Aktuell im ITRB

Joint Controllership nach der DSGVO (Prof. Härting, ITRB 2018, 167)

Am Modell einer Kundendatenbank, die von zwei Schwesterunternehmen gemeinsam betrieben wird, sollen die Besonderheiten einer "gemeinsamen Verantwortlichkeit" nach der DSGVO dargestellt werden. Beispielhaft werden zentrale Vertragsklauseln entwickelt, derer es gem. Art. 26 DSGVO bedarf.

I. Gemeinsame Verantwortlichkeit und Auftragsverarbeitung
1. Bisheriges Verständnis der "Verantwortlichkeit"
2. Auslegung nach der DSGVO
a) Mitbestimmung der Zwecke und Mittel
b) Vorgabe des Zwecks
c) Vorgabe der Mittel
d) Informationspflichten der Verantwortlichen
II. Joint Controllership-Mustervertrag
1. Vertragsgegenstand
2. Art, Umfang, Zweck und Laufzeit des Vertrags
3. Verantwortlichkeiten der Parteien
4. Verantwortlichkeit für die Datenschutzerklärung
5. Haftung
6. Schlussbestimmungen
III. Ausblick


I. Gemeinsame Verantwortlichkeit und Auftragsverarbeitung

Spätestens seit der Facebook Fanpage-Entscheidung des EuGH (EuGH v. 5.6.2018 – C-210/16, ITRB 2018, 151 [ Bergt ], in diesem Heft) sollte klar sein, dass die Auftragsverarbeitung (Art. 28 DSGVO) nur eine von zwei Möglichkeiten ist, wie sich vertraglich eine Zusammenarbeit zweier Parteien bei der Verarbeitung personenbezogener Daten ausgestalten lässt. Die Auftragsverarbeitung ist entgegen der bisherigen Praxis in vielen Fällen keineswegs alternativlos. Wenn die Zwecke und Mittel der Datenverarbeitung von mehreren Parteien gemeinsam festgesetzt werden, liegt keine Auftragsverarbeitung vor. Die Parteien handeln vielmehr als „gemeinsam Verantwortliche“ gem. Art. 26 DSGVO mit der Folge, dass es einer Vereinbarung bedarf, die die Maßgaben des Art. 26 DSGVO erfüllt.

1. Bisheriges Verständnis der "Verantwortlichkeit"
Der Begriff der "Verantwortlichkeit" fristet im deutschen Datenschutzrecht bislang ein Schattendasein. Verbreitet war die Vorstellung, dass die Verantwortlichkeitsich vertraglich dadurch regeln lässt, dass man eine Partei als Auftraggeber bezeichnet und dieser Partei in einem Vertrag weitgehende Weisungsrechte gegenüber der anderen Partei einräumt. Eine solche "gewillkürte" Verantwortlichkeit findet sich in zahlreichen Verträgen zur Auftrags(daten)verarbeitung. Große amerikanische Dienstleister finden sich in der Rolle von Befehlsempfängern ihrer zahlreichen Auftraggeber. Cloud-Dienstleister und die Betreiber von Analyse- und Trackingtools unterwerfen sich vertraglich den Weisungsrechten ihrer Auftraggeber, obwohl allen Beteiligten genau bewusst ist, dass diese Weisungsrechte in den allerseltensten Fällen ausgeübt und gelebt werden.

2. Auslegung nach der DSGVO
Wer "Verantwortlicher" ist, definiert Art. 4 Nr. 7 DSGVO: "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden."

a) Mitbestimmung der Zwecke und Mittel
"Verantwortlich" kann somit auch derjenige sein, der selbst keine personenbezogenen Daten verarbeitet und nicht einmal Zugriff auf diese Daten hat, aber die Zwecke und Mittel der Verarbeitung selbst mitbestimmt (EuGH v. 5.6.2018 – C-210/16, Rz. 38, ITRB 2018, 151 [ Bergt ], in diesem Heft). Umgekehrt fehlt es an einer Verantwortlichkeit, wenn (...)

Verlag Dr. Otto Schmidt vom 02.07.2018 10:04
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite