- 15.03.2019 -

Das Konzept des Verantwortlichen und des Auftragsverarbeiters in der Praxis

Um den Artikel als PDF herunterzuladen, klicken Sie bitte hier.

 

1               Einleitung

 

Sind mehrere Personen an der Verarbeitung personenbezogener Daten beteiligt, stellt sich unweigerlich die Frage nach ihrer datenschutzbezogenen Rolle. Mit der Einführung der DS-GVO und den Bestimmungen über das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern in Artikel 28 und gemeinsam für die Verarbeitung Verantwortlichen in Artikel 26 bleiben die Schwierigkeiten bei der Bestimmung der richtigen Rolle der Parteien bestehen. Unternehmen stehen zunehmend vor der Herausforderung, ihre Rolle(n) zu bestimmen, insbesondere in komplexen Situationen und Geschäftsmodellen, in denen mehrere Parteien in verschiedenen Rechtsordnungen an der Verarbeitungstätigkeit beteiligt sind, jede mit unterschiedlichem Grad an Autonomie, Kontrolle und Verantwortung. 

 

Die Unterscheidung zwischen den verschiedenen Rollen ist entscheidend für die Zuweisung von Verantwortlichkeiten und insbesondere für die Bestimmung, welche Partei primär für die Einhaltung der Datenschutzgrundsätze, der Datenschutzrechte der betroffenen Personen und der Meldepflichten zuständig ist. Die Unterscheidung ist ferner wesentlich für die Bestimmung des anwendbaren Rechts im grenzüberschreitenden Kontext, der vertraglichen Vereinbarungen und der Aufteilung der Haftung für Schäden, die sich aus der unrechtmässigen Verarbeitung ergeben.

 

Nach der DS-GVO ist jede Person, die personenbezogene Daten verarbeitet, aus datenschutzrechtlicher Sicht entweder Verantwortlicher oder Auftragsverarbeiter. Sind mehrere Verantwortliche an der Verarbeitung personenbezogener Daten beteiligt, so sind sie je nach konkreter Situation entweder gemeinsam Verantwortliche oder unabhängige Verantwortliche. Die DS-GVO definiert in Artikel 4 die Begriffe “Verantwortlicher”, “Auftragsverarbeiter” und “Verarbeitung,” und in Artikel 26 das Konzept der “gemeinsam Verantwortlichen”:

 

Der “Verantwortliche” (auf Englisch «Controller») ist die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

 

“Gemeinsam Verantwortliche” (auf Englisch «Joint Controllers») sind Verantwortliche, die gemeinsam festlegen, welche Daten zu welchem Zweck und mit welchen Mitteln verarbeitet werden. 

 

Der “Auftragsverarbeiter” (auf Englisch «Processor») ist die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet.

 

Der Begriff “Verarbeitung” umfasst alle Vorgänge oder Reihen von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert durchgeführt werden oder nicht, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung. 

 

Der Begriff der unabhängigen Verantwortlichen ist in der DS-GVO nicht definiert. Der Begriff, wie er in diesem Artikel verwendet wird, bezeichnet Verantwortliche, die anders als gemeinsam Verantwortliche nicht gemeinsam die Zwecke und Mittel für die Verarbeitung personenbezogener Daten festlegen, sondern jeweils für sich, für eigene und unterschiedliche Zwecke.

 

Dieser Artikel legt die wesentlichen Faktoren für die Bestimmung der Rollen der Parteien dar und untersucht die Beziehung zwischen Auftraggebern und Dienstleistern und deren Folgen.1

 

2               Die wesentlichen Faktoren für die Bestimmung der Rolle(n) der Parteien

 

2.1            Die wesentlichen Faktoren

 

Die Hauptfaktoren für die Bestimmung, ob eine Partei ein Verantwortlicher, gemeinsam Verantwortlicher oder ein Auftragsverarbeiter ist, sind zum einen der Grad der Autonomie jeder Person bei der Bestimmung, für welche Zwecke, wie und in welcher Weise personenbezogene Daten verarbeitet werden und zum anderen der Grad der Kontrolle über den Inhalt personenbezogener Daten. Diese Feststellung ist immer faktisch und muss von Fall zu Fall unter Berücksichtigung jedes einzelnen Verarbeitungsvorgangs getroffen werden. 

 

In einem ersten Schritt muss geprüft werden, ob und wenn ja, in welcher Weise das Unternehmen personenbezogene Daten “verarbeitet”. Während der Begriff “Verarbeitung” alles abdeckt, was mit personenbezogenen Daten geschieht, gibt es Situationen, in denen ein Unternehmen, das personenbezogene Daten besitzt, weder als Verantwortlicher noch als Auftragsverarbeiter gilt, weil es die Daten nicht im Sinne des Gesetzes verarbeitet. Das UK Information Commissioner’s Office (ICO) liefert ein Beispiel2, in welchem ein Kurierdienst von einem örtlichen Krankenhaus beauftragt wird, Umschläge mit Krankenakten von Patienten an andere Gesundheitseinrichtungen zu liefern. Während sich der Kurier im physischen Besitz der personenbezogenen Daten befindet, verarbeitet er die in den Briefen enthaltenen Daten nicht, da er diese nicht öffnen darf, um auf persönliche Daten oder andere Inhalte zuzugreifen. Die Verarbeitung personenbezogener Daten impliziert einen gewissen Zugang oder die Fähigkeit, die Verwendung der Daten selbst zu kontrollieren. Der physische Besitz der Briefe mit personenbezogenen Daten ist nicht ausreichend. Das Unternehmen, das sich für die Nutzung der Zustelldienste zur Übermittlung personenbezogener Daten entscheidet, ist in diesem Szenario der für die Verarbeitung Verantwortliche und ist dafür verantwortlich, die Anforderungen der DS-GVO zu erfüllen und insbesondere diese Dienste so zu organisieren, dass die personenbezogenen Daten angemessen geschützt sind und gegebenenfalls eine Geheimhaltungspflicht besteht. Entscheidend ist in diesem Fall, dass der Dienstleister keinen Plan, keine Absicht und kein Interesse an der Verarbeitung der personenbezogenen Daten hat. 

 

Der Postzustelldienst ist jedoch ein Verantwortlicher in Bezug auf personenbezogene Daten wie z.B. die Namen und Adressen der einzelnen Absender und Empfänger, die er zur Organisation der Zustellung oder Nachverfolgung besitzt.

 

2.2         Verantwortlicher

 

Ein Unternehmen ist ein Verantwortlicher, wenn es durch seine Führungskräfte und Mitarbeiter entscheidet, warum und wie personenbezogene Daten verarbeitet werden sollen, und daher die allgemeinen Zwecke und Mittel der Datenverarbeitung kontrolliert. In der Regel gilt die juristische Person als Verantwortlicher und nicht die einzelne Person, die im Namen der juristischen Person handelt.3 Die Fähigkeit zur Bestimmung des Zwecks und der Art der Verarbeitung kann sich aus rechtlichen Umständen, wie beispielsweise einer rechtlichen Verpflichtung, oder aus faktischen Umständen ergeben. 

 

Der Verantwortliche verarbeitet (oder beauftragt eine andere Person mit der Verarbeitung) personenbezogene Daten für seine eigenen Zwecke und bestimmt in der Regel: 

 

  • die Initiierung einer Verarbeitungstätigkeit;
  • welche personenbezogenen Daten erhoben werden sollen, von wem, aus welchen Quellen und für welche Zwecke;
  • wie die Daten verarbeitet werden sollen;
  • ob personenbezogene Daten an Dritte weitergegeben werden sollen und an wen;
  • ob ein oder mehrere Auftragsverarbeiter mit der Verarbeitung der Daten beauftragt werden sollen;
  • ob die Daten geändert, anonymisiert oder gelöscht werden sollen; und
  • wie lange die Daten gespeichert werden.

 

Der Verantwortliche interagiert in der Regel direkt mit den betroffenen Personen, die davon ausgehen, dass das Unternehmen der Verantwortliche ist. Eine direkte Interaktion ist jedoch keine Voraussetzung und ist auch nicht immer gegeben, wie beispielsweise in einem Kontext klinischer Studien, in dem das Pharmaunternehmen als Sponsor der Studie im Allgemeinen die Identität der Studienteilnehmer nicht kennt. Der für die Verarbeitung Verantwortliche muss die Kontrolle über die Daten behalten, muss aber nicht unbedingt Zugang zu den personenbezogenen Daten haben oder diese verarbeiten können.4

 

Ein Unternehmen, das personenbezogene Daten aufgrund einer gesetzlichen Verpflichtung verarbeitet, gilt allgemein als Verantwortlicher und behält die Gesamtverantwortung für die jeweilige Verarbeitungstätigkeit. Dies kann beispielsweise eine Steuerbehörde oder ein Sozialversicherungsamt sein, oder ein Spezialist, der personenbezogene Daten gemäss seinen eigenen beruflichen Verpflichtungen verarbeitet, wie z.B. ein Rechtsanwalt oder ein Wirtschaftsprüfer. Erbringt jedoch beispielswiese ein Buchhalter weitere Dienstleistungen, die eine Verarbeitung personenbezogener Daten beinhalten, wie beispielsweise Lohn- und Gehaltsabrechnungsdienstleistungen, wird er zu einem Auftragsverarbeiter. 

 

2.3         Gemeinsam Verantwortliche

 

Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung nach den oben genannten Kriterien festlegen, sind sie gemeinsam Verantwortliche. Der Wunsch der Parteien, gemeinsam verantwortlich zu sein, reicht jedoch nicht aus, um gemeinsame Verantwortlichkeit nach der DS-GVO anzunehmen. Die Sachverhalte und das Verhalten bei der Festlegung der Zwecke und Mittel sind entscheidend. Der Europäische Gerichtshof hat in seiner Entscheidung vom Juni 2018 (Wirtschaftsakademie) zusätzliche Klarheit geschaffen, indem er entschied, dass der Betreiber einer Facebook-Fanpage ein mit Facebook gemeinsam Verantwortlicher für die Verarbeitung personenbezogener Daten ist.5 In einer weiteren Entscheidung vom Juli 2018 (Jehovan) stellte der Europäische Gerichtshof weiter klar, dass eine Person oder Einrichtung, die für ihre eigenen Zwecke Einfluss auf die Verarbeitung personenbezogener Daten nimmt und sich dadurch an der Festlegung der Zwecke und Mittel dieser Verarbeitung beteiligt, als Verantwortlicher angesehen werden kann.6 Trotz dieser Entscheidungen besteht weiterhin die Unsicherheit, welches Mass an Mitbestimmung notwendig ist, um von einer gemeinsamen Verantwortlichkeit auszugehen, Diese muss von Fall zu Fall geprüft werden. 

 

2.4             Auftragsverarbeiter

 

Ein Dienstleister ist ein Auftragsverarbeiter im Sinne der DS-GVO, wenn er (a) personenbezogene Daten (b) im Auftrag des Verantwortlichen und (c) auf Weisung des Verantwortlichen verarbeitet. Diese Voraussetzungen müssen erfüllt sein, damit der Dienstleister als Auftragsverarbeiter gilt. Andernfalls, und insbesondere, wenn der Dienstleister über eine gewisse Autonomie bei der Entscheidungsfindung oder der Kontrolle des Inhalts der Daten verfügt, ist er ein Verantwortlicher, gegebenenfalls ein gemeinsam Verantwortlicher. Dies bedeutet jedoch nicht, dass der Auftragsverarbeiter keine Entscheidungen treffen darf. Der Verantwortliche kann einige Entscheidungen im Zusammenhang mit den technischen und organisatorischen Fragen an den Auftragsverarbeiter delegieren, z.B. welche Hard- oder Software er verwenden soll, während er die wesentliche Fragen wie die Art der zu verarbeitenden personenbezogenen Daten, die Aufbewahrungsfrist oder die Zugriffsrechte bestimmt.7 Es stellt sich die Frage, inwieweit der Auftragsverarbeiter über die Art der Verarbeitung entscheiden kann, ohne selbst zum Verantwortlichen zu werden. Die DS-GVO stellt in Artikel 28 Absatz 10 fest, dass ein Auftragsverarbeiter zum Verantwortlichen wird, sobald er die Zwecke und Mittel der Verarbeitung bestimmt. In der Praxis bedeutet dies, dass der Auftragsverarbeiter, sobald er über die Anweisungen des Verantwortlichen hinausgeht, zu einem Verantwortlichen wird. Dies ist der Fall, wenn ein Dienstleister die Daten für eigene Zwecke verwendet, z.B. zur Durchführung von Analysen und zur Verbesserung seiner eigenen Dienste. 

 

Bei der Feststellung, ob es sich bei einem Dienstleister um einen Auftragsverarbeiter oder einen Verantwortlichen bzw. gemeinsam Verantwortlichen handelt, sollte Folgendes berücksichtigt werden:

 

  • der Handlungsspielraum, der dem Auftragsverarbeiter überlassen wird. Je detaillierter die Anweisungen sind, desto kleiner ist der Handlungsspielraum für den Dienstleister;
  • der Grad der Kontrolle, den der Verantwortliche ausüben möchte;
  • die Erwartungen der betroffenen Personen, wer der Verantwortliche ist. Dies hängt von den Informationen ab, die die betroffenen Personen vom Verantwortlichen erhalten.8

 

Typischerweise

 

  • verarbeitet ein Auftragsverarbeiter die Daten auf der Grundlage eines Mandats des Kunden;
  • hat ein Auftragsverarbeiter keine Kontrolle über die Daten und entscheidet nicht, welche Daten zu erheben und wie sie zu verwenden sind;
  • hat ein Auftragsverarbeiter kein eigenes geschäftliches Interesse an der Verarbeitung der Daten;
  • ist es dem Auftragsverarbeiter vertraglich oder gesetzlich untersagt, die Daten für eigene Zwecke zu verwenden;
  • bietet der Auftragsverarbeiter dem Kunden technische und operative Unterstützung;
  • hat der Auftragsverarbeiter kein vertragliches Verhältnis mit den betroffenen Personen über die Verarbeitungstätigkeit;
  • wird der Auftragsverarbeiter von den betroffenen Personen nicht als der Verantwortliche betrachtet. 

 

Je nach den spezifischen Umständen, dem Grad der Anweisungen und der Kontrolle durch den Kunden, kann der Dienstleister ein Auftragsverarbeiter, ein gemeinsam oder unabhängiger Verantwortlicher sein.9

 

3                Die Konsequenzen für jede Rolle

 

3.1             Das Unternehmen ist Verantwortlicher

 

Wenn ein Unternehmen als Verantwortlicher qualifiziert ist, ist es für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss insbesondere über eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten verfügen und die DS-GVO-Anforderungen erfüllen, wie beispielsweise die Benachrichtigung der betroffenen Personen und die Gewährung von Auskunftsrechten. Das Unternehmen hat die Freiheit, einen oder mehrere Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen, vorbehaltlich spezifischer Weisungen bezüglich der Zwecke und Verarbeitungsmethoden, während es die Kontrolle über die Daten behält und für diese verantwortlich ist. In diesem Fall muss das Unternehmen sicherstellen, dass mit den Auftragsverarbeitern ein Auftragsverarbeitungsvertrag gemäss Artikel 28 DS-GVO abgeschlossen wird.

 

Ein Verantwortlicher kann auch personenbezogene Daten an einen anderen Verantwortlichen weitergeben, ohne ein gemeinsam Verantwortlicher zu sein. Wenn beispielsweise ein Adressbroker personenbezogene Daten an ein Unternehmen verkauft, welches diese Daten für Kundenbeziehungen und Marketingzwecke verarbeitet, gelten beide Unternehmen als unabhängige Verantwortliche, da sie ihre Zwecke und Verarbeitungsmethoden getrennt voneinander festlegen. Die DS-GVO schreibt in diesem Fall keinen besonderen Vertrag vor, es sei denn, die Weitergabe personenbezogener Daten erfolgt grenzüberschreitend aus dem EWR in ein Land, das kein angemessenes Datenschutzniveau bietet; in diesem Fall müssen angemessene Garantien wie EU-Standarddatenschutzklauseln vorgesehen werden. Da jedoch jede Partei für die Einhaltung der DS-GVO und insbesondere des Grundsatzes der Zweckbindung verantwortlich und haftbar ist, wird empfohlen, eine Vereinbarung über den Datenaustausch abzuschliessen, in der die wichtigsten Verpflichtungen der Parteien festgelegt sind.

 

3.2              Das Unternehmen ist ein gemeinsam Verantwortlicher

 

Handelt es sich bei dem Unternehmen um einen gemeinsam Verantwortlichen, so muss es zusammen mit den anderen Verantwortlichen eine Vereinbarung (z.B. ein Joint Controller Agreement) treffen, in der seine jeweiligen Verantwortlichkeiten bei der Einhaltung der DS-GVO festgelegt sind. Während die Verantwortlichen den Zweck und die Mittel der Verarbeitung gemeinsam festlegen, müssen die Verantwortlichkeiten nicht gleichmässig auf die Parteien verteilt werden, aber in der Vereinbarung klar umschrieben werden. Diese Verpflichtungen betreffen insbesondere:

 

  • die Gewährung von Auskunftsrechten der betroffenen Personen;
  • die Durchführung von Datenschutz-Folgenabschätzungen;
  • die Benachrichtigung bei Datenschutzverletzungen; unddie Information von Personen über die Verarbeitung ihrer Daten nach Artikel 13 und 14 DS-GVO.

 

Darüber hinaus muss die Vereinbarung im Wesentlichen den betroffenen Personen zugänglich gemacht werden, die sich an jeden gemeinsam Verantwortlichen wenden können, um ihre Datenschutzrechte auszuüben.

 

3.3              Das Unternehmen ist ein Auftragsverarbeiter

 

Ist der Dienstleister ein Auftragsverarbeiter, so ist Folgendes zu beachten:

 

  • Ein Unternehmen kann sowohl ein Verantwortlicher für bestimmte Verarbeitungstätigkeiten als auch ein Auftragsverarbeiter für andere Verarbeitungstätigkeiten sein.
  • Nicht alle Dienstleister sind auch Auftragsverarbeiter (nur wenn diese personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. In diesem Fall muss ein Auftragsverarbeitungsvertrag geschlossen werden).
  • Während es unerlässlich ist, dass der Verantwortliche den Zweck der Verarbeitung bestimmt, wird die Entscheidung über die technischen und organisatorischen Mittel zur Verarbeitung, wie z.B. Speicherung, Abruf oder Löschung, in der Praxis oft an den Dienstleister delegiert. Besondere Aufmerksamkeit ist von Fall zu Fall bei der Beurteilung erforderlich, ob der Dienstleister noch als Auftragsverarbeiter oder als gemeinsam Verantwortlicher gilt.

 

4          Die vertraglichen Regelungen

 

4.1      Auftragsverarbeitungsvertrag

 

Der Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss die folgenden Mindestanforderungen gemäss Artikel 28 DS-GVO enthalten:

 

  • den Gegenstand und die Dauer der Verarbeitung;
  • Art und Zweck der Verarbeitung;
  • die Kategorien der personenbezogenen Daten und der betroffenen Personen;
  • die Pflichten und Rechte des Verantwortlichen (Rechtsgrundlage für Verarbeitungs- und Auditrechte);
  • die Verpflichtungen des Auftragsverarbeiters, einschliesslich (a) der Verarbeitung personenbezogener Daten nur auf dokumentierte Weisungen des Verantwortlichen, (b) der Gewährleistung, dass nur Personen, die sich zur Vertraulichkeit verpflichtet haben, zur Verarbeitung der Daten berechtigt sind, (c) der Ergreifung aller dem Risiko angemessenen technischen und organisatorischen Massnahmen (Artikel 32 DS-GVO), (d) der Pflicht, Unterauftragsverarbeiter nur mit der vorherigen spezifischen oder allgemeinen schriftlichen Genehmigung des Verantwortlichen zu beauftragen, den Verantwortlichen über neue Unterauftragsverarbeiter zu informieren und diesen Unterauftragsverarbeitern vertraglich dieselben Verpflichtungen aufzuerlegen, wobei der Auftragsverarbeiter dem Verantwortlichen gegenüber haftbar bleibt für das Versagen der Unterauftragsverarbeiter, (e) der Unterstützung des Verantwortlichen bei Anliegen und Auskunftsanfragen der betroffenen Personen, Benachrichtigung bei Datenschutzverletzungen und der Durchführung von Datenschutz-Folgeabschätzungen, (f) der Löschung oder Rückgabe der personenbezogenen Daten an den Verantwortlichen nach Beendigung der Erbringung von Dienstleistungen und nach Wahl des Verantwortlichen, (g) der Pflicht, alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen nach Artikel 28 DS-GVO nachzuweisen und zu Audits, einschliesslich Inspektionen, die vom Verantwortlichen oder einem anderen von ihm beauftragen Prüfer durchgeführt werden, beizutragen, (h) der Pflicht, den Verantwortlichen unverzüglich zu informieren, wenn nach Ansicht des Auftragsverarbeiters eine Anweisung gegen die DS-GVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstösst.

 

Darüber hinaus werden Bestimmungen über die Klärung der Rollen der Parteien, grenzüberschreitende Datenübermittlung, Meldepflichten, die Aufteilung der Kosten für Unterstützung und Prüfungen sowie die Haftung empfohlen, obwohl diese Bestimmungen nach Artikel 28 DS-GVO nicht zwingend vorgeschrieben werden.

 

4.2     Joint Controller Arrangement

 

Gemäss Artikel 26 DS-GVO müssen gemeinsam Verantwortliche in einer Vereinbarung ihre jeweiligen Verantwortlichkeiten für die Einhaltung der Verpflichtungen aus der DS-GVO festlegen. Das Gesetz legt nicht im Detail fest, welche Elemente abgedeckt werden müssen; daher verfügen die Parteien im Gegensatz zum Auftragsverarbeitungsvertrag nach Artikel 28 DS-GVO über eine gewisse Flexibilität. Die Vereinbarung, sei es ein Vertrag oder eine bindende Policy, sollte die Zwecke und Mittel der Verarbeitung beschreiben und folgende Fragen abdecken:

 

  • Wer informiert die betroffenen Personen nach Artikel 13 und 14 DS-GVO?
  • Wer stellt den betroffenen Personen die wesentlichen Punkte der Vereinbarung zur Verfügung?
  • Bei wem können die betroffenen Personen ihre Datenschutzrechte ausüben (Ansprechpartner)?
  • Wer kümmert sich um Auskunftsanfragen und andere Rechte der betroffenen Personen?
  • Wer bearbeitet Beschwerden und Anträge von Aufsichtsbehörden?
  • Wer ernennt bei Bedarf einen Datenschutzbeauftragten?
  • Wer bestimmt, dokumentiert und überwacht die technischen und organisatorischen Sicherheitsmassnahmen?
  • Wer führt bei Bedarf eine Datenschutz-Folgenabschätzung durch?
  • Wer beauftragt die Auftragsverarbeiter, falls vorhanden?
  • Wer führt die Aufzeichnungen über die Verarbeitungstätigkeiten?
  • Wer stellt fest, ob ein Verstoss gegen die Datenschutzbestimmungen den Aufsichtsbehörden und den betroffenen Personen gemeldet werden muss, und nimmt die entsprechenden Mitteilungen vor?

 

4.3    Vereinbarung über den Datenaustausch

 

Die DS-GVO schweigt zu Vereinbarungen über den Datenaustausch zwischen unabhängigen Verantwortlichen. Eine Vereinbarung oder eine anderweitige Garantie sind derzeit nur dann vorgeschrieben, wenn die für die Verarbeitung Verantwortlichen personenbezogene Daten grenzüberschreitend in ein Land ohne angemessenes Datenschutzniveau weitergeben. In diesem Fall können die EU-Standarddatenschutzklauseln für Verantwortliche verwendet werden10. Auch wenn keine grenzüberschreitende Übermittlung personenbezogener Daten vorgenommen wird, ist es dennoch ratsam, unter Berücksichtigung der Art der Datenweitergabe und der Sensibilität der zu übermittelnden personenbezogenen Daten zumindest die Hauptverpflichtungen der Parteien darzulegen und insbesondere (a) die Pflicht des Empfängers, die übermittelten personenbezogenen Daten nur in Übereinstimmung mit den allgemeinen Datenschutzgrundsätzen und unter Einhaltung der bestimmten Zwecke zu verarbeiten, (b) die Frage, ob die Daten an Dritte weitergegeben werden können, und wenn ja, unter welchen Bedingungen, (c) die Verpflichtung zur gegenseitigen Unterstützung, falls erforderlich, (d) die Pflicht der Umsetzung von Sicherheitsmassnahmen sowie (e) die Entschädigung und Haftung.

 

5              Das Verfahren zur Bestimmung der Rollen und die entsprechende vertragliche Vereinbarung

 

Zusammenfassend sind die folgenden Schritte zu ergreifen, wenn mehrere Parteien an der Verarbeitung personenbezogener Daten beteiligt sind, insbesondere wenn ein oder mehrere Auftragsverarbeiter beauftragt sind:

 

  • Beurteilung, welche Dienstleistungen der Dienstleister erbringen soll und ob diese Dienstleistungen die Verarbeitung personenbezogener Daten erfordern.
  • Bewertung der Rolle(n) des Dienstleisters.
  • Festlegung der geeigneten vertraglichen Vereinbarung(en), um die Verantwortlichkeiten der Parteien abzudecken.

 

6      Fazit

 

Mit der Einführung der DS-GVO und den Bestimmungen über das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern in Artikel 28 und gemeinsam Verantwortlichen in Artikel 26 bleiben die Schwierigkeiten bei der Bestimmung der Rollen der Parteien bestehen. Die Bewertung ist besonders schwierig in komplexen Situationen und Geschäftsmodellen, in denen mehrere Parteien in verschiedenen Rechtsordnungen an der Verarbeitungstätigkeit beteiligt sind, jeweils mit unterschiedlichem Grad an Autonomie, Kontrolle und Verantwortung.

 

Die Hauptfaktoren für die Bestimmung, ob eine Partei ein Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist, sind zum einen der Grad der Autonomie jeder Partei bei der Bestimmung, für welche Zwecke, wie und in welcher Weise personenbezogene Daten verarbeitet werden, und zum anderen der Grad der Kontrolle über den Inhalt personenbezogener Daten. Die Rollenbestimmung ist immer sachlich und muss von Fall zu Fall erfolgen, wobei jeder Verarbeitungsvorgang zu berücksichtigen ist.  

 

7    Referenzen

 

  • Artikel-29-Datenschutzgruppe: Stellungnahme 1/2010 zu den Begriffen “für die Verarbeitung Verantwortlicher” und “Auftragsverarbeiter” (referenziert als WP 169)
  • Information Commissioner’s Office (ICO): Data controllers and data processors: what the difference is and what the governance implications are (referenziert als ICO-Richtlinie)
  • Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom): Begleitende Hinweise zu der Anlage Auftragsverarbeitung (referenziert als Leitfaden Bitkom)
  • Urteil des EU Gerichtshofs in Wirtschaftsakademie, C-210/16, EU:C:2018:388 (referenziert als Urteil C-210/16Wirtschaftsakademie)
  • Urteil des EU Gerichthofs in Jehovan todistajat C-25/17, EU:C:2018:551 (referenziert als Urteil C-25/17 Jehovan)
  • Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK): Kurzpapier Nr. 13: Auftragsverarbeitung, Art. 28 DS-GVO, Stand 17.12.2018 (referenziert als DSK Kurzpapier Nr. 13)
  • Entscheidung der Kommission vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EC im Hinblick auf die Einführung eines alternativen Satzes von Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer (2004/915/EC) (referenziert 

 

[1] Eine detaillierte Analyse des Konzepts und einige Bespiele finden sich unter anderem in (a) der WP 169, (b) der ICO-Richtlinie, (c) dem Leitfaden Bitkom und (d) dem DSK Kurzpapier Nr. 13

[2] ICO-Leitlinie, wo zusätzliche Erläuterungen in den Anmerkungen 33-39 zu finden sind

[3] WP 169, Abschnitt III.1.c

[4] Urteil C-210/16 Wirtschaftsakademie, Randnote 38

[5] Urteil C-210/16 Wirtschaftsakademie, Randnote 44

[6] Urteil C-25/17 Jehovan, Prüfung der gestellten Fragen, der dritten und vierten Frage

[7] WP 169, Abschnitt III.2

[8] WP 169, Abschnitt III.2

[9]  Beispiele finden sich in der WP 169, der ICO-Leitlinie und dem DSK Kurzpapier Nr. 13

[10] EU-Standarddatenschutzklauseln für Verantwortliche