Joint Controllership und die DSGVO: Was es zu beachten gilt

Joint Controllership und die DSGVO: Was es zu beachten gilt

Inhaltsverzeichnis

Mehr anzeigen Weniger anzeigen

Auf einen Blick

Was Joint Controllership genau bedeutet
Welche Vorteile und Pflichten Sie mit sich bringt
Was es für Unternehmen zu beachten gilt

Seit Mai 2018 regelt die Datenschutz-Grundverordnung (DSGVO) nun den Umgang mit personenbezogenen Daten in den Ländern der Europäischen Union. Mit der DSGVO gab der Gesetzgeber Unternehmen ein Mittel an die Hand, mit diesen Daten rechtssicher und konstruktiv umzugehen.

 

Eine dieser Möglichkeiten ist die gemeinsame Verantwortlichkeit – die Joint Controllership. Das bedeutet: Unternehmen können Kundendaten und personenbezogene Daten gemeinsam nutzen, gehen dafür aber auch gemeinsam in die Verantwortung. 

Definition: Was ist Joint Controllership?

 

In vielen Fällen wird die Datenverarbeitung mit Unterstützung eines anderen Unternehmens durchgeführt. Das ist beispielsweise der Fall, wenn mehrere, rechtlich selbständige Unternehmen eines Konzerns auf eine gemeinsame Kundendatei zugreifen. Ein anderes Beispiel für Joint Controllership ist, wenn ein Dienstleister beauftragt wird, eine Stellenbeschreibung auszuführen und die eingehenden Bewerbungsunterlagen zu sichten. In beiden Fällen besteht für den Umgang mit personenbezogenen Daten eine gemeinsame Verantwortung. Art. 26 der DSGVO sieht vor, dass diese gemeinsame Verantwortung im Vorfeld genau beschrieben und vertraglich geregelt werden muss (Joint Controllership Agreement).

Vorteile und Pflichten der gemeinsamen Verantwortlichkeit

Die gemeinsame Verantwortlichkeit bei der Datenverarbeitung ist wichtig, damit Unternehmen erfolgreich zusammenarbeiten können. Es gibt zahlreiche Beispiele, die belegen, wie notwendig ein Transfer von Daten oder die gemeinsame Nutzung eines Datenpools sein kann. Dadurch können beispielsweise Franchiseunternehmen, die vom gemeinsamen Datenaustausch leben, eng zusammenarbeiten. Internetportale, die verschiedene Dienstleistungen anbieten, können eine gemeinsame Adressverwaltung betreiben.

Was macht sie besonders?

 

Die Joint Controllership nimmt in der DSGVO eine besondere Stellung ein. Denn das Interesse der Personen am Schutz ihrer Daten wird mit dem Interesse der Wirtschaft an einer gemeinsamen Nutzung der Daten vereint. Der große Vorteil dabei ist, dass jeder Verantwortliche seinen eigenen Arbeitsbereich definieren und die Daten innerhalb dieses Rahmens für sich nutzen kann.

Wie kann man sie richtig umsetzen? 

 

In dem Joint Controllership Agreement müssen neben dem Zweck und den Mitteln der Datenvereinbarung auch die Rollen und Funktionen der Verantwortlichen geklärt sein. Festgelegt wird auch, wer für die Anfragen von betroffenen Personen zuständig ist. Zudem werden Ansprechpartner und Kontakte der Verantwortlichen benannt. Sinnvoll kann es auch sein, sich schriftlich auf gemeinsame technische Standards zum Schutz der Daten festzulegen.

Wann liegt Joint Controllership vor? 

 

Ein Joint Controllership liegt immer dann vor, wenn mindestens zwei Verantwortliche über die Zwecke und die Mittel einer Datenverarbeitung entscheiden. Wenn sie gemeinsam festlegen, welche Maßnahmen, Werkzeuge und Hilfsmittel nötig sind, um das vereinbarte Ziel zu erreichen. Eine zentrale Frage ist, ob ein beauftragter Dienstleister die verarbeiteten Daten auch für sich selbst nutzt. In diesem Fall kann man von mehreren Verantwortlichkeiten ausgehen.

 

Hierzu gab es bisher drei wichtige Entscheidungen des Europäischen Gerichtshofs (EuGH): „Facebook-Fanpage“ (Urteil vom 05.06.2018, C-210/16), „Zeugen Jehovas“ (Urteil vom 10.07.2018, C-25/17) sowie die EuGH Entscheidung „Fashion ID“ (Urteil vom 29.07.2019, C-40/17).

Welche Arten von gemeinsamer Verantwortlichkeit gibt es?

Es gibt verschiedene Möglichkeiten, gemeinsam an einer Datenverarbeitung beteiligt zu sein. Ein Unternehmen kann ein anderes Unternehmen damit beauftragen, nach seinen Vorgaben Daten zu verarbeiten. Im anderen Fall legen mehrere Verantwortliche Zweck und Mittel der Datenverarbeitung gemeinsam fest. Es ist aber auch möglich, dass mehrere Verantwortliche an einer Datenverarbeitung arbeiten, aber jeder selbst Zweck und Mittel festlegt, ohne sich untereinander abzustimmen.

Was gibt es jeweils zu beachten?

 

Es muss also genau geregelt sein, wer welche Verpflichtungen nach der DSGVO erfüllt. Entscheidend ist in diesem Zusammenhang auch, ob der Auftragnehmer weisungsgebunden ist oder eigenverantwortlich agieren kann. Wichtig ist, dass alle betroffenen Personen über die in der Vereinbarung getroffenen Regelungen zur Datenverarbeitung informiert werden.

 

Rollen der beteiligten Parteien 

 

Eine gemeinsame Verantwortung bedeutet nicht, dass jeder bei der Datenverarbeitung identische Einflussmöglichkeiten hat. Es bedeutet auch nicht, dass die Beteiligten auch tatsächlichen Zugriff auf die Daten haben. Das Joint Controllership besagt nur, dass mehrere Parteien an einer Datenverarbeitung beteiligt sind.

 

Rechte der Betroffenen + Bußgelder

 

Betroffene Personen können sich bei der Ausübung ihrer Rechte an jeden der Verantwortlichen eines Joint Controllership wenden, beispielsweise wenn es um Schadenersatz geht. Wie die Verantwortung innerhalb des Joint Controllership aufgeteilt ist, muss die Betroffenen nicht tangieren. Das bedeutet: Es ist sinnvoll, dass die Verantwortlichen regeln, was passiert, wenn einer wegen des Fehler eines anderen in die Pflicht genommen wird.

Bleiben Sie immer up to date 

Die Rechtsprechung zum Thema Datenschutz ändert sich gefühlt von Tag zu Tag: neue Gesetze werden erlassen, angepasst oder durch Urteile konkretisiert. Damit Sie hier nicht den Überblick verlieren, halten wir Sie in unserem Knowledge Hub stets über alle aktuellen Urteile und Neuerungen auf dem Laufenden.

Fazit: Joint Controllership und die DSGVO

Die DSGVO stellt mit der gemeinsamen Verantwortlichkeit ein Instrument zur Verfügung, mit dem Kundendaten ausgetauscht werden können. In vielen Fällen stellt diese Regelung  eine enorme Erleichterung dar. Wichtig ist, dass die Verantwortlichkeiten klar geregelt und die betroffenen Personen darüber informiert sind. Fehlt dieses Agreement, können die Aufsichtsbehörden eine Geldbuße verhängen. 

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.