Schon die alte europäische Datenschutz-Richtlinie kannte die gemeinsam Verantwortlichen (Joint Controllership). Mit Art. 26 DS-GVO ist diese Form der gemeinsamen Verarbeitung nun auch in Deutschland möglich. Wann aber mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden, bedarf der Konkretisierung anhand von Fallbeispielen. Nur so lassen sich eigene Verantwortlichkeit, gemeinsame Verantwortlichkeit und Auftragsverarbeitung voneinander abgrenzen.
Ebenso zu klären ist, wie die vertragliche Abgrenzung der Verantwortlichkeit zwischen den Beteiligten erfolgt und wie dies betroffenen Personen – auch mit Blick auf die Transparenzpflichten in der DS-GVO – zu kommunizieren ist.
Ihre Experten:
Andreas Jaspers, Rechtsanwalt, Geschäftsführer der GDD e.V., Bonn
Prof. Dr. Rolf Schwartmann, Leiter der Kölner Forschungsstelle Medienrecht; Technische Hochschule Köln; Vorstandsvorsitzenderder GDD e.V., Bonn
Sascha Kremer, Fachanwalt für IT-Recht, Datenschutzbeauftragter KREMER RECHTSANWÄLTE, Köln
Programm:
Netto-Unterrichtsstunden: 5,5 h
Vortragsmethode: Vortrag, Teilnehmerfragen und -austausch
Fortbildungsveranstaltung gemäß Art. 38 Abs. 2 DS-GVO, §§ 5, 6, 38 BDSG
Schon die alte europäische Datenschutz-Richtlinie kannte die gemeinsam Verantwortlichen (Joint Controllership). Mit Art. 26 DS-GVO ist diese Form der gemeinsamen Verarbeitung nun auch in Deutschland m ...
Mehr Informationen >>Entscheiden zwei oder mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Verarbeitung, liegt eine gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO vor. Dabei hat der EuGH in Sachen Facebook Fanpages, Zeugen Jehovas und Fashion ID die Einstiegshürde sehr niedrig gelegt: Eine gemeinsame Verantwortlichkeit soll schon dann vorliegen, wenn sich die Gemeinsamkeit darauf beschränkt, dass ein Verantwortlicher die Datenverarbeitung bei einem anderen Verantwortlichen kausal veranlasst und von den Ergebnissen profitiert. Nicht erforderlich soll sein, dass beide Verantwortliche tatsächlich Zugriff auf die verarbeiteten personenbezogenen Daten nehmen können. Viele bislang alsAuftragsverarbeitung oder Funktionsübertragung deklarierte Fälle könnten damit jetzt eine gemeinsame Verantwortlichkeit sein.
Liegt eine gemeinsame Verantwortlichkeit vor, muss dies im Verzeichnis von Verarbeitungstätigkeiten dokumentiert und die Frage geklärt werden, auf welcher Rechtsgrundlage die Offenlegung der personenbezogenen Daten gegenüber den anderen Verantwortlichen erfolgt. Sodann müssen die gemeinsam Verantwortlichen eine Vereinbarung treffen, in der die Verteilung der sich aus der DS-GVO ergebenden Pflichten zwischen den Verantwortlichen geregelt ist, insbesondere mit Blick auf die Rechte betroffener Personen und Informationspflichten. Schließlich ist das Wesentliche der Vereinbarung öffentlich zu machen.
Für Verantwortliche und Auftragsverarbeiter bedeutet die gemeinsame Verantwortlichkeit, alle Leistungsbeziehungen zu Dritten noch einmal dahingehend zu prüfen, ob ggf. gemeinsame Verantwortlichkeiten vorliegen. Entscheidend ist dabei nicht der Vertrag zwischen den Beteiligten, sondern der tatsächliche Lebenssachverhalt. Falscheinschätzungen können zu Sanktionen führen, insbesondere auch zu Bußgeldern.
Entscheiden zwei oder mehrere Verantwortliche gemeinsam über Zwecke und Mittel der Verarbeitung, liegt eine gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO vor. Dabei hat der EuGH in Sachen Face ...
Mehr Informationen >>Datenschutzbeauftragte, IT-Sicherheitsbeauftragte, IT-Verantwortliche, Compliance-Beauftragte, Betriebsräte