abasler - stock.adobe.com
Was der Datenschutz unter gemeinsamer Verantwortung versteht
Im Datenschutz gibt es nicht nur Verantwortliche und Auftragsverarbeiter, sondern auch die gemeinsame Verantwortung. Diese Rolle und Aufgabe ist aber in der Praxis kaum bekannt.
Wenn es um Verantwortung im Datenschutz geht, gibt es so einige Missverständnisse. So sind insbesondere nicht die betrieblichen Datenschutzbeauftragten für den Datenschutz in einem Unternehmen verantwortlich. Vielmehr definiert die DSGVO (Datenschutz-Grundverordnung): „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dagegen sind „Auftragsverarbeiter“ natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.
Wenn man die Definition aus der DSGVO genau betrachtet, fällt dort auf, dass ein Verantwortlicher „alleine oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Es gibt also so etwas wie gemeinsam Verantwortliche. Dazu gibt es sogar einen eigenen Artikel in der DSGVO und zwar Artikel 26 „Gemeinsam für die Verarbeitung Verantwortliche“.
Gemeinsame Verantwortung, aber trotzdem bleibt man voll verantwortlich
Nun könnte man die gemeinsame Verantwortung so verstehen, dass man zum Beispiel im Fall einer Datenschutzverletzung die Konsequenzen daraus mit dem anderen teilt. Fast könnte man denken, dass man vielleicht durch eine geschickte Konstellation aus der Verantwortung heraus kommen könnte.
Die DSGVO macht aber unter anderem klar: Die betroffene Person kann ihre Rechte im Rahmen der DSGVO bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
Trotzdem ist es zentral, dass sich gemeinsam Verantwortliche über die jeweiligen Verpflichtungen im Klaren sind, sonst bleiben womöglich Datenschutzpflichten auf der Strecke. Die DSGVO sagt dazu: Gemeinsam für die Verarbeitung Verantwortliche legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nachkommt.
Doch wann spricht man eigentlich von einer gemeinsamen Verantwortung im Datenschutz? Wie sieht dies in der Praxis aus?
Abgrenzung von Auftragsverarbeitung ist wichtig
In der Praxis sind noch immer „Berührungsängste“ zu beobachten - sowie mitunter zwanghaft wirkende Versuche, auf die altbekannte Auftragsverarbeitung auszuweichen, so der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri. Er erklärte dazu: „Die gemeinsame Verantwortlichkeit bildet neben der Auftragsverarbeitung die zweite Grundform der Kooperation bei Datenumgängen. Es ist an der Zeit, die Gestaltung gemeinsamer Verantwortlichkeit nicht mehr als Abenteuer, sondern als Normalfall zu erleben.“
Es muss also klar unterschieden werden zwischen der gemeinsamen Verantwortung und der Auftragsverarbeitung. Hierzu gibt die Datenschutzaufsicht wichtige Hinweise. So erklärte der Landesdatenschutzbeauftragte: Besonders bei arbeitsteiligen mehrstufigen Datenverarbeitungsprozessen bereitet die Abgrenzung der Auftragsverarbeitung zur gemeinsamen Verantwortlichkeit teils erhebliche Schwierigkeiten. Die Einstufung als (gemeinsam) Verantwortlicher oder als Auftragsverarbeiter hängt stets von den Umständen des Einzelfalls ab und ist anhand des Kriteriums der Entscheidungsbefugnis über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bezogen auf konkrete Datensätze oder Verarbeitungsvorgänge zu beurteilen. Der Europäische Gerichtshof sieht dabei denjenigen als Verantwortlichen an, der aus Eigeninteresse die Datenverarbeitung beeinflusst.
An dieser Stelle sind Beispiele hilfreich, die die Datenschutzaufsicht in einer Orientierungshilfe (PDF) ebenfalls gibt. Hier soll die Nutzung sozialer Netzwerke dies illustrieren: Wirkt eine (öffentliche) Stelle als Nutzer von Sozialen Medien und/oder Kommunikationsdiensten auf einen Datenverarbeitungsvorgang aktiv ein, beispielsweise durch Einbindung eines Plugins oder schlicht durch aktiven Betrieb einer Nutzerseite, und verfolgt sie zusammen mit dem Plattformbetreiber gemeinsame übergeordnete Zwecke wie die Erhöhung der Reichweite und/oder der Interaktion, ist eine gemeinsame Verantwortlichkeit der Stellen zu bejahen, so die Datenschutzaufsicht. Die bloße Erstellung eines Nutzerkontos begründet dagegen noch keine gemeinsame Verantwortung, erst der anschließende aktive Betrieb des Nutzerkontos.
Bereits dieses Beispiel zeigt sehr deutlich, warum man sich im Klaren sein muss, ob man gemeinsam verantwortlich ist oder zum Beispiel nur der Betreiber einer Plattform (wie zum Beispiel ein soziales Netzwerk) verantwortlich zeichnet. Ist man wie oben beschrieben gemeinsam verantwortlich, können sich Betroffene mit ihren Rechten und Ansprüchen eben auch an den Inhaber des Nutzerkontos wenden und nicht nur an den Plattformbetreiber.
Die genannte Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz sei deshalb ausdrücklich empfohlen, um Fehler und Missverständnisse bei der Verantwortung im Datenschutz zu vermeiden.