Gemeinsame Verantwortlichkeit

Wann liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor?

Neue Orientierungshilfe zur gemeinsamen Verantwortlichkeit des Bayerischen Landesbeauftragten

Die Datenschutz-Grundverordnung (DSGVO) definiert verschiedene Rollen in Bezug auf die Verarbeitung personenbezogener Daten. Neben der Einzelverantwortlichkeit und der Auftragsverarbeitung ist die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO besonders wichtig. Diese tritt ein, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen, was in arbeitsteiligen Verarbeitungsprozessen häufig vorkommt.

Sind die Bedingungen von Art. 26 Abs. 1 Satz 1 DSGVO erfüllt, gelten die Beteiligten als gemeinsam Verantwortliche und müssen den Pflichten gemäß Art. 26 Abs. 1 Satz 2, Abs. 2 und 3 DSGVO nachkommen. Dazu gehört der Abschluss einer Vereinbarung, die transparent festlegt, wer welche Verpflichtungen der DSGVO erfüllt. Dies erfordert Aufwand, ermöglicht aber eine klare Verteilung der datenschutzrechtlichen Zuständigkeiten und Verantwortlichkeiten, was sowohl für die Verantwortlichen als auch für die betroffenen Personen von Vorteil ist.

Voraussetzungen für eine gemeinsame Verantwortlichkeit:

Die Einstufung als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO kommt in Betracht, wenn mehr als ein Handelnder als Verantwortlicher an der Festlegung der Zwecke und Mittel eines Verarbeitungsvorgangs beteiligt ist. Eine Obergrenze betreffend die mögliche Zahl der beteiligten Verantwortlichen kennt die Datenschutz-Grundverordnung nicht.“ (RN 14)

  • Entscheidungsbefugnis
  • Entscheidung über die Zwecke und Mittel der Verarbeitung

Orientierungshilfe des Bayerischen Landesbeauftragten, S. 16ff.

Beispiele für gemeinsame Verantwortlichkeit:

  • E-Government
  • Behördliche Verbunddateien
  • Kooperationen von Hochschulen und Forschungseinrichtungen
  • Justizielle Kooperation zwischen Gerichten, Justizbehörden und Dienstleistern
  • Veranstaltungen
  • Nutzung von Sozialen Medien und Kommunikationsdiensten
  • Sonstige Konstellationen - Daten-Governance-Rechtsakt

Orientierungshilfe des Bayerischen Landesbeauftragten, S. 34ff.

Keine gemeinsame Verantwortlichkeit – Einzelfallanalyse nötig!

  • „Austausch derselben Daten oder desselben Datensatzes zwischen zwei Stellen ohne gemeinsam festgelegte Zwecke oder gemeinsam festgelegte Mittel der Verarbeitung“;
    Beispiel: Übermittlung von Beschäftigtendaten an eine Finanzbehörde;
  • Nutzung einer gemeinsamen Datenbank oder gemeinsamen Infrastruktur, wobei jede der nutzenden Stellen ihre eigenen Zwecke eigenständig festlegt;
    Beispiel: Marketingmaßnahmen in einer Unternehmensgruppe, die eine gemeinsame Datenbank nutzt;
  • aufeinander folgende Verarbeitungen derselben personenbezogenen Daten durch verschiedene Stellen in einer Verarbeitungskette, wobei jede dieser Stellen in ihrem Teil der Kette einen unabhängigen Zweck verfolgt und unabhängige Mittel einsetzt;
    Beispiel: Zulieferung von Daten für eine statistische Analyse für eine Aufgabe im öffentlichen Interesse;
    (vgl.
    Orientierungshilfe des Bayerischen Landesbeauftragten, S. 37f)

Die Orientierungshilfe ist leider sehr akademisch gehalten und schwer verständlich.

Stand: Juni 2024

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation