Joint Controller im Datenschutz – ein altbekanntes Thema wird aktuell

Fachbeitrag

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung fest, sind sie nach der Datenschutz-Grundverordnung (DSGVO) gemeinsam Verantwortliche. Sie werden auch Joint Controller genannt. Viele Unternehmen sind sich hierüber nicht bewusst und Joint Controller spielen in der datenschutzrechtlichen Diskussion bislang eine eher untergeordnete Rolle, obwohl sich diese Frage mit Blick auf die DSGVO stellt. Es lohnt sich daher ein näherer Blick auf ein doch altbekanntes Thema.

Ausgangspunkt

Im BDSG findet sich derzeit keine explizite Regelung zu Joint Controllern. Interessant ist dieser Umstand zunächst schon deshalb, weil diese in Art. 2 lit. d) DSRL enthalten sind und nunmehr von der DSGVO insbesondere in Art. 26 i. V. m. Art. 4 Nr. 7 DSGVO erneut aufgegriffen werden. Auch in weiteren Regelungen der DSGVO werden die gemeinsam Verantwortlichen erwähnt, z. B. im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO. Das BDSG (neu) enthält nun ebenfalls in § 63 eine entsprechende Regelung, die allerdings die Regelung aus der DSGVO nur sehr ähnlich wiedergibt.

Mit Blick auf Erwägungsgrund 79 der DSGVO soll eine klare Zuteilung der Verantwortlichkeiten, allen voran zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen, sichergestellt werden.

Zur DSRL führt die Artikel-29-Datenschutzgruppe bereits in ihrer Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ aus:

„Dies bedeutet, dass der Begriff „für die Verarbeitung Verantwortlicher“ in erster Linie dazu dient, zu bestimmen, wer für die Einhaltung der Datenschutzbestimmungen verantwortlich ist und wie die betroffenen Personen ihre Rechte in der Praxis ausüben können. Anders ausgedrückt: Er dient dazu, Verantwortung zuzuweisen.“

Wer sind Joint Controller?

Die zuvor genannte Stellungnahme der Artikel-29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ eignet sich derzeit besonders als Entscheidungshilfe mit zahlreichen Beispielen.

Kurz zusammengefasst ist es so, dass danach mehrere Verantwortliche / Joint Controller grundsätzlich gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen. Maßgeblich ist diesbezüglich eine gewisse Entscheidungsmöglichkeit der jeweiligen Beteiligten. Dabei ist allerdings ein funktioneller und an den tatsächlichen Gegebenheiten orientierter Ansatz zu wählen und nicht lediglich auf vertragliche Vereinbarungen abzustellen.

Ausschlaggebend können insbesondere aber auch sein:

  • ausdrücklich gesetzlich geregelte Zuständigkeit
  • eine üblicherweise bestehende Verantwortung wird impliziert (Arbeitgeber für Beschäftigtendaten)
  • tatsächliche Gegebenheiten und andere Faktoren (z. B. vertragliche Beziehungen, tatsächlich ausgeübte Kontrolle)

Eine Orientierung und Kontrollfrage lautet dabei letztlich: Wem ist die Verantwortung für die Datenverarbeitung tatsächlich zugeordnet?

Vereinbarungen zwischen mehreren Verantwortlichen

Sowohl Art. 26 Abs. 1 Satz 2 DSGVO als auch § 63 BDSG fordern eine transparente Vereinbarung zwischen den gemeinsam Verantwortlichen, wobei eine Orientierung an den Vereinbarungen zur Auftragsverarbeitung möglich ist. Darüber hinaus stellt auch BITKOM Informationen zum Inhalt entsprechender Vereinbarungen zur Verfügung.

Dabei muss zwingend festgelegt sein, wer welche datenschutzrechtlichen Verpflichtungen erfüllt. In diesem Zusammenhang wird ausdrücklich die Wahrnehmung der Rechte der Betroffenen und die Erfüllung der Informationspflichten genannt. Inhaltlich ist allerdings sicherzustellen, dass eine klare Zuteilung der Verantwortlichkeiten sichergestellt sein muss, wobei eine weitestgehend gemeinsame Kontrolle der Verantwortlichen aus Sicht des Datenschutzes zu begrüßen wäre.

Die Vereinbarung muss darüber hinaus die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Eine klarstellende Regelung über den Haftungsausgleich unter den Verantwortlichen wird dabei regelmäßig nicht fehlen.

Die wesentlichen Inhalte der Vereinbarung sind den Betroffenen nach Art. 26 Abs. 2 S. 2 DSGVO zur Verfügung zu stellen, was nicht übersehen werden sollte. Zu beachten ist auch, dass die Rechtmäßigkeit der Datenverarbeitung von der Vereinbarung der Verantwortlichen nicht berührt wird, sondern gesondert festzustellen ist.

Rechte der Betroffenen und Bußgelder

Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen (vgl. Art. 26 Abs. 3 DSGVO, § 63 S. 4 BDSG (neu)).

Da ein Verstoß gegen die Pflichten aus Art. 26 DSGVO nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt ist, ist es geboten, sich mit dem altbekannten Problem auseinanderzusetzen. Dabei unterstützt Sie ihr Datenschutzbeauftragter.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. § 63 BDSG-neu betrifft keine Öffnungsklausel der Verordnung (EU) 2016/679 (DS-GVO). Er befindet sich in Teil 3 des BDSG-neu, der die Richtlinie (EU) 2016/680 umsetzen soll.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.