Art.26 DSGVO

Sind mehrere Personen für die Einhaltung und Durchsetzung der datenschutzrechtlichen Vorgaben verantwortlich, so müssen die Rahmenbedingungen und Zuständigkeiten für alle Beteiligten transparent und klar sein.  

Dies ist vor allem dann von Vorteil, wenn die Anzahl der Aufgaben hoch ist und diese zugleich komplex sind.  

Art. 26 DS-GVO stellt in drei Absätzen dar, wann genau Personen gemeinsam verantwortlich sind, welche Vorkehrungen getroffen werden müssen und welche Auswirkungen das auf die betroffene Person hat. Auf diese Punkte gehen wir auch in diesem Artikel ein.  

Das Wichtigste auf einen Blick

1. Was bedeutet der Begriff „gemeinsame Verantwortlichkeit“?  

Unter dem Begriff „gemeinsame Verantwortlichkeit“ ist eine gleichberechtigte und gemeinschaftliche Festlegung der Zusammenarbeit zu verstehen. Zwei oder mehr Verantwortliche legen hierbei zusammen den Zweck und die Mittel der Verarbeitung personenbezogener Daten fest.  

Mit Zweck ist hierbei die Verarbeitungs- und die Verwendungsabsicht der Daten gemeint. Bei der Zweckfestlegung erfolgt also eine Absprache über den Grund und die Ziele der Datenverarbeitung.  

In Hinblick auf die Mittel werden Techniken und Methoden für die Vornahme dieser Verarbeitung ausgewählt. Dies sind u. a. die Art der Erhebung und Verarbeitung, aber auch technisch-organisatorische Maßnahmen. 

Die Verantwortlichen wirken mit diesen Festlegungen auf datenschutzrechtliche Prozesse ein und steuern diese. Darüber hinaus findet eine gemeinsame Kontrolle der Einhaltung der Vorschriften statt.  

Sowohl der Zweck, als auch die Mittel, sind abhängig vom Einzelfall der Verwendung und müssen regelmäßig auf ihre datenschutzrechtliche Konformität überprüft werden. 

Die Verantwortlichen können nach Art. 4 Nr. 7 DS-GVO nicht nur natürliche Personen, sondern auch juristische Personen, Behörden, Einrichtungen oder andere Stellen sein, die für eine vorgenommene Verarbeitung zuständig sind.  

Relevant für das Vorliegen gemeinsamer Verantwortlichkeit sind die tatsächlichen Gegebenheiten: Ein tatsächlicher Einfluss auf die Verarbeitung von personenbezogenen Daten genügt daher.  

Aufgrund der Komplexität der aktuellen Datenverarbeitung und den damit verbundenen Möglichkeiten, ist die Ausgestaltung eines solchen Verhältnisses grundsätzlich frei. 

Es können unterschiedliche Ausprägungen von gemeinsamer Verantwortung bestehen, bei denen nicht alle Verantwortliche im gleichen Umfang tätig werden.  

Außerdem kann die Gemeinsamkeit bei den Prozessen rund um personenbezogene Daten nicht nur nebeneinander in verschiedenen Bereichen, sondern auch nacheinander im Rahmen einer Verarbeitungskette erfolgen.  

Beim Auftreten der Verantwortlichen wird zwischen einem Innen- und einem Außenverhältnis unterschieden.  

1.1 Das Innenverhältnis und die Zuständigkeitsvereinbarung  

Im Innenverhältnis haben die Verantwortlichen eine Zuständigkeitsvereinbarung zu treffen. Dies ist keine Voraussetzung, sondern eine Rechtsfolge der gemeinsamen Verantwortlichkeit.  

In der Vereinbarung muss lückenlos jeder Zuständigkeitsbereich geregelt und das Einverständnis über den Zweck und die Mittel der Datenverarbeitung dargelegt werden.  

In den verschiedenen Bereichen und Stadien des Datenumgangs sind die jeweiligen Beteiligten klar den anfallenden Aufgaben zuzuordnen.  

Zur Übersicht empfehlen wir Ihnen, folgende Punkte in die Zuständigkeitsvereinbarung aufzunehmen und diese an Ihre unternehmensinternen Einzelfälle anzupassen:  

• Beschreibung der Datenverarbeitung (Gegenstand, Dauer, Phasen, Art und Zweck, Kategorie der Daten und Betroffenen). 

• Abschnitte und Funktionen des Verarbeitungsprozesses. 

• Verteilung der Zuständigkeitsbereiche in Bezug auf die Informationspflichten der Art. 13 und 14 und die mögliche Durchsetzung der Betroffenheitsrechte. 

• Darlegung der Rechtsgrundlage der Datenverarbeitung. 

• Ansprachen über die Vornahme technisch-organisatorischer Maßnahmen. 

• Vereinbarungen im Bereich der Datenschutzfolgeabschätzungen. 

• Feststellung, Lösung und Meldung von Datenschutzunfällen und -verletzungen, Notfallpläne. 

• Regelungen zur gegenseitigen Bereitstellung von Informationen. 

• Regelungen über den internen Haftungsausgleich. 

• Name und Kontaktdaten der Vertreter. 

• Festlegung der Kommunikationsform. 

• Rechtswahl. 

Bei den Verteilungen der Zuständigkeiten sind die Personen frei, solange diese vollständig vorgenommen und die datenschutzrechtlichen Vorschriften beachtet werden.  

Festgehalten werden diese Punkte in der Vereinbarung klar und transparent. Das bedeutet, dass die Informationen leicht zugänglich und verständlich, in klarer, einfacher Sprache aufgeführt werden sollen. 

Hierdurch sollen Rechtsunklarheiten vermieden und der Streuung der Verantwortlichkeit entgegengewirkt werden.  

Die Zuständigkeitsvereinbarung kann formlos getroffen werden.  

Zur Beweissicherheit wird jedoch empfohlen, die Vereinbarung in Schriftform zu verfassen.  

Dies sorgt zugleich für die Erfüllung der Anforderungen der Norm in Bezug auf Klarheit und Transparenz. 

1.2. Das Außenverhältnis  

Im Außenverhältnis, also gegenüber Betroffenen, sind die zwei (oder mehr) Personen gemeinsam verantwortlich.  

Sie sind Ansprechpartner für Betroffene in verschiedenen Bereichen oder treten mit den betroffenen Personen selbst in Kontakt.  

Im Rahmen des Außenverhältnisses sind den Betroffenen unter anderem die wesentlichen Inhalte der Zuständigkeitsvereinbarung zur Verfügung zu stellen.  

Mit anderen Worten: Dem Betroffenen müssen maßgebliche Informationen nicht direkt ausgehändigt, sondern nur der Zugang zu diesen ermöglicht werden. 

Was genau unter „wesentlich“ zu verstehen ist, ist gesetzlich nicht definiert. Diese Entscheidung muss im Einzelfall mit Hinblick auf die betroffene Person getroffen werden.  

Darüber hinaus haften die Verantwortlichen im Außenverhältnis unabhängig von der Zuständigkeitsvereinbarung gemeinschaftlich, um einen wirksamen Schadensersatz-anspruch für den Betroffenen sicherzustellen.  

Trotz der gesamtschuldnerischen Haftung ist ein Ausgleich zwischen den Personen im Innenverhältnis möglich.  

2. Geltendmachung von Betroffenenrechten und Haftungsansprüchen  

Damit den Betroffenen die Durchsetzung ihrer Rechte nicht erschwert wird, können sie diese nach Art. 26 Abs. 3 DS-GVO gegenüber jedem der Verantwortlichen geltend machen.  

Bei der Geltendmachung des Art. 26 Abs. 3 DS-GVO ist der Art. 82 Abs. 4 stets zu beachten. 

Die Norm beinhaltet die Regelung, dass alle an der Verarbeitung beteiligten Akteure gesamtschuldnerisch haften.  

Hierbei hat der Betroffene die freie Wahl, welchen Verantwortlichen er in Anspruch nimmt.  

Die Ansprechpartner dürfen daher nie unklar sein.  

Die gewählte Person haftet nach der Inanspruchnahme aufgrund der gemeinsamen Verantwortlichkeit vollumfänglich für den entstandenen Schaden im Bereich des Datenschutzrechts.  

Der genaue Inhalt der Zuständigkeitsvereinbarung und die Aufgabenverteilung zwischen den Verantwortlichen sind für die betroffene Person unbeachtlich. 

Dies gilt natürlich auch, wenn er oder sie diesen Schaden nicht verursacht hat.  

Die Aufwendungen für den beglichenen Schaden werden anschließend im Innenverhältnis nach den festgelegten Haftungsmaßstäben ausgeglichen.  

3. Abgrenzung zur Auftragsverarbeitung  

Die gemeinsame Verantwortlichkeit ist von der Auftragsverarbeitung abzugrenzen. 

Bei der Auftragsverarbeitung nach Art. 28 DS-GVO ist die verarbeitende Person abhängig von den Weisungen des Verantwortlichen.  

Diese Weisungsabhängigkeit bezieht sich vor allem auf den Zweck und die Mittel der Datenverarbeitung.  

Somit erfolgt in diesem Bereich keine gemeinsame und gleichberechtigte Festlegung dieser. 

Das Auftragsverarbeiter tritt außerdem in der Regel nicht nach außen hin in Erscheinung.  

Anders ist dies bei der gemeinsamen Verantwortlichkeit: 

Wie bereits erwähnt, sind die gemeinsam Verantwortlichen in ihren Zuständigkeitsbereichen weisungsfrei und unabhängig. Sie unterliegen nur den rechtlichen Vorschriften, zum Beispiel denen der DS-GVO oder des BDSG. 

Darüber hinaus haben sie die wesentliche Entscheidungsbefugnis über die Mittel und den Zweck der Datenverarbeitung und sind bei den jeweiligen Prozessen maßgeblich beteiligt. Beide können in ihren jeweiligen Aufgaben nach Außen treten.  

4. Geldbuße bei Verstößen 

Zum einen können die Verantwortlichen für die Missachtung der Vorgaben des Art. 26 DS-GVO belangt werden. Bei der Nichterfüllung der inhaltlichen Vorschriften der Norm liegt eine Pflichtverletzung vor. Hieraus resultieren Bußgelder. 

Zugleich droht eine Strafe bei der Nichtbeachtung der Pflichten und Grundsätze der DS-GVO. 

Nach Art. 83 Abs. 5 DS-GVO können als Bußgeld bis zu 20 Millionen Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes verhängt werden.  

Auch, wenn der Verstoß nur durch einen Verantwortlichen erfolgt, haften alle Verantwortlichen gemeinsam.  

5. Fazit

Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO bringt die Möglichkeit mit sich, die Prozesse der Datenverarbeitung gemeinschaftlich vorzunehmen und zu überwachen. 

Hierfür muss eine präzise Zuständigkeitsvereinbarung getroffen worden sein.   

Durch die Verteilung von Aufgaben auf zwei oder mehr Personen können sich diese umfangreicher und intensiver mit den Vorgaben des Datenschutzrechtes befassen und den Schutz der Daten damit als Team oder alleine stärker gewährleisten. Trotzdem handelt jeder der Verantwortlichen auf seinem Gebiet weisungsfrei.  

Mit der Zuteilung der Verantwortlichkeiten und der gesamtschuldnerischen Haftung hat sich die Situation für die Betroffenen in Bezug auf die Durchsetzung von Rechten trotzdem nicht verschlechtert.  

Damit das so bleibt, müssen die Verantwortlichen weiterhin deutlich benannt und die wesentlichen Informationen bezüglich der Zuständigkeiten den Betroffenen klar und transparent zugänglich gemacht werden.  

Bei Fragen zum Thema „gemeinsam Verantwortliche“ oder der Umsetzung der datenschutzrechtlichen Vorschriften stehen wir Ihnen gerne und jederzeit zur Verfügung.