Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
24. Mai 2018

Was genau ist Joint Controllership?

DP+
Was genau ist Joint Controllership?
Bild: iStock.com / PeopleImages
0,00 (0)
Abgrenzung und Inhalte
In vielen Fällen findet eine Datenverarbeitung mit Unterstützung eines anderen Unternehmens statt. Um die Rechtmäßigkeit der Verarbeitung zu gewährleisten, ist es von großer Bedeutung, solche Sachverhalte korrekt einzuordnen. Beteiligte müssen wissen, ob sie Verantwortliche, Auftragsverarbeiter oder Joint Controller sind.

Joint Controllership bedeutet grundsätzlich nichts anderes als ein arbeitsteiliges Zusammenwirken mehrerer Verantwortlicher bei der Verarbeitung personenbezogener Daten.

Merkmale eines Joint Controllership

Nach Art. 26 Datenschutz-Grundverordnung (DSGVO) legen bei einem Joint Controllership zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest.

Sie müssen darüber eine Vereinbarung, d.h. einen Vertrag, schließen, der bestimmte Mindestinhalte aufweisen muss.

Damit sind sie dann beide bzw. mehrere Verantwortliche im Sinne der DSGVO mit allen darin geregelten Rechten und Pflichten.

Mehrere Verantwortliche, d.h. Joint Controller, gibt es z.B. dann, wenn mehrere rechtlich selbstständige Unternehmen eines Konzerns auf eine gemeinsame Konzern-Kundendatei zugreifen können.

Ein weiteres Beispiel ist die Beauftragung eines Dienstleisters im Rahmen der Personalbeschaffung. Hat der Dienstleister dabei die Stellen auszuschreiben, die Bewerbungsunterlagen zu sichten, ggf. erste Gespräche mit geeigneten Kandidaten zu führen und diese dem Unternehmen vorzuschlagen, so liegt auch hier ein Joint Controllership vor.

Abgrenzung zu anderen Konstellationen: Auftragsverarbeitung & Funktionsübertragung

Bei der Auftragsverarbeitung ist ein wesentliches Merkmal die Weisungsgebundenheit des Auftragsverarbeiters gegenüber dem Verantwortlichen. Um die Abgrenzung zu erleichtern, geben Sie den Kollegen folgende Kriterien an die Hand:

  • Erfolgt die Verarbeitung personenbezogener Daten für Zwecke und mit Mitteln, die der Auftraggeber festlegt, und hat der Dienstleister (Auftragsverarbeiter) kein eigenes Interesse an diesen Daten, so lässt sich von einer Auftragsverarbeitung ausgehen.
  • Unterliegt der Dienstleister darüber hinaus einem ausdrücklichen Nutzungsverbot in Bezug auf die zu verarbeitenden Daten und hat er keine vertraglichen Beziehungen zu den betroffenen Personen, so spricht auch dies für eine Auftragsverarbeitung.

Typische Praxisfälle von Auftragsverarbeitung sind Callcenter-Leistungen, Archivierungsdienstleistungen, Vernichtung von Akten oder Datenträgern oder die Implementierung von neuen IT-Systemen.

Erforderlich sind stets zwei Dinge: Zum einen benötigt der Verantwortliche einen Erlaubnistatbestand, um die Daten verarbeiten zu dürfen. Zum anderen ist eine vertragliche Regelung mit dem Auftragsverarbeiter nötig.

Die Funktionsübertragung ist eine Datenübermittlung von einem Verantwortlichen auf einen anderen, der dann der neue Verantwortliche ist.

Das ist z.B. der Fall, wenn ein Steuerberater die Gehaltsabrechnungen oder die Buchführung eines Unternehmens übernimmt.

Bei der Funktionsübertragung ist ein Erlaubnistatbestand für die Übermittlung von einem Verantwortlichen zum anderen Verantwortlichen nötig, z.B. die Wahrung berechtigter Interessen nach Art. 6 Abs. 1 Buchst. f DSGVO. Und auch der neue Verantwortliche braucht dann einen Erlaubnistatbestand für die Verarbeitung der Daten.

Voraussetzungen eines Joint Controllership

Ein Joint Controllership liegt dann vor, wenn mindestens zwei Verantwortliche gemeinsam sowohl über die Zwecke der Verarbeitung als auch über deren Mittel entscheiden. Wichtig ist dabei das tatsächliche Verhalten und nicht nur eine entsprechende vertragliche Festlegung.

Im Beispiel der Personalbeschaffung lässt sich als Zweck der Verarbeitung die Personalgewinnung nennen. Weitere Zwecke könnten z.B. das Marketing, die Vertragsabwicklung oder die Personalverwaltung sein. Dabei geht es immer darum, wer welche Daten für bestimmte Vorgehensweisen verarbeiten muss.

Bei den Mitteln der Verarbeitung müssen die Verantwortlichen gemeinsam darüber entscheiden, welche Maßnahmen, Instrumente, Werkzeuge oder Hilfsmittel nötig sind, um den festgelegten Zweck zu erreichen.

Nutzungsmöglichkeiten führen zu Verantwortlichkeit

Eine zentrale Frage kann dabei dazu beitragen, abzuklären, ob ein Joint Controllership vorliegt. Hat nämlich ein Dienstleister eigene Nutzungsmöglichkeiten an den verarbeiteten Daten und wurde dies gemeinsam festgelegt, so lässt sich von mehreren Verantwortlichen und damit von einem Joint Controllership ausgehen.

Im obigen Beispiel hat der Dienstleister, der für ein Unternehmen eine Personalbeschaffung durchführt, bei Bewerbern, die nicht für das Unternehmen geeignet sind, die Möglichkeit, diese Bewerber anderen Kunden vorzuschlagen.

Unter diesen Voraussetzungen sind dann das Unternehmen und der Dienstleister Joint Controller – und damit Verantwortliche mit jeweils allen Rechten und Pflichten, die sich aus der DSGVO ergeben.

Inhalt einer Joint-Controller-Vereinbarung

Joint Controller legen nicht nur gemeinsam die Zwecke und Mittel der Verarbeitung fest, sondern müssen ihre gemeinsame Verantwortlichkeit auch in einer Vereinbarung dokumentieren.

Dabei müssen sie nach den tatsächlichen Gegebenheiten regeln, wer welche Verpflichtungen nach der DSGVO erfüllt, wer für die Rechte betroffener Personen verantwortlich ist und wer die Informationspflichten gegenüber den betroffenen Personen erfüllt. Die wesentlichen Aspekte der Joint-Controller-Vereinbarung sind den betroffenen Personen zur Verfügung zu stellen.

In einer solchen Vereinbarung ist insbesondere festzulegen, welcher der Joint Controller

  • Informationspflichten nach Art. 13 bzw. 14 DSGVO erfüllt,
  • Auskunftsverlangen betroffener Personen bearbeitet,
  • Berichtigungs-, Lösch- oder Beschränkungsansprüche erfüllt,
  • Herausgabeverlangen (Datenportabilität) abwickelt,
  • technisch-organisatorische Maßnahmen festlegt und umsetzt,
  • eine notwendige Datenschutz-Folgenabschätzung durchführt,
  • sich um meldepflichtige Datenpannen kümmert sowie
  • Auftragsverarbeiter beauftragt und überprüft.

Die Joint Controller können zudem eine Anlaufstelle festlegen, an die sich betroffene Personen wenden können.

Diese Auflistung ist nicht vollständig. Denn die Einzelheiten einer solchen Vereinbarung dürften je nach Art des Joint Controllership sehr unterschiedlich ausfallen.

Haftungsfragen klären

Betroffene Personen können sich bei der Ausübung ihrer Rechte an jeden der Verantwortlichen eines Joint Controllership wenden, z.B. bei einem Anspruch auf Schadenersatz. Wie die Joint Controller im Innenverhältnis untereinander ihre Auseinandersetzung regeln, ist nicht Sache der betroffenen Person.

Sinnvoll ist es somit, in der Vereinbarung auch die Fälle zu regeln, in denen ein Verantwortlicher wegen des Fehlers eines anderen Verantwortlichen in Anspruch genommen wird.

ACHTUNG: Zu beachten ist, dass die Joint-Controller-Vereinbarung keine eigene Rechtsgrundlage für die Verarbeitung oder Übermittlung von Daten darstellt. Dafür muss immer eine Gesetzesgrundlage, wie z.B. die Wahrung berechtigter Interessen oder eine Einwilligung, vorliegen.

Und noch ein weiterer wichtiger Punkt: Das neue Bundesdatenschutzgesetz (BDSG) enthält in § 63 eine Regelung, die der DSGVO entspricht. Dieser Teil des BDSG bezieht sich jedoch nur auf die Richtlinie für Polizei und Justiz (Richtlinie EU 2016/680) und wird daher meist nicht relevant sein.

Fazit: Zuständigkeiten festlegen

Die Regelungen zum Joint Controllership dienen klar dazu, Verantwortlichkeiten zuzuweisen. Für Unternehmen, die mit anderen bei der Datenverarbeitung zusammenarbeiten, ist es empfehlenswert, eindeutige Zuständigkeiten zu vereinbaren. Denn wer die Pflichten der Verantwortlichen nicht einhält, dem drohen die bekannten hohen Bußgelder der DSGVO.

Andrea Gailus

Andrea Gailus
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.