Joint Controller im Datenschutz – ein altbekanntes Thema wird aktuell

Fachbeitrag

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung fest, sind sie nach der Datenschutz-Grundverordnung (DSGVO) gemeinsam Verantwortliche. Sie werden auch Joint Controller genannt. Viele Unternehmen sind sich hierüber nicht bewusst und Joint Controller spielen in der datenschutzrechtlichen Diskussion bislang eine eher untergeordnete Rolle, obwohl sich diese Frage mit Blick auf die DSGVO stellt. Es lohnt sich daher ein näherer Blick auf ein doch altbekanntes Thema.

Ausgangspunkt

Im BDSG findet sich derzeit keine explizite Regelung zu Joint Controllern. Interessant ist dieser Umstand zunächst schon deshalb, weil diese in Art. 2 lit. d) DSRL enthalten sind und nunmehr von der DSGVO insbesondere in Art. 26 i. V. m. Art. 4 Nr. 7 DSGVO erneut aufgegriffen werden. Auch in weiteren Regelungen der DSGVO werden die gemeinsam Verantwortlichen erwähnt, z. B. im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO. Das BDSG (neu) enthält nun ebenfalls in § 63 eine entsprechende Regelung, die allerdings die Regelung aus der DSGVO nur sehr ähnlich wiedergibt.

Mit Blick auf Erwägungsgrund 79 der DSGVO soll eine klare Zuteilung der Verantwortlichkeiten, allen voran zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen, sichergestellt werden.

Zur DSRL führt die Artikel-29-Datenschutzgruppe bereits in ihrer Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ aus:

„Dies bedeutet, dass der Begriff „für die Verarbeitung Verantwortlicher“ in erster Linie dazu dient, zu bestimmen, wer für die Einhaltung der Datenschutzbestimmungen verantwortlich ist und wie die betroffenen Personen ihre Rechte in der Praxis ausüben können. Anders ausgedrückt: Er dient dazu, Verantwortung zuzuweisen.“

Wer sind Joint Controller?

Die zuvor genannte Stellungnahme der Artikel-29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ eignet sich derzeit besonders als Entscheidungshilfe mit zahlreichen Beispielen.

Kurz zusammengefasst ist es so, dass danach mehrere Verantwortliche / Joint Controller grundsätzlich gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen. Maßgeblich ist diesbezüglich eine gewisse Entscheidungsmöglichkeit der jeweiligen Beteiligten. Dabei ist allerdings ein funktioneller und an den tatsächlichen Gegebenheiten orientierter Ansatz zu wählen und nicht lediglich auf vertragliche Vereinbarungen abzustellen.

Ausschlaggebend können insbesondere aber auch sein:

  • ausdrücklich gesetzlich geregelte Zuständigkeit
  • eine üblicherweise bestehende Verantwortung wird impliziert (Arbeitgeber für Beschäftigtendaten)
  • tatsächliche Gegebenheiten und andere Faktoren (z. B. vertragliche Beziehungen, tatsächlich ausgeübte Kontrolle)

Eine Orientierung und Kontrollfrage lautet dabei letztlich: Wem ist die Verantwortung für die Datenverarbeitung tatsächlich zugeordnet?

Vereinbarungen zwischen mehreren Verantwortlichen

Sowohl Art. 26 Abs. 1 Satz 2 DSGVO als auch § 63 BDSG fordern eine transparente Vereinbarung zwischen den gemeinsam Verantwortlichen, wobei eine Orientierung an den Vereinbarungen zur Auftragsverarbeitung möglich ist. Darüber hinaus stellt auch BITKOM Informationen zum Inhalt entsprechender Vereinbarungen zur Verfügung.

Dabei muss zwingend festgelegt sein, wer welche datenschutzrechtlichen Verpflichtungen erfüllt. In diesem Zusammenhang wird ausdrücklich die Wahrnehmung der Rechte der Betroffenen und die Erfüllung der Informationspflichten genannt. Inhaltlich ist allerdings sicherzustellen, dass eine klare Zuteilung der Verantwortlichkeiten sichergestellt sein muss, wobei eine weitestgehend gemeinsame Kontrolle der Verantwortlichen aus Sicht des Datenschutzes zu begrüßen wäre.

Die Vereinbarung muss darüber hinaus die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Eine klarstellende Regelung über den Haftungsausgleich unter den Verantwortlichen wird dabei regelmäßig nicht fehlen.

Die wesentlichen Inhalte der Vereinbarung sind den Betroffenen nach Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung zu stellen, was nicht übersehen werden sollte. Zu beachten ist auch, dass die Rechtmäßigkeit der Datenverarbeitung von der Vereinbarung der Verantwortlichen nicht berührt wird, sondern gesondert festzustellen ist.

Rechte der Betroffenen und Bußgelder

Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen (vgl. Art. 26 Abs. 3 DSGVO, § 63 S. 4 BDSG (neu)).

Da ein Verstoß gegen die Pflichten aus Art. 26 DSGVO nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt ist, ist es geboten, sich mit dem altbekannten Problem auseinanderzusetzen. Dabei unterstützt Sie ihr Datenschutzbeauftragter.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

10 Kommentare zu diesem Beitrag

  1. § 63 BDSG-neu betrifft keine Öffnungsklausel der Verordnung (EU) 2016/679 (DS-GVO). Er befindet sich in Teil 3 des BDSG-neu, der die Richtlinie (EU) 2016/680 umsetzen soll.

  2. Dr. Datenschutz, falls es erlaubt ist, hier Fragen zu stellen: Welcher Art Beziehung liegt vor und welcher Art Vertrag/Vereinbarung ist somit notwendig, wenn Marktforschungsinstitut A Marktforschungsinstitut B beauftragt, nach von A vorgegebenen Kriterien Marktforschungsteilnehmer aus der Kartei von B mit marktforschungswilligen Personen herauszusuchen, damit A die Personen kontaktieren, interviewen, bezahlen kann. A wird alle Rechte an den Interviewangaben haben, A gibt alles vor (Interviewfragen, Zeitrahmen, Höhe der Aufwandsentschädigung, Subunternehmer für die Interviewauswertung), aber B hat die Rechte an den Kontaktdaten. A darf die Kontaktdaten nur für dieses Projekt nutzen. Vielen Dank im voraus!

    • Die Abgrenzung zwischen einer Funktionsübertragung (nach BDSG) bzw. Übermittlung (nach DSGVO, ist das Institut der Funktionsübertragung nicht vorgesehen), einer gemeinsame Verantwortlichkeit nach Art. 26 DSGVO und einer Auftragsverarbeitung nach Art. 28 DSGVO ist nicht ganz einfach und teilweise umstritten. Aktuell gibt es zu der Abgrenzung das Kurzpapier Nr. 16 der DSK.

      Gemeinsame Verantwortlichkeit:
      Nach der DSK ist für eine gemeinsame Verantwortlichkeit Voraussetzung, dass „jeder der Beteiligten einen bestimmten tatsächlichen Einfluss auf die Datenverarbeitung nimmt.“ (S. 2, letzter Absatz)
      Der von Ihnen geschilderte Fall weißt dieses Merkmal nicht auf, sodass nach hier vertretener Auffassung nicht von einer gemeinsamen Verantwortlichkeit ausgehen ist. Die von der DSK geforderte Vereinbarung (S. 3 a.E.) ist folglich nicht erforderlich. Zu Klarstellung: in diesem Szenario verwendet das Marktforschungsinstitut B die Auswertungen nicht.

      Auftragsverarbeitung:
      Das Marktforschungsinstitut B ist verantwortliche Stelle, da es die Daten der Marktforschungsteilnehmer erhebt. Durch die Übermittlung (ohne aber weiteren Einfluss auf die weitere Verarbeitung der Daten zu haben!) wird auch das Marktforschungsinstitut A zu einer (eigenen) verantwortlichen Stelle.
      Eines AVV nach Art. 28 DSGVO bedarf es daher ebenso wenig, da keine Weisungsbefugnis zu erkennen ist.

      Aus datenschutzrechtlicher Sicht muss zwischen den beiden Instituten daher kein zusätzlicher Vertrag geschlossen werden, da lediglich eine Übermittlung vorliegt. In dem dem Vertragsverhältnis zugrunde liegenden Vertrag muss allerdings sichergestellt werden, dass mit den Daten stets sicher und gesetzeskonform umgangen wird.

      • Vielen Dank! Ich hatte nach Lesen von ARTICLE 29 DATA PROTECTION WORKING PARTY, WP169 ([LINK AKTUALISIERT]: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf) überlegt, ob eine gemeinsme Verantwortlichkeit vorliegt, wenn man argumentiert, A gibt die Zwecke vor, aber B akzeptiert sie und gibt sie damit indirekt vor (ohne B kommt die Verarbeitung nicht zustande, weil B die Kontaktdaten gehören), und A gibt die Mittel vor (u.a. auch die TOMs), aber B könnte darauf bestehen, dass A bestimmte TOMs anwendet, um die Kontaktdaten, die B gehören, zu schützen. Wenn aber nur ein controller-controller- oder Third-Party- oder Übermittler-Verhältnis vorliegt, muss es also lediglich einen Geschäftsvertrag zwischen A und B geben, der grob Sicherstellung und Gesetzeskonformität sicherstellt, und die Marktforschungsteilnehmer müssen der Weiterleitung ihrer Daten von B and A zu den im Vertrag genannten Zwecken zustimmen, und A und B müssen unabhängig von einander als Verantwortliche ihre personenbezogenen Daten gemäß DSGVO schützen, korrekt? (Vielen Dank nochmals.)

        • Ganz genau, so verstehe ich den Fall. Durch die Vorgabe der Sicherheiten (TOMs) wird kein Weisungsverhältnis in Bezug auf die inhaltliche Verarbeitung der Daten geschaffen. Auch durch (lediglich) eine Akzeptanz der Verarbeitung durch A unterwirft sich B ebenso keiner Weisung, die einen zusätzlichen Vertrag erforderlich machen würde.

          • Dr. Datenschutz, ich wage es noch einmal: Example No. 6 („Headhunters“) im o.g. WP169-Link postuliert – für mich zu wenig erklärend – eine joint control zwischen Auftraggeber und Headhunter, scheinbar weil der Headhunter durch Zugriff auf die eigene Kontaktdatenbasis das „matching enhancen“ kann. Könnte nun nicht auch für das Verhältnis B zu A so argumentiert werden, dass B, sofern die Kartei von B nicht die von A erwünschte Personenzahl mit den Kriterien von A enthält, seine eigene Kartei mittels freier Suche (Kaltakquise) erweitern könnte, um die von A gewünschte Anzahl von Teilnehmern zu finden? Und ändert sich das Verhältnis zwischen A und B, wenn B gleich zusätzlich nach von A vorgegebenem Fragebogen die identifizierten Teilnehmer interviewen soll und an A nur das aufgezeichnete Interview und nicht die Kontaktdaten der Teilnehmer schicken soll? Vielen Dank.

            • Joint-Controller-Verhältnisse oder aber auch ein Verhältnis zwischen einem Verantwortlichen und einen Auftragsverarbeiter hängen vom Einzelfall ab. Das von Ihnen richtig angeführte WP 169 der Artikel-29-Datenschutzgruppe bietet Anhaltspunkte. Ihr Fall müsste näher betrachtet werden, was im Rahmen der Kommentarfunktion leider nicht möglich ist.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.