Joint Controllership: Wann liegt eine gemeinsame Verantwortlichkeit vor? Welche Vorteile hat sie? Wie lassen sich die Pflichten umsetzen?
Kurz nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 drehte sich für viele Unternehmen noch alles darum, ihren strengen Sanktionen für Datenschutz-Verstöße zu entkommen. Dass die DSGVO für Unternehmen jedoch nicht nur Last und Bürde ist, sondern ihnen auch die Mittel an die Hand gibt, um mit personenbezogenen Daten rechtssicher, konstruktiv und progressiv zu arbeiten, ging in der allgemeinen Panik unter.
Eine dieser Möglichkeiten stellt die gemeinsame Verantwortlichkeit (engl. joint controllership) dar. Sie ist eine in Art. 26 DSGVO angelegte Konstellation, die es mehreren Unternehmen erlaubt, ihre Kunden- oder andere personenbezogene Daten gemeinsam zu nutzen und zu teilen. Zugleich bietet das Institut der gemeinsamen Verantwortlichkeit den Kunden Klarheit darüber, an welchen Ansprechpartner sich diese mit datenschutzrechtlichen Belangen wenden können. Ob eine gemeinsame Verantwortlichkeit vorliegt, richtet sich danach, ob die Parteien die Zwecke (und Mittel) der Datenverarbeitung gemeinsam bestimmen.
Ein Instrumentarium wie die gemeinsame Verantwortlichkeit ist auch nötig, damit Unternehmen erfolgreich und innovativ kooperieren können. Zahlreiche Anwendungsfelder über alle Branchen hinweg zeigen die Notwendigkeit von Datentransfers, gemeinsamer Datenanalyse oder der Nutzung eines gemeinsamen Datenpools. Beispielsweise ermöglicht die gemeinsame Verantwortlichkeit die rechtskonforme gemeinsame Datennutzung in weit verzweigten Franchisestrukturen, die vom Informationsaustausch leben. Dasselbe gilt bei der gemeinsamen Nutzung von Internetportalen durch mehrere Betreiber (z.B. Reisebuchungsplattformen von Hotels, Reisebüros, Airlines) oder bei der gemeinsamen Adressverwaltung innerhalb von Konzernstrukturen. Darüber hinaus sind zahlreiche weitere Anwendungsfälle für die gemeinsame Verantwortlichkeit denkbar, wie unter anderem bei der Datenverarbeitung von Personalvermittlungsdienstleistern, bei klinischen Arzneimittelstudien oder dem Betreiben von E-Government-Portalen. Doch auch durch die Einbindung eines Facebook-Like-Buttons auf einer Website kann eine gemeinsame Verantwortlichkeit begründet werden.
Die Vorteile der gemeinsamen Verantwortlichkeit: Was macht sie so besonders?
Der große Vorteil der gemeinsamen Verantwortlichkeit liegt auf der Hand: Sie ermöglicht es, das Interesse der betroffenen Personen am Schutz ihrer Daten mit dem Interesse der Wirtschaft an einer legalen gemeinsamen Nutzung dieser Daten zu vereinen. Genau das ist auch Sinn und Zweck der entsprechenden Regelung in Art. 26 DSGVO, wie sich aus dem Erwägungsgrund 79 DSGVO ableiten lässt. Dies mag zunächst abstrakt klingen. Schaut man sich jedoch die Vorgaben an die gemeinsame Verantwortlichkeit detailliert an, so kann man die Vorteile erkennen und pragmatisch nutzen.
Ausgangspunkt für die Erfüllung der datenschutzrechtlichen Pflichten und damit auch für die Haftung, ist immer die sog. verantwortliche Stelle, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Zunächst setzt die gemeinsame Verantwortlichkeit daher voraus, dass mehrere Akteure zusammen personenbezogene Daten zu gemeinsam bestimmten Zwecken und mit gemeinsam festgelegten Mitteln verarbeiten. Die beteiligten Unternehmen sind, wie es der Begriff schon sagt, „gemeinsam verantwortlich“. Daraus folgt keineswegs, dass alle Unternehmen die Daten auf dieselbe Art und Weise und genau zu demselben Zweck verarbeiten müssen. Im Gegenteil: Der große Vorteil der gemeinsamen Verantwortlichkeit ist es, dass jeder Verantwortliche seinen eigenen Arbeitsbereich haben kann. Bei Franchisesystemen oder in Konzernstrukturen beispielsweise kann jede Komponente im System die Daten für ihren jeweiligen Arbeitsbereich nutzen.
Dass eine solche Aufteilung der Datenverarbeitung möglich ist, spiegelt sich auch in anderen Bereichen wider. Wesen der gemeinsamen Verantwortlichkeit ist, dass Zuständigkeiten intern verteilt werden können, jedoch nach außen hin für die betroffenen Personen weiterhin alle beteiligten Unternehmen gemeinsam für die Datenverarbeitung verantwortlich bleiben. So haben die gemeinsam Verantwortlichen den Vorteil, dass sie intern die Zuständigkeiten für die Wahrnehmung der datenschutzrechtlichen Pflichten aufteilen können, ohne dass der Schutz der betroffenen Personen darunter leidet. Im Rahmen des sog. Joint Controllership Agreements nach Art. 26 DSGVO wird unter anderem festgelegt, wer für die Erfüllung welcher Rechte der betroffenen Personen zuständig ist. So kann bspw. ein Akteur ausschließlich Betroffenenanfragen in Bezug auf das Recht auf Löschung von Daten und ein anderer in Bezug auf das Recht auf Datenmitnahme bearbeiten. Dies stellt eine erhebliche Entlastung bei der Beantwortung und Erfüllung aller Betroffenenfragen dar.
Außerdem leiden die betroffenen Personen nicht darunter: Sie können sich – ungeachtet der zwischen den Verantwortlichen getroffenen Vereinbarung – weiterhin an jeden Verantwortlichen wenden und dieser ist dann dafür zuständig, dass die Anfrage bei dem intern zuständigen Verantwortlichen landet und von diesem bearbeitet wird (Art. 26 Abs. 3 DSGVO). Auch wird in der Vereinbarung über die gemeinsame Verantwortlichkeit geregelt, wer die allgemeinen Informationspflichten gegenüber den betroffenen Personen zu erfüllen hat. Durch das Joint Controllership Agreement wird die Datenverarbeitung für die betroffene Person somit transparent offengelegt.
Diese Struktur der internen Aufteilung von Pflichten ohne Auswirkungen auf das Außenverhältnis setzt sich außerdem auch in Bezug auf Haftungsfragen fort: Die Festlegung der internen Zuständigkeitsverteilung ermöglicht es, dass die Verantwortlichen sich nach der Zahlung von Schadenersatz wegen eines Datenschutzverstoßes an eine betroffene Person ihren Anteil an der Schadenersatzzahlung von dem Verantwortlichen zurückholen können, der den Schaden in seinem Pflichtenkreis herbeigeführt hat. Nach außen hin haften zwar alle Verantwortlichen gemeinschaftlich, doch intern können sie sich ggf. geleistete Schadensersatzzahlungen dank der genauen Abgrenzung der Pflichtenkreise gemessen am jeweiligen Verschulden (anteilig) zurückerstatten lassen (gesamtschuldnerische Haftung). So können Haftungsfragen in komplexen Situationen einfacher gelöst werden.
Außerdem können die Verantwortlichen im Joint Controllership Agreement eine für die gemeinsame Datenverarbeitung zuständige Hauptniederlassung festlegen. Haben die Verantwortlichen ihren Sitz in unterschiedlichen Staaten der EU, so bemisst sich anhand dieser Hauptniederlassung auch die sog. federführende Aufsichtsbehörde (vgl. Artikel-29-Datenschutzgruppe, wp244, S. 8). Kommt es zu einem Datenschutzvorfall gibt es daher sogleich aufgrund des Joint Controllership Agreements eine eindeutige Regelung darüber, welche Aufsichtsbehörde zuständig ist.
Die Pflichten innerhalb der gemeinsamen Verantwortlichkeit: Wie kann man sie richtig umsetzen?
Damit Unternehmen diese Vorteile der gemeinsamen Verantwortlichkeit nutzen und Daten gemeinsam verarbeiten oder teilen können, haben sie einige Pflichten aus der DSGVO zu beachten.
Zunächst einmal sollte den Verantwortlichen folgendes klar sein: Eine gemeinsame Verantwortlichkeit berechtigt nicht aus sich heraus zur Datenverarbeitung. Art. 26 DSGVO ist keine Rechtsgrundlage. Es ist weiterhin zwingend notwendig, dass die Erhebung, Speicherung, Nutzung oder ähnliche Verarbeitungen auf einer Rechtsgrundlage wie z.B. einer Einwilligung oder einem Vertrag mit der betroffenen Person beruht (Verbot mit Erlaubnisvorbehalt). Joint Controllership stellt kein datenschutzrechtliches Konzernprivileg dar. Für eine gemeinsame Verantwortlichkeit gelten bei der Datenverarbeitung genau die gleichen Pflichten nach der DSGVO wie sonst auch. Der Vorteil und Unterschied ist jedoch, dass diese Pflichten im Innenverhältnis aufgeteilt werden können.
Wie bereits oben erwähnt, müssen die Parteien die interne Aufgabenverteilung sowie die Zwecke und Mittel ihrer Verarbeitung zudem in einer vertraglichen Vereinbarung, einem sog. Joint Controllership Agreement (bzw. einer Vereinbarung über die gemeinsame Verantwortlichkeit) festlegen. Art. 26 DSGVO schreibt vor, welchen Mindestinhalt diese haben muss. So müssen neben dem Zweck und den Mitteln der Datenverarbeitung sowie der Aufteilung der Pflichten und der Erfüllung von Betroffenenanfragen auch die Rollen und Funktionen der Verantwortlichen geklärt werden. Sinnvoll, aber nicht zwingend gesetzlich vorgeschrieben, ist es darüber hinaus, gemeinsame technische Standards sowie technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten festzulegen. Außerdem sollten Ansprechpartner und Kontaktstellen der Verantwortlichen benannt werden. Das alles muss in präziser und verständlicher Sprache (transparent) geschehen und der Kern der Vereinbarung muss den betroffenen Personen im Rahmen der Informationspflichten (in einer Datenschutzerklärung) zur Verfügung gestellt werden.
Unter Umständen kann im Rahmen der gemeinsamen Verantwortlichkeit schließlich auch die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) bestehen. Das ist darauf zurückzuführen, dass allein durch die Tatsache, dass mehrere Akteure die personenbezogenen Daten einer Person verwenden, auch ein erhöhtes Risiko für einen Datenschutzvorfall entsteht. Es müssen jedoch andere risikoerhöhende Faktoren dazu kommen, wie beispielsweise die Verarbeitung großer Mengen an Daten oder die systematische Überwachung der betroffenen Personen. Ob jene Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung somit tatsächlich besteht, muss im Einzelfall überprüft werden.
Wann liegt eine gemeinsame Verantwortlichkeit vor? Die Abgrenzung anhand des Zwecks
Die gemeinsame Verantwortlichkeit ist nicht das einzige Konstrukt, das die DSGVO für die Datenverarbeitung durch mehrere Beteiligte vorsieht. Daneben gibt es noch die Auftragsverarbeitung sowie Fälle der getrennten Verantwortlichkeit. Diese drei Konstellationen lassen sich gut über den Zweck der Datenverarbeitung abgrenzen.
Das entscheidende Merkmal der gemeinsamen Verantwortlichkeit ist, dass zwei oder mehr Verantwortliche gemeinsam entscheiden, zu welchen Zwecken und mit welchen Mitteln sie eine Datenverarbeitung vornehmen. Da es beispielsweise in großen Konzernstrukturen in der Realität selten der Fall sein wird, dass bei einer Datenverarbeitung alles genau abgestimmt wird, verwundert es nicht, dass lediglich ein „bestimmender tatsächlicher Einfluss“ jedes Beteiligten auf die Datenverarbeitung vorausgesetzt wird. „Gemeinsam“ bedeutet eben nicht zwangsläufig „gleichrangig“. Diese Voraussetzung ist bereits gegeben, wenn mehrere Verantwortliche dieselben Daten zeitlich und inhaltlich zusammenhängend in ihrem jeweiligen Arbeitsbereich verarbeiten. Die Beteiligten können in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Datenverarbeitung eingebunden sein. Ein nur zufälliges Zusammenarbeiten reicht allerdings nicht aus. Es muss eine verbindende Entscheidung vorliegen, die Daten in den jeweiligen Arbeitsbereichen zu einem höheren Zweck gemeinsam zu verarbeiten.
Dass der Anwendungsbereich einer gemeinsamen Verantwortlichkeit eher weit zu verstehen ist, zeigt sich auch an Urteilen des Europäischen Gerichtshofs in Vorabentscheidungsverfahren zu dieser Thematik. So hat er in einem Urteil über die Zeugen Jehovas (Az. C-25/17) entschieden, dass bezüglich der Niederschrift von Haustürgesprächen mit Informationen über Familienstand und religiösen Überzeugungen nicht nur das werbende Mitglied der Zeugen Jehovas Verantwortlicher im Sinne des Datenschutzrechts ist. Daneben sei auch die Gemeinschaft der Zeugen Jehovas mitverantwortlich. Sie organisiere und koordiniere die Niederschrift der Gespräche und nutze die darin enthaltenen Daten für ihre Zwecke.
Der EuGH hat außerdem entschieden, dass die Verarbeitung zu einem gemeinsamen Zweck auch beim Betrieb von Facebook Fanpages gegeben ist (Az. C-210/16). Danach sei nicht nur Facebook für die Verarbeitung von Besucherdaten, etwa bzgl. des Klickverhaltens auf Fanpages, verantwortlich, sondern auch das Unternehmen, das die Fanpage betreibt. Zwar erhalte dieses lediglich Einsicht in – nicht mehr personenbezogene – Besucherstatistiken. Jedoch könne das Unternehmen durch entsprechende Einstellungsmöglichkeiten Einfluss auf Art und Umfang der Datenverarbeitung durch Facebook nehmen. Schließlich ermögliche es durch den Betrieb der Fanpage erst die Datenverarbeitung durch Facebook. Es sei insofern zusammen mit Facebook gemeinsam verantwortlich. Diese Beispiele zeigen, wie niedrig nach Auffassung des Europäischen Gerichtshofs die Anforderungen an eine gemeinsame Zweckbestimmung sind.
Von dem Anwendungsbereich der gemeinsamen Verantwortlichkeit muss die Auftragsverarbeitung (Art. 28 DSGVO) abgegrenzt werden. Dort arbeiten keine gleichrangigen Verantwortlichen zusammen. Stattdessen gibt es einen Auftraggeber, der der alleinige Verantwortliche ist und der die Datenverarbeitung an einen Auftragnehmer delegiert. Dieser darf die Daten einzig und allein zu dem Zweck verarbeiten, den der Auftraggeber vorgibt. Er darf die Daten nicht zu eigenen Zwecken nutzen. Es liegt im Vergleich zur gemeinsamen Verantwortlichkeit folglich ein deutlich hierarchisches Verhältnis vor. Der Auftragnehmer (sog. Auftragsverarbeiter nach der DSGVO) handelt immer streng weisungsgebunden.
Schließlich deckt die sog. getrennte Verantwortlichkeit die Fälle ab, in denen es keine unmittelbare Verbindung der Datenverarbeitung von mehreren selbstständig Verantwortlichen gibt. Jedes Unternehmen verarbeitet die Daten zu seinen eigenen Zwecken und muss daher auch selbstständig die Pflichten der DSGVO erfüllen und kann sie sich nicht mit dem anderen Unternehmen intern aufteilen. Im Gegensatz zur gemeinsamen Verantwortlichkeit gibt es keinerlei bestimmenden Einfluss eines Verantwortlichen auf die Zwecke der Datenverarbeitung des anderen. Daher muss auch nicht zwingend ein datenschutzrechtlicher Vertrag zwischen den Parteien geschlossen werden. Die betroffenen Personen müssen sich je nach betroffener Datenverarbeitung an das jeweils verantwortliche Unternehmen halten.
Bei allen drei Konstellationen ist zu beachten, dass es sich hierbei um faktische Konstellationen handelt, die grundsätzlich unabhängig davon vorliegen, ob entsprechende Verträge geschlossen wurden oder nicht. Liegt eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeit vor, so ist der Abschluss einer entsprechenden Vereinbarung gesetzlich vorgeschrieben. Wird dies nicht getan, so stellt dies einen Verstoß gegen die DSGVO dar und ist grundsätzlich bußgeldbewährt.
Fazit: Daten gemeinsam verarbeiten und so Potenziale nutzen!
Die DSGVO stellt mit der gemeinsamen Verantwortlichkeit ein Instrument zur Verfügung, mit der Kunden- oder andere personenbezogene Daten ausgetauscht werden können. Für viele Strukturen im Wirtschaftsleben birgt dies enorme Vorteile, die den Aufwand zur Erfüllung der Pflichten im Zusammenhang mit der gemeinsamen Verantwortlichkeit überwiegen. Insbesondere ein klares und ausführliches Joint Controllership Agreement muss Basis einer jeden Zusammenarbeit sein. Fehlt dies, ist bereits deswegen die Verhängung einer Geldbuße durch die Aufsichtsbehörden möglich.
