Gemeinsame Verantwortlichkeit – Wann sie vorliegt und was Sie dabei zu beachten haben

von Désirée Wittwer

Viele kennen die Auftragsverarbeitung aus Art. 28 DSGVO, aber was es mit der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO auf sich hat, wissen die wenigsten. Bei Inkrafttreten der DSGVO im Mai 2018 war für Verantwortliche oftmals unklar, wann in der Praxis von gemeinsamer Verantwortlichkeit auszugehen ist. Inzwischen haben sich die Aufsichtsbehörden hier stärker positioniert. Was Sie dabei zu beachten haben, erklären wir Ihnen in unserem Artikel.

Gemeinsame Verantwortlichkeit – was ist das?

Sie kennen sicher die Auftragsverarbeitung nach Art. 28 DSGVO. Hier verarbeitet der Auftragsverarbeiter für einen Verantwortlichen personenbezogene Daten. Der Auftragsverarbeiter wird dabei nur auf Weisung und im Rahmen dieser Weisung des Verantwortlichen tätig.
Demgegenüber kann es sein, dass mehrere Verantwortliche gemeinsam Zwecke und Mittel von Verarbeitungstätigkeiten festlegen. Dann greift Art. 26 DSGVO.

Wann konkret liegt also gemeinsame Verantwortlichkeit vor?

Pauschal lässt sich nicht sagen, ob eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt. Ein genauerer Blick lohnt sich aber in folgenden Fällen:
Bspw. wenn in Konzernunternehmen die Muttergesellschaft für die Töchter die HR-Verwaltung übernimmt, kann es sich um gemeinsame Verantwortlichkeit im Sinne der DSGVO handeln.
Auch können Werkstätten und Hersteller von Auslesegeräten gemeinsam Verantwortliche sein, wenn die Auslesegeräte die Daten an die Hersteller übermitteln.
Ein weiterer Fall von gemeinsamer Verantwortlichkeit kann darin bestehen, wenn mehrere gemeinsam eine Plattform betreiben, bspw. eine Buchungsplattform für Hotels und Fluggesellschaften.
In jedem Fall kommt es auf die Kriterien an: „mehrere Verantwortliche“ und „gemeinsame Festlegung von Zwecken und Mitteln der Verarbeitung“.

Was ist zu tun?

In der Vergangenheit wurde vielfach von einer Auftragsverarbeitung ausgegangen, wo die Aufsichtsbehörden inzwischen von einer gemeinsamen Verantwortlichkeit sprechen. Daher sollten Sie prüfen, ob manche Ihrer Auftragsverarbeitungsverträge nicht umgestellt werden müssen und stattdessen Verträge über die gemeinsame Verantwortlichkeit abzuschließen sind.
Konkret kann dies bei der Datenverarbeitung bei Konzernen z. B. im Fall der Übernahme von Personalverwaltung oder Gehaltsabrechnung durch eine Gesellschaft für die anderen vorliegen. Wo dies bisher als Auftragsverarbeitung gesehen wurde, ist nunmehr von einer gemeinsamen Verantwortlichkeit auszugehen.
Ebenso ist zu beachten, dass bei einer gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 2 DSGVO den Betroffenen die wesentlichen Vertragsinhalte zur Verfügung zu stellen sind. Diese Pflicht besteht zusätzlich neben den Informationspflichten nach Art. 13 und 14 DSGVO.

Sprechen Sie uns gerne an, wenn Sie Unterstützung möchten. Wir können Ihnen bei der Prüfung helfen, ob in Ihrem speziellen Fall eine gemeinsame Verantwortlichkeit zu sehen ist. Auch bei der Erstellung der Verträge sowie der Erfüllung der Informationspflicht nach Art. 26 Abs. 2 DSGVO beraten wir Sie gerne. Rufen Sie uns gerne unter der Telefonnummer 08505 919 27-0 an oder füllen Sie unser Kontaktformular aus.

assets/images/0/k-Desiree-Eder-8be89466.jpg
Désirée Wittwer

Die Diplomjuristin Désirée Eder studierte Rechtswissenschaften an der Universität Passau und war mehrere Jahre in Berlin in einem landeseigenen Unternehmen für Immobilienprojekte als Projektmanagerin Recht und Datenschutzbeauftragte tätig. Désirée Eder bereichert das Team nicht nur mit ihrem juristischen Know-How sondern ist auch im Bereich der Organisation und Dokumentation, sowie im Rahmen der immer wichtiger werdenden DIN-ISO Normen und für Zertifizierungsprozesse erste Ansprechpartnerin. „Für das Wohl unserer Kunden sind mir offene Kommunikation sowie eine strukturierte, effiziente und gründliche Arbeitsweise wichtig.“