden. Jeder der Beteiligten leistet einen Beitrag und entscheidet somit gemeinsam über die Zwecke und Mittel der Verarbeitung.

Werden hierfür extra Dienstleistungsgesellschaften gegründet, die ebenfalls zum Konzern gehören, handelt es sich hingegen um eine Auftragsverarbeitung.

Die Dienstleistungsgesellschaften verarbeiten dann für die gemeinsam Verantwortlichen die Daten im Auftrag.

2. Forschungsprojekte / Produktentwicklung

Schließen sich Unternehmen mit unterschiedlichem Know-how zusammen, weil sie neue Produkte entwickeln oder gemeinsam forschen wollen, müssen sie unweigerlich auf einen gemeinsamen Datenbestand zugreifen. Auch hier liegt eine gemeinsame Verantwortlichkeit vor.

3. Personalvermittler / Headhunter

Auch Personalvermittler gelten mit dem Arbeitsgeber als gemeinsam Verantwortliche, wenn sie nicht nur Bewerbungen für einen konkreten Arbeitsgeber auswerten, sondern auch geeignete Bewerber aus ihrer eigenen Datenbank auswählen.

In diesem Fall übersteigt die Tätigkeit des Personalvermittlers das bloße Auftragsverhältnis. Er entscheidet in eigenem Ermessen nach vereinbarten Kriterien zusammen mit dem Arbeitgeber.

4. Weitere Fälle des EuGH

Im Online-Bereich sind ebenfalls Konstellationen denkbar, in denen mehrere Beteiligte gemeinsam verantwortlich sind.

Neben dem weiter unten genannten Beispiel eines Online-Buchungsportals kommt auch der Einsatz von Tracking-Tools in Betracht.

Der Generalanwalt hat in seinem Schlussantrag in Sachen Fanpages klargestellt, dass er keinen Unterschied zwischen einer Fanpage und dem Einbinden von Tracking-Tools sieht.

Der EuGH hat sich hierzu nicht geäußert. Noch nicht! Demnächst stehen zwei weitere wichtige Entscheidungen des EuGH in Sachen „FashionID“ und „Planet49“ an.

Die Urteile könnten Auswirkungen auf Dienste wie Google Analytics haben, die bisher als klassischer Fall der Auftragsverarbeitung galten.

Pflichten der gemeinsam Verantwortlichen

Es ist nicht nur eine Frage der Transparenz- und Rechenschaftspflicht, ob Akteure, die an der Verarbeitung beteiligt sind, gemeinsam verantwortlich sind.

Neu ist, dass Art. 26 DSGVO eine ausdrückliche Regelung zur gemeinsamen Verantwortlichkeit trifft. Dort wird geregelt, welche zusätzlichen Pflichten gemeinsam Verantwortliche haben.

Es handelt es hierbei nicht nur um eine leere Bestimmung. Wie bei allen Pflichten nach der DSGVO kann ein Verstoß gemäß Art. 83 Abs. 4 Buchst. a sanktioniert werden.

Außerdem ist die Frage nach der gemeinsamen Verantwortlichkeit dann besonders relevant, wenn der Betroffene Schadensersatz geltend macht. Für diesen Fall regelt die DSGVO, dass die an der Verarbeitung Beteiligen gesamtschuldnerisch haften.

Spätestens beim Thema „Sanktionen und Schadensersatz“ wird klar, dass man sich seinen Vertragspartner gut auswählen sollte.

Zahlt der andere nicht, weil er nicht kann oder nicht will, bleibt man als Verantwortlicher im Zweifel auf den Kosten sitzen. Denn der Betroffene kann seinen Anspruch auf Schadensersatz in jedem Fall gegenüber einem der Verantwortlichen in voller Höhe geltend machen.

Keine Privilegierung!

Wichtig ist: Die gemeinsame Verantwortlichkeit ist keine Privilegierung. Ein Verantwortlicher kann sich nicht einfach an die Verarbeitung eines anderen „dranhängen“, ohne jegliche Pflichten der DSGVO zu beachten.

Das bedeutet v.a., dass jeder dafür sorgen muss, dass er die Daten rechtmäßig, also aufgrund einer Rechtsgrundlage oder Einwilligung verarbeitet.

Ist im Zusammenhang mit Art. 26 DSGVO von einer Privilegierung die Rede, dann aus Sicht des Betroffenen. Die erweiterten Transparenzvorschriften schützen den Betroffenen, und er kann seine Rechte einfacher durchsetzen.

Auch bei der Einwilligung schlagen die Pflichten zur Transparenz voll durch. Da die Einwilligung nur wirksam ist, wenn der Betroffene vorab transparent über die Datenverarbeitung informiert wird, muss es auch Hinweise zur gemeinsamen Verantwortlichkeit geben.

Nur wenn der Einwilligungstext klar und verständlich offenlegt, dass an der Datenverarbeitung mehrere Akteure beteiligt und diese gemeinsam verantwortlich sind, ist die Einwilligung wirksam.

Verschweigen die Verantwortlichen, dass die Verarbeitung gemeinsam mit anderen erfolgt, ist die Einwilligung unwirksam.

Das Gleiche gilt bei den Rechtsgrundlagen: Die Verarbeitung ist nur dann zur Vertragserfüllung erforderlich, wenn dies auf alle Verantwortlichen zutrifft.

Beispiel: Eine Hotelkette und eine Fluggesellschaft beschließen, gemeinsam ein Online-Buchungsportal für Reisen zu betreiben. Ziel ist es, dem Nutzer eine Pauschalreise mit individuellen Buchungspaketen anzubieten.

Die Hotelkette und die Fluggesellschaft entscheiden gemeinsam, welche Daten in welchem Umfang verarbeitet werden und wer Zugang zu den gespeicherten Informationen erhält. Die Daten werden auf einer gemeinsamen IT-Infrastruktur verarbeitet. Grundlage für die Datenverarbeitung ist der Vertrag über die Durchführung einer Pauschalreise.

Entscheidet sich die Hotelkette eigenmächtig, die Kundendaten an einen Adresshändler zu verkaufen, ist das nicht mehr von der gemeinsamen Verarbeitung umfasst.

Die Fluggesellschaft hat weder Kenntnis über diesen Vorgang, noch handelt es sich um den ursprünglichen Zweck. Für diesen Vorgang liegt keine gemeinsame Verantwortlichkeit vor.

Die Vereinbarung über die gemeinsame Verantwortlichkeit

Die Beteiligten sind nach der DSGVO verpflichtet, eine Vereinbarung zu schließen.

Diese Vereinbarung ist vergleichbar mit einem Vertrag zur Auftragsverarbeitung, unterscheidet sich aber inhaltlich. Die Verantwortlichen sollen regeln, wer welche Pflichten der DSGVO übernimmt.

Das funktioniert nur, wenn sich die Beteiligten im Klaren darüber sind, wer konkret welche Verarbeitungsschritte ausführt und welche Funktion die einzelnen Beteiligten in den unterschiedlichen Phasen der Verarbeitung haben. Erst dann lassen sich datenschutzrechtliche Pflichten und Haftungsfragen regeln.

Was muss in einer Vereinbarung stehen?

Eine Vereinbarung zur gemeinsamen Verantwortlichkeit sollte unbedingt regeln,

Außerdem sollte die Vereinbarung die Stellung des Datenschutzbeauftragten festlegen, die Haftung im Innenverhältnis regeln und einen gemeinsamen Ansprechpartner für die Aufsichtsbehörden nennen.

Sinnvoll ist es, eine konkrete Anlaufstelle bei Anfragen zu Betroffenenrechten zu nennen.

Zwar kann sich der Betroffene an jeden wenden, wenn es um seine Rechte geht. Um sicherzustellen, dass die Anfragen auch dort ankommen, wo sie bearbeitet werden sollen, sollte allerdings ein Ansprechpartner genannt werden, der intern alles Weitere koordiniert.

Das Wesentliche der Vereinbarung

Die gemeinsam Verantwortlichen sind verpflichtet, für ausreichend Transparenz zu sorgen. Sie müssen die wesentlichen Aspekte der Vereinbarung dem Betroffenen zur Verfügung stellen.

Was genau dazu gehört, definiert die DSGVO nicht weiter. Klar ist jedoch, dass die Vereinbarung der Verantwortlichen keinesfalls 1 : 1 übernommen werden darf.

Wieso? Ist die Vereinbarung zwischen den Verantwortlichen präzise und vollständig – wie es die DSGVO verlangt –, enthält sie zwangsläufig vertrauliche Informationen und Geschäftsgeheimnisse. Aus diesem Grund muss ein separates Dokument her.

Sinn und Zweck der wesentlichen Vereinbarung ist es, den Betroffenen zu informieren,

  • wer gemeinsam die Daten verarbeitet und
  • wie diese gemeinsame Verarbeitung ausgestaltet ist, d.h. wer welche Verarbeitungsschritte ausführt und wie die Beziehung zueinander ist. Hierzu gehören auch die tatsächlichen Datenflüsse, die sich z.B. mit einer Skizze veranschaulichen lassen.

Idealerweise ist das „Wesentliche“ Teil der Datenschutzerklärung – als Anhang oder eigenes Kapitel. Werden die Hinweise zusätzlich auf der Website veröffentlicht, sind sie jederzeit verfügbar.

Nur ein bisschen Licht ins Dunkel …

Nicht alles, was Verantwortliche als Auftragsverarbeitung regeln möchten, ist also auch tatsächlich eine AV. Es gibt zahlreiche Situationen, in denen eine gemeinsame Verantwortung gegeben ist. Wann das genau der Fall ist, lässt sich nicht immer leicht entscheiden.

Immerhin eine Sache ist klar: Auch im Jahr 2019 wird es wieder interessante Entscheidungen des EuGH im Datenschutz geben.

Kristin Benedikt
Kristin Benedikt ist Referatsleiterin für die Themen Internet, Telemedien und Apps beim Bayerischen Landesamt für Datenschutzaufsicht.