Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung? - Seminar / Kurs von DATAKONTEXT GmbH

Schon die alte europäische Datenschutz-Richtlinie kannte die gemeinsam Verantwortlichen (Joint Controllership). Mit Art. 26 DS-GVO ist diese Form der gemeinsamen Verarbeitung nun auch in Deutschland möglich. Wann aber mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden, bedarf der Konkretisierung anhand von Fallbeispielen. Nur so lassen sich eigene Verantwortlichkeit, gemeinsame Verantwortlichkeit und Auftragsverarbeitung voneinander abgrenzen.

Ebenso zu klären ist, wie die vertragliche Abgrenzung der Verantwortlichkeit zwischen den Beteiligten erfolgt und wie dies betroffenen Personen – auch mit Blick auf die Transparenzpflichten in der DS-GVO – zu kommunizieren ist.

Ihre Experten:

Andreas Jaspers, Rechtsanwalt, Geschäftsführer der GDD e.V., Bonn

Prof. Dr. Rolf Schwartmann, Leiter der Kölner Forschungsstelle Medienrecht; Technische Hochschule Köln; Vorstandsvorsitzenderder GDD e.V., Bonn

Sascha Kremer, Fachanwalt für IT-Recht, Datenschutzbeauftragter KREMER RECHTSANWÄLTE, Köln

Programm:

• Überblick: Wann liegt eine gemeinsame Verantwortlichkeit vor?
• Was bedeuten die EuGH Entscheidungen zu Facebook Fanpages, Zeugen Jehovas und Fashion ID?
• Andere Social Media und Online-Services als gemeinsame Verantwortlichkeit?
• Was gilt für Tracking-Tools wie Google Analytics?
• Wie kann die Auftragsverarbeitung abgegrenzt werden?
• Wie kann die frühere Funktionsübertragung abgegrenzt werden?
• Checkliste für die Abgrenzung zwischen den verschiedenen Konstellationen
• Beispiele aus der Praxis: Anwendungsfälle für die gemeinsame Verantwortlichkeit
• Wie sieht die Vereinbarung der gemeinsam Verantwortlichen aus?
• Mustervertrag für eine gemeinsame Verantwortlichkeit
• Beitritte und Austritte, z.B. bei neuen Unternehmen im Konzernverbund
• Beauftragung von Auftragsverarbeitern durch gemeinsam Verantwortliche
• Informationspflichten gegenüber betroffenen Personen
• Bußgeldrisiken bei falschen Regelungen

Netto-Unterrichtsstunden: 5,5 h

Vortragsmethode: Vortrag, Teilnehmerfragen und -austausch

Fortbildungsveranstaltung gemäß Art. 38 Abs. 2 DS-GVO, §§ 5, 6, 38 BDSG

Entscheiden zwei oder mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Verarbeitung, liegt eine gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO vor. Dabei hat der EuGH in Sachen Facebook Fanpages, Zeugen Jehovas und Fashion ID die Einstiegshürde sehr niedrig gelegt: Eine gemeinsame Verantwortlichkeit soll schon dann vorliegen, wenn sich die Gemeinsamkeit darauf beschränkt, dass ein Verantwortlicher die Datenverarbeitung bei einem anderen Verantwortlichen kausal veranlasst und von den Ergebnissen profitiert. Nicht erforderlich soll sein, dass beide Verantwortliche tatsächlich Zugriff auf die verarbeiteten personenbezogenen Daten nehmen können. Viele bislang alsAuftragsverarbeitung oder Funktionsübertragung deklarierte Fälle könnten damit jetzt eine gemeinsame Verantwortlichkeit sein.

Liegt eine gemeinsame Verantwortlichkeit vor, muss dies im Verzeichnis von Verarbeitungstätigkeiten dokumentiert und die Frage geklärt werden, auf welcher Rechtsgrundlage die Offenlegung der personenbezogenen Daten gegenüber den anderen Verantwortlichen erfolgt. Sodann müssen die gemeinsam Verantwortlichen eine Vereinbarung treffen, in der die Verteilung der sich aus der DS-GVO ergebenden Pflichten zwischen den Verantwortlichen geregelt ist, insbesondere mit Blick auf die Rechte betroffener Personen und Informationspflichten. Schließlich ist das Wesentliche der Vereinbarung öffentlich zu machen.

Für Verantwortliche und Auftragsverarbeiter bedeutet die gemeinsame Verantwortlichkeit, alle Leistungsbeziehungen zu Dritten noch einmal dahingehend zu prüfen, ob ggf. gemeinsame Verantwortlichkeiten vorliegen. Entscheidend ist dabei nicht der Vertrag zwischen den Beteiligten, sondern der tatsächliche Lebenssachverhalt. Falscheinschätzungen können zu Sanktionen führen, insbesondere auch zu Bußgeldern.