Joint Control in der Datenschutz-Grundverordnung

Datenschutz

von Dominik Dunkel

Alles neu, aber auch alles ungeklärt?

Die am 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) hat vieles aus dem Bundesdatenschutzgesetz alte Fassung übernommen. Eine vollkommen neue Regelung findet sich in Art. 26 DSGVO. Danach legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung personenbezogener Daten fest und werden damit „gemeinsam Verantwortliche“, auch Joint Controller genannt. Als Folge der gemeinsamen Festlegung entsteht eine gemeinsame Verantwortung. In einem Vertrag ist zu dokumentieren, welcher Verantwortliche welche Verpflichtungen aus der DSGVO übernimmt.

Ein Beispiel: Ein Reisebüro, eine Fluggesellschaft und eine Hotelkette betreiben eine gemeinsame Online-Buchungsplattform, über die alle gemeinsam Daten erheben und verarbeiten. Die Daten eines dort registrierten Nutzers können jeweils für eigene Zwecke verarbeitet werden (Buchung einer Reise; Buchung von Flügen; Buchung von Hotelzimmern). Die Daten der registrierten Nutzer könnten zusätzlich für gemeinsame Marketing-Aktionen verarbeitet werden.

Joint Control bietet also die Möglichkeit, dass mehrere Verantwortliche arbeitsteilig zusammenwirken. Das an sich ist eine gute Sache. Problematisch ist allerdings, dass auch die Auftragsverarbeitung nach Art. 28 DSGVO genau dies ermöglicht. Deshalb muss im Einzelfall geklärt werden, ob es sich bei der Datenverarbeitung mehrerer Verantwortlicher um einen Fall von Joint Control oder um einen Fall der Auftragsverarbeitung handelt. Im Fall der Auftragsverarbeitung ist ein Beteiligter lediglich der „verlängerte Arm“ des anderen, führt für ihn im Auftrag eine Dienstleistung aus und ist von ihm weisungsabhängig.

Die Frage der Fragen ist damit klar: Wann werden Zwecke und Mittel gemeinsam festgelegt? Die Abgrenzung ist nicht rein akademischer Natur. Je nach Einordnung muss ein unterschiedlicher Vertrag abgeschlossen werden. Sollte es sich um einen Fall von Joint Control handeln und die Beteiligten haben das Verhältnis als Auftragsverarbeitung deklariert, liegt ein Verstoß vor, der mit einem Bußgeld geahndet werden kann.

Da das Gesetz auf die gestellte Frage keine Antwort gibt, haben sich die Datenschutzbehörden nun erstmals dem Thema angenähert. Eine gemeinsame Festlegung über die Zwecke und Mittel der Verarbeitung soll voraussetzen, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Zwecke und die wesentlichen Elemente der Mittel der Datenverarbeitung ausübt.

Ist damit nun alles geklärt? Nein, es wird viele Fallgestaltungen geben, bei denen man darüber streiten kann, ob ein Beteiligter ein gewisses Maß an Entscheidungsbefugnis und Einfluss hat oder ob er doch nur weisungsabhängiger „Befehlsempfänger“ eines anderen Beteiligten ist, möglicherweise sogar mit einem gewissen Entscheidungsspielraum. Im oben genannten Beispiel ist die Lösung ausnahmsweise mal einfach: Alle drei Beteiligten üben einen tatsächlichen Einfluss auf die Zwecke und die wesentlichen Elemente der Mittel aus und haben damit die Zwecke und Mittel gemeinsam festgelegt. Sie sind gemeinsam Verantwortliche bzw. Joint Controller.

Auch was den Vertrag und dessen Inhalte angeht, tappt man derzeit ein wenig im Dunkeln. Es findet sich lediglich die Vorgabe, dass geregelt sein muss, welcher Verantwortliche sich um die Betroffenenrechte kümmert und wer den Informationspflichten nachkommt. Beide Vorgaben betreffen das Außenverhältnis. Es ist dringend anzuraten, dass die Verantwortlichen darüber hinaus weitere Inhalte vereinbaren, die das Innenverhältnis betreffen. So sollte sich in dem Vertrag eine Regelung zum Haftungsausgleich im Innenverhältnis finden, da die Verantwortlichen der betroffenen Person gegenüber als Gesamtschuldner haften.

Damit die Betroffenen wissen, wer zu welchem Zweck personenbezogene Daten verarbeitet, müssen die Joint Controller das Wesentliche des Vertrages den betroffenen Personen zur Verfügung stellen. "Wesentlich" ist zumindest eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.

Stand heute bleibt die weitere Entwicklung zur Abgrenzung zwischen Joint Control und Auftragsverarbeitung abzuwarten. Es ist zu hoffen, dass mit Inkrafttreten der DSGVO ab dem 25. Mai 2018 der Anwendungsbereich von Joint Control präziser herausgearbeitet und definiert wird.

Zurück