Gemeinsame Verantwortliche

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung fest, sind sie nach Artikel 26 Absatz 1 Datenschutz-Grundverordnung (DSGVO) gemeinsam Verantwortliche. Artikel 26 DSGVO ist weder eine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche, noch braucht es eine Rechtsgrundlage dafür, dass mehrere Verantwortliche zusammenarbeiten. Wichtig ist jedoch, dass jeder der Verantwortlichen, der im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, für diese Verarbeitung eine eigene Rechtsgrundlage hat. Ein praktischer Anwendungsfall können zum Beispiel E-Government-Portale sein, bei denen mehrere Behörden Dokumente zum Abruf bereitstellen. Der Betreiber des Portals und die jeweilige Behörde können je nach Ausgestaltung gemeinsam Verantwortliche sein, so zum Beispiel, wenn der Portalbetreiber Anfragen an die zuständige Behörde weiterleitet und die Dokumente mit personenbezogenen Daten, die im Portal aufbewahrt werden, zu anderen Zwecken (zum Beispiel zur Unterstützung von elektronischen Behördendiensten) verarbeitet.

Zwischen den gemeinsam Verantwortlichen muss insbesondere eine Absprache darüber getroffen werden, zu welchem Zweck die gemeinsame Verarbeitung personenbezogener Daten stattfinden soll und durch welche Technik und Methoden die personenbezogenen Daten verarbeitet werden sollen. Die Vereinbarung muss dabei in transparenter Form festlegen, wer welche Verpflichtungen nach der Datenschutz-Grundverordnung erfüllt.

Regelungsgegenstand der Vereinbarung sollten folgende Pflichten nach der Datenschutz-Grundverordnung sein:

• Festlegung des Zwecks und der Mittel der Datenverarbeitung
• Festlegung der Art der personenbezogenen Daten
• Artikel 26 Absatz 1: Festlegung in einer Vereinbarung in transparenter Form, wer welche Verpflichtung gemäß dieser Verordnung erfüllt. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln
• Artikel 26 Absatz 1 optional: Angabe einer Anlaufstelle für die betroffenen Personen
• Artikel 26 Absatz 2: Das Wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt
• Artikel 27: Schriftliche Benennung eines Vertreters in der EU, falls ein Verantwortlicher nicht in der Union niedergelassen ist
• Artikel 13: Informationspflicht bei Erhebung personenbezogener Daten
• Artikel 14: Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden
• Artikel 15: Bearbeitung von Auskunftsverlangen
• Artikel 16: Bearbeitung von Berichtigungsanfragen
• Artikel 17 oder 18: Bearbeitungen von Löschbegehren oder Beschränkung der Verarbeitung und Artikel 19 Mitteilung der Löschpflicht
• Artikel 20: Abwicklung von Herausgabeverlangen (Datenportabilität)
• Artikel 21: Bearbeitung von Widersprüchen
• Artikel 24 Absatz 1 in Verbindung mit Artikel 32: Festlegung der technischen und organisatorischen Maßnahmen nach Risikoabschätzung und gegebenenfalls Datenschutz-Folgenabschätzung (Artikel 35) und Konsultation einer Aufsichtsbehörde / Übermittlung der notwendigen Informationen (Artikel 36 Absatz 3)
• Artikel 24 Absatz 1: Dokumentation der Auswahl der technischen und organisatorischen Maßnahmen (als Nachweis)
• Artikel 24 Absatz 1: Überprüfung und Aktualisierung der Maßnahmen
• Artikel 28: Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und deren Überprüfung
• Artikel 30: Führung des Verzeichnisses der Verarbeitungstätigkeiten
• Artikel 33, 34: Prozess bei meldepflichtigen Datenpannen
• Artikel 37: Benennung eines Datenschutzbeauftragten