Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
Wenn ein Dienstleister beauftragt wird, stellt sich immer wieder die Frage, wie der Dienstleister datenschutzrechlich zu sehen bzw. zu behandeln ist. Um es kurz zusammenzufassen, gemäß der DSGVO stellt sich im Grunde genommen nur eine Frage, die es exakt zu analysieren gilt. Wer entscheidet über die Zwecke und Mittel der Verarbeitung?
Tatsächlich unterscheidet man aktuell nicht nur zwei, sondern drei Fälle:
1) Auftragsverarbeitung
Die Auftrags(daten)verarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister in Auftrag eines Auftraggebers. Der Dienstleister ist Weisungsgebunden. Verantwortlich nach außen für den Datenschutz ist aber nach wie vor das beauftragende Unternehmen. Daher kommt dem beauftragenden Unternehmen eine große Verantwortung zu den Dienstleister jederzeit kontrollieren zu können, ob dieser tatsächlich alle datenschutzrechtlichen Bestimmungen einhält. Damit einhergehend sollte ein Auftraggeber schon im Vorfeld einer Beauftragung prüfen, ob ein Dienstleister garantieren kann, dass er alle Datenschutzrechtliche Bestimmungen nach DSGVO einhalten kann.
Wichtig:
Die Grundlage für die Zusammenarbeit mit einem Dienstleister ist ein schriftlicher Vertrag (AV-Vertrag), der u.a. auch die umfangreichen Kontrollmöglichkeit des Auftraggebers beim Dienstleister festlegt.
2) Gemeinsame Verantwortlichkeit
Gemäß Art. 26 DSGVO liegt eine „Gemeinsame Verantwortlichkeit“ vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung der personenbezogenen Daten festlegen. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.
3) Die Übermittlung personenbezogener Daten an einen Verantwortlichen, bei der die Beteiligten die Zwecke und Mittel der Verarbeitung nicht gemeinsam festlegen
Dieser Vorgang wird als „normale“ Übermittlung an einen anderen Verantwortlichen (ohne gemeinsame Verantwortlichkeit) bezeichnet und bedarf einer dem Zweck entsprechenden gesetzlichen Grundlage gemäß Art 6 DSGVO, damit sie durchgeführt werden kann.