Zuweisung der Verantwortlichkeit für Datenverarbeitungen

Zuweisung der Verantwortlichkeit für Datenverarbeitungen

Was wir in diesem Unterabschnitt behandeln: Die Zuweisung und Aufteilung (oder Zentralisierung) der Funktion des Verantwortlichen und gegebenenfalls des Auftragsverarbeiters zwischen einzelnen Gesellschaften. Insbesondere innerhalb von Unternehmensgruppen und Konzernen. Zwei zentrale Punkte sind hier von Belang. Sie prüfen und entschieden:

  • ob und für welche Verarbeitungstätigkeiten welche Gesellschaften als Verantwortlicher gelten oder gelten sollten und
  • für welche Verarbeitungstätigkeiten sie hingegen als Auftragsverarbeiter infrage kommen.

Anwendbare Vorschriften der Datenschutz-Grundverordnung (DSGVO)

Nach Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Datenschutzbestimmungen verantwortlich in Bezug auf die unter seiner Aufsicht stattfindenden Datenverarbeitungstätigkeiten. Insbesondere für die Rechtmäßigkeit der jeweiligen Datenverarbeitungstätigkeiten.

Gleich zu Beginn gilt es als zwingende Grundvoraussetzung der Datenschutzorganisation: Legen Sie fest, welche Gesellschaft insbesondere in einer Unternehmensgruppe als Verantwortlicher agiert und deshalb verpflichtet ist, die Einhaltung der Bestimmungen der DSGVO zu unterstützen.

Der Verantwortliche entscheidet gemäß Art. 4 Nr. 7 DSGVO allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Die Verantwortung für eine einzelne Verarbeitungstätigkeit kann gemäß Art. 26 Abs. 1 DSGVO auch gemeinsam von zwei oder mehreren Gesellschaften übernommen werden.

Dagegen verarbeitet der Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO personenbezogene Daten im Auftrag des Verantwortlichen.

Auslegung und weitere Erläuterungen: Die Funktion als Verantwortlicher

Um beurteilen zu können, ob eine Gesellschaft als Verantwortlicher oder eher als Auftragsverarbeiter infrage kommt, muss die jeweilige Definition in der DSGVO berücksichtigt werden.

Die Rolle als Verantwortlicher ist passend, wenn eine Gesellschaft entschieden hat, personenbezogene Daten zu verarbeiten und zuständig für die Bestimmung des „Zwecks“ der Datenverarbeitung ist. Diese Zuständigkeit kann entstehen aufgrund:

  • einer ausdrücklichen rechtlichen Zuständigkeit. Zum Beispiel, wenn eine Rechtsvorschrift den für die Verarbeitung Verantwortlichen direkt benennt oder das Gesetz jemandem die Aufgabe zuweist oder die Verpflichtung auferlegt, bestimmte Daten zu erheben und zu verarbeiten.
  • allgemeiner gesetzlicher Bestimmungen oder geltender Rechtspraxis, die üblicherweise eine bestimmte natürliche Verantwortlichkeit implizieren. Zum Beispiel Arbeitgeber in Bezug auf Daten über ihre Mitarbeiter.

Außerdem kann eine solche Verantwortung aufgrund tatsächlichen Einflusses oder anderen Bewertungen zugewiesen werden, wie etwa

  • aufgrund von vertraglichen Beziehungen,
  • tatsächlich von einer Partei ausgeübten Kontrolle,
  • der Außenwirkung gegenüber Betroffenen, etc.

Die Rolle des für die Verarbeitung Verantwortlichen bestimmt sich ergänzend auch nach der Frage, ob eine Zuständigkeit für die Festlegung der „Mittel“ einer Verarbeitung besteht. Solche „Mittel“ beziehen sich auf:

  • die technischen und organisatorischen Bedingungen einer Datenverarbeitung.
  • die Fähigkeit den Umfang der Verarbeitung zu bestimmen, einschließlich Kategorien betroffener Personen, Kategorien betroffener Daten, zugangsberechtigte Dritte, etc.

In anderen Worten: Die Entscheidung über die Zwecke und Mittel stellt die Entscheidung über das “Warum” und das “Wie” bestimmter Verarbeitungstätigkeiten dar.

Auslegung und weitere Erläuterungen: Die Funktion als Auftragsverarbeiter

Dagegen darf der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen nur in Übereinstimmung mit seiner Weisung hinsichtlich des Zwecks, des Umfangs und der Mittel auftragsgemäß verarbeiten. Außerdem erfolgt die Datenverarbeitung im Auftrag für den Verantwortlichen nicht im Interesse des Auftragsverarbeiters (das heißt nicht für eigene, von ihm bestimmte Zwecke).

Vergleichen Sie dazu Art.29-Datenschutzgruppe, WP 169, Seite 31 bezogen auf die Eigenschaft eines Auftragsverarbeiters nach der Richtlinie 95/46/EG, von der wir glauben, dass die darin enthaltenen Wertungen und Erläuterungen unverändert nach der DSGVO gültig bleiben.

Mögliche Zentralisierung der Verantwortlichkeit auf eine oder mehrere Gesellschaften

Die DSGVO sieht außerdem die Möglichkeit vor, datenschutzrechtliche Verantwortlichkeiten zu zentralisieren oder zu gruppieren und eröffnet dadurch Gestaltungsspielräume hinsichtlich einer Strukturierung der Datenschutzorganisation und Datenschutz-Governance innerhalb einer Unternehmensgruppe.

Deshalb kann ein Unternehmen einer Unternehmensgruppe die Rolle als Verantwortlicher für Datenverarbeitungstätigkeiten übernehmen, die bei einer anderen Gruppengesellschaft erfolgen, wenn dabei eigene Zwecke und Interessen verfolgt werden.

Nach unserem Dafürhalten würde die Übertragung der Verantwortung folgende Konsequenzen für einen Verantwortlichen haben:

  • Der Verantwortliche würde für die Rechtmäßigkeit der Datenverarbeitungstätigkeiten bei anderen Gesellschaften in der gleichen Weise verantwortlich und haftbar sein wie für seine „eigenen“ Datenverarbeitungstätigkeiten.
  • Die jeweilige im datenschutzrechtlichen Sinn „beherrschte“ Gruppengesellschaft gilt unseres Erachtens dann als (abhängige) „Niederlassung“, unabhängig davon, ob die beherrschte Gesellschaft eine eigenständige juristische Person oder nur eine Zweigstelle des Verantwortlichen verkörpert. Im Gegensatz zu dieser (abhängigen) „Niederlassung“ führt der Auftragsverarbeiter die Verarbeitungstätigkeiten ausschließlich im Interesse und für die Zwecke des Verantwortlichen aus.
  • Hieraus ergibt sich, dass ein Datentransfer zwischen dem Verantwortlichen und der beherrschten Gesellschaft datenschutzrechtlich wohl nicht gesondert gerechtfertigt werden muss, da weder der Verantwortliche noch die beherrschte Gesellschaft als „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO anzusehen wären. Vorausgesetzt die beherrschte Gesellschaft nutzt die Daten nicht gezielt für andere Zwecke. Beispielsweise für Zwecke, die vorher nicht vom Verantwortlichen bestimmt worden sind. Bitte beachten Sie trotzdem, dass diese Bewertung ein rechtliches Risiko birgt. Falls eine solche rechtliche Vorgehensweise für Sie interessant sein sollte, raten wir zu einer eingehenden Untersuchung.

Das Konzept der „Gemeinsamen Verantwortlichkeit“ im Sinne von Art. 26 DSGVO

Die DSGVO kennt noch eine weitere Möglichkeit der Allokation datenschutzrechtlicher Zuständigkeiten: die gemeinsame Verantwortlichkeit. Im Sinne von Art. 26 Abs. 2 DSGVO werden zwei oder mehrere Verantwortliche als gemeinsame Verantwortliche betrachtet, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Zwei oder mehrere Gesellschaften beherrschen gemeinsam einen spezifischen Datenverarbeitungsvorgang, sofern die Zwecke und wesentlichen Elemente der Mittel gemeinsam von den Parteien beschlossen werden. Wobei die Beteiligung der Parteien an den gemeinsamen Entscheidungen verschiedene Formen aufweisen und nicht gleichmäßig verteilt sein muss. Dies gilt auch für die Fälle, in denen zwei Verantwortliche wechselseitig, aber dennoch gemeinsam individuelle Zwecke der Datenverarbeitung bestimmen und anschließend aber einzeln diese Zwecke auf der Grundlage dieses gemeinsam festgelegten Aufbaus oder der Infrastruktur verfolgen.

Auch in einer solchen Konstellation erscheint eine datenschutzrechtliche Rechtfertigung des Datentransfers zwischen gemeinsamen Verantwortlichen verzichtbar, da sie wiederum nicht als „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO gelten. Vergleichen Sie dazu auch Art.29-Datenschutzgruppe, WP 169, S. 24-25. Eine andere Ansicht Dovas, ZD 2016, 512, 515 via Beck Online.

Selbst wenn zwei verbundene Gesellschaften als einzelne Verantwortliche zu betrachten wären entsprechend des Erwägungsgrunds 48 der DSGVO, kann der Datentransfer zwischen diesen Gesellschaften auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden, da die Übermittlung „personenbezogene[r] Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten“ ein berechtigtes Interesse darstellt. Hierbei ist freilich zu beachten, dass diese Regelung kein vollständiges Konzernprivileg darstellt, weil immer noch im Einzelfall eine Abwägung mit den Rechten und Interessen der betroffenen Personen erfolgen muss.

Was bedeutet das für Sie: Eine konkrete To-do-Liste

Es ergibt sich eine konkrete To-do-Liste, mit der Sie die Funktionen des Verantwortlichen beziehungsweise des Auftragsverarbeiters in Ihrer Unternehmensgruppe identifizieren, überprüfen und festlegen können:

  • Prüfen Sie, welche Gruppengesellschaften jeweils die Zwecke und Mittel der jeweiligen Datenverarbeitungstätigkeit bestimmen.
  • Identifizieren Sie, welche Datenverarbeitungstätigkeiten gemeinsam von zwei oder mehreren relevanten Gesellschaften beherrscht werden. Etwa zwei Gesellschaften verlangen Zugriff auf dieselbe Datenbank für gemeinsame oder einzeln verfolgte Zwecke.
  • Umgekehrt: Ermitteln Sie, welche Gesellschaften ausschließlich weisungsgebunden sind und damit als Auftragsverarbeiter tätig werden.
  • Entscheiden Sie, ob die Verantwortung für bestimmte Datenverarbeitungstätigkeiten bei einer einzelnen Gesellschaft oder bei jeweils mehreren Gesellschaften zu zentralisieren oder jeweils zu gruppieren ist. Insbesondere im Hinblick auf zentral auszuführende Funktionen oder zentral zusteuernde Aktivitäten.
  • Zentralisierung der Verantwortung: Räumen Sie Zuständigkeit für die Bestimmung der Zwecke und Mittel der jeweiligen Datenverarbeitungstätigkeit dieser Gesellschaft(en) ein, mittels Übertragung von Entscheidungsbefugnissen zu wesentlichen Fragen in Bezug auf den Zweck dieser Verarbeitung.
  • Legen Sie Datenschutzebenen fest (Unternehmensgruppe, national, unternehmensweit) und weisen Sie diesen Ebenen die Datenverarbeitungstätigkeiten zu.

Lesen Sie zu diesem Thema auch:

Zurück zur Übersicht DSGVO-Compliance im Unternehmen: Ein detaillierter Praxisleitfaden.

Dr. Flemming Moos
Geposted von Dr. Flemming Moos

Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.

Kommentieren

Pflichtfelder sind markiert*