Im Folgenden erklären wir dir worin eigentlich der Unterschied zwischen der gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung anhand der dargestellten Beispiele besteht und welche zentralen Aspekte den jeweiligen Begriffen zugeordnet werden können.
Wo findet nun die Abgrenzung statt?
Abgrenzungskriterien Auftragsverarbeitung – Gemeinsame Verantwortlichkeit
Auftragsverarbeiter ist weisungsgebunden im Verhältnis zum Auftraggeber (Verantwortlichen).
Überschreitet der Auftragsverarbeiter seinen Verantwortungsbereich, indem er bspw. aus Eigeninteresse die Daten verarbeitet bzw. einen eigenen Zweck verfolgt, wird er als Verantwortlicher behandelt. Ausnahme: Auswahl der TOM. Die bleiben dem Auftragsverarbeiter überlassen.
Bei Einbeziehung eines Auftragsverarbeiters ist der Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
Datenschutzrechtliche Pflichten des Auftragsverarbeiters bleiben davon unberührt: Verpflichtet VVT zu führen (Art. 30 Abs. 2 DSGVO), mit der Aufsichtsbehörde zusammenzuarbeiten (Art. 31 DSGVO), Datenschutzverletzungen zu melden (Art. 33 Abs. 2 DSGVO) sowie Benennung eines DSB (Art. 37 Abs. 1 DSGVO).
Verantwortlicher muss mit Sorgfalt einen Auftragsverarbeiter auswählen.
Auftragsverarbeiter muss hinreichende Garantie bieten, dass geeignete TOM eingesetzt werden damit die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt, um den Schutz der betroffenen Personen zu gewährleisten (Art. 28 Abs 1 DSGVO).
Anforderungen an den Auftragsverarbeiter: Fachwissen, Zuverlässigkeit, die Ressourcen und die Sicherheit der Verarbeitung (ErwGr. 81).
Wirksame Auftragsverarbeitung erfolgt durch Abschluss einer rechtsverbindlichen Vereinbarung zwischen Auftragsverarbeiter und Verantwortlichen. Die Vereinbarung ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO).
Anforderungen für die wesentlichen Inhalte der Auftragsverarbeitungsvereinbarung enthält der Art. 28 Abs. 3 DSGVO.
Beispiel: Auftragsverarbeitung
Auftragsverarbeiter und Auftraggeber stehen in einem weisungsgebundenen Verhältnis zueinander.
Das heißt konkret, dass beispielsweise Unternehmen X als Verantwortlicher gilt, wenn es einer externen Marketingagentur einen Auftrag erteilt, Newsletter zu versenden und Marketing auf verschiedenen Ebenen für den Auftraggeber (Unternehmen X) zu betreiben.
Somit ist Unternehmen X der Auftraggeber somit auch die verantwortliche Instanz und die Marketingagentur der Auftragsverarbeiter.
Bei gemeinsamen Verantwortlichen hat jeder Verantwortliche Einfluss auf die Zwecke und Mittel der Verarbeitung bzw. diese werden gemeinsam festgelegt.
Bei gemeinsamen Verantwortlichen können die Zwecke für die Verarbeitung unterschiedlich sein, die Mittel jedoch nicht.
Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO regelt das Verhältnis von Verantwortlichen die gemeinsam für die Verarbeitung personenbezogener Daten zuständig sind.
Art. 26 DSGVO reagiert, damit auf den Digitalisierungsfortschritt, der durch das arbeitsteilige Zusammenarbeiten im Internet (sozialen Netzwerke, Online-Werbung Online-Plattformen) und von verschiedenen Unternehmen entstanden ist.
Bestimmte Voraussetzungen müssen für das Vorliegen einer gemeinsamen Verantwortlichkeit erfüllt sein.
Eine gemeinsame Verantwortlichkeit bei der Verarbeitung von personenbezogenen Daten kommt vor, wenn zwei Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung festlegen (Art. 26 Abs. 1 S. 1 DSGVO).
Verantwortliche (das Unternehmen) müssen selbst überprüfen, ob die Voraussetzungen einer gemeinsamen Verantwortlichkeit erfüllt sind.
Verantwortliche stimmen sich über die Mittel der Verarbeitung ab.
Liegt eine gemeinsame Verantwortlichkeit vor, sind die Verantwortlichen verpflichtet eine transparente Vereinbarung abzuschließen (Art. 26 Abs. 1 S. 2 DSGVO).
Vereinbarung muss bestimmte Punkte beinhalten: Bspw. welcher der Verantwortlichen welche Pflichten nach der DSGVO zu erfüllen sowie die Betroffenen gem. Art. 13 und 14 DSGVO über die Datenverarbeitung zu informieren hat.
Vereinbarung muss nach dem Datenschutzgrundsatz der Transparenz ausgestaltet sein.
Bei gemeinsamer Verantwortlichkeit haften die Verantwortlichen gesamtschuldnerisch im Außenverhältnis (Art. 82 Abs. 4 DSGVO).
Pflichten aus Art. 26 DSGVO werden im Innenverhältnis zwischen den Verantwortlichen aufgeteilt.
Beispiel: Gemeinsame Verantwortlichkeit
Auf der Grafik lassen sich drei Forschungsunternehmen erkennen, die sich alle mit unterschiedlichen Thematiken befassen. Forschungsunternehmen eins forscht beispielsweise zu Mikroplastik. Forschungsunternehmen drei hingegen zu Nachhaltigkeit und Forschungsunternehmen zwei zu der Digitalen Transformation. Alle drei Unternehmen forschen jedoch gemeinsam an einem Projekt. Dadurch, dass obwohl alle drei Forschungsunternehmen aus verschiedenen Branchen kommen, greifen sie auf einen gemeinsamen Datenpool zurück, der allerlei Daten für die drei Forschungsunternehmen hergibt. Aufgrund dessen lässt sich demnach erschließen, dass alle drei Forschungsunternehmen gemeinsam für die Verarbeitung der Daten aus dem Datenpool verantwortlich sind.
