Joint Controllership und die DSGVO: Was es zu beachten gilt

Seit Mai 2018 regelt die Datenschutz-Grundverordnung (DSGVO) nun den Umgang mit personenbezogenen Daten in den Ländern der Europäischen Union. Mit der DSGVO gab der Gesetzgeber Unternehmen ein Mittel an die Hand, mit diesen Daten rechtssicher und konstruktiv umzugehen.

Eine dieser Möglichkeiten ist die gemeinsame Verantwortlichkeit – die Joint Controllership. Das bedeutet: Unternehmen können Kundendaten und personenbezogene Daten gemeinsam nutzen, gehen dafür aber auch gemeinsam in die Verantwortung. 

Die gemeinsame Verantwortlichkeit bei der Datenverarbeitung ist wichtig, damit Unternehmen erfolgreich zusammenarbeiten können. Es gibt zahlreiche Beispiele, die belegen, wie notwendig ein Transfer von Daten oder die gemeinsame Nutzung eines Datenpools sein kann. Dadurch können beispielsweise Franchiseunternehmen, die vom gemeinsamen Datenaustausch leben, eng zusammenarbeiten. Internetportale, die verschiedene Dienstleistungen anbieten, können eine gemeinsame Adressverwaltung betreiben.

Die Joint Controllership nimmt in der DSGVO eine besondere Stellung ein. Denn das Interesse der Personen am Schutz ihrer Daten wird mit dem Interesse der Wirtschaft an einer gemeinsamen Nutzung der Daten vereint. Der große Vorteil dabei ist, dass jeder Verantwortliche seinen eigenen Arbeitsbereich definieren und die Daten innerhalb dieses Rahmens für sich nutzen kann.

In dem Joint Controllership Agreement müssen neben dem Zweck und den Mitteln der Datenvereinbarung auch die Rollen und Funktionen der Verantwortlichen geklärt sein. Festgelegt wird auch, wer für die Anfragen von betroffenen Personen zuständig ist. Zudem werden Ansprechpartner und Kontakte der Verantwortlichen benannt. Sinnvoll kann es auch sein, sich schriftlich auf gemeinsame technische Standards zum Schutz der Daten festzulegen.

Ein Joint Controllership liegt immer dann vor, wenn mindestens zwei Verantwortliche über die Zwecke und die Mittel einer Datenverarbeitung entscheiden. Wenn sie gemeinsam festlegen, welche Maßnahmen, Werkzeuge und Hilfsmittel nötig sind, um das vereinbarte Ziel zu erreichen. Eine zentrale Frage ist, ob ein beauftragter Dienstleister die verarbeiteten Daten auch für sich selbst nutzt. In diesem Fall kann man von mehreren Verantwortlichkeiten ausgehen.

Hierzu gab es bisher drei wichtige Entscheidungen des Europäischen Gerichtshofs (EuGH): „Facebook-Fanpage“ (Urteil vom 05.06.2018, C-210/16), „Zeugen Jehovas“ (Urteil vom 10.07.2018, C-25/17) sowie die EuGH Entscheidung „Fashion ID“ (Urteil vom 29.07.2019, C-40/17).

Es gibt verschiedene Möglichkeiten, gemeinsam an einer Datenverarbeitung beteiligt zu sein. Ein Unternehmen kann ein anderes Unternehmen damit beauftragen, nach seinen Vorgaben Daten zu verarbeiten. Im anderen Fall legen mehrere Verantwortliche Zweck und Mittel der Datenverarbeitung gemeinsam fest. Es ist aber auch möglich, dass mehrere Verantwortliche an einer Datenverarbeitung arbeiten, aber jeder selbst Zweck und Mittel festlegt, ohne sich untereinander abzustimmen.

Es muss also genau geregelt sein, wer welche Verpflichtungen nach der DSGVO erfüllt. Entscheidend ist in diesem Zusammenhang auch, ob der Auftragnehmer weisungsgebunden ist oder eigenverantwortlich agieren kann. Wichtig ist, dass alle betroffenen Personen über die in der Vereinbarung getroffenen Regelungen zur Datenverarbeitung informiert werden.

Eine gemeinsame Verantwortung bedeutet nicht, dass jeder bei der Datenverarbeitung identische Einflussmöglichkeiten hat. Es bedeutet auch nicht, dass die Beteiligten auch tatsächlichen Zugriff auf die Daten haben. Das Joint Controllership besagt nur, dass mehrere Parteien an einer Datenverarbeitung beteiligt sind.

Betroffene Personen können sich bei der Ausübung ihrer Rechte an jeden der Verantwortlichen eines Joint Controllership wenden, beispielsweise wenn es um Schadenersatz geht. Wie die Verantwortung innerhalb des Joint Controllership aufgeteilt ist, muss die Betroffenen nicht tangieren. Das bedeutet: Es ist sinnvoll, dass die Verantwortlichen regeln, was passiert, wenn einer wegen des Fehler eines anderen in die Pflicht genommen wird.

Die DSGVO stellt mit der gemeinsamen Verantwortlichkeit ein Instrument zur Verfügung, mit dem Kundendaten ausgetauscht werden können. In vielen Fällen stellt diese Regelung  eine enorme Erleichterung dar. Wichtig ist, dass die Verantwortlichkeiten klar geregelt und die betroffenen Personen darüber informiert sind. Fehlt dieses Agreement, können die Aufsichtsbehörden eine Geldbuße verhängen. 

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.