Die Einordnung der an einer Datenverarbeitung beteiligten Akteure kann im Einzelfall zu komplizierten Abgrenzungsfragen führen, auch wenn die von der DSGVO vorgegebene Rollenverteilung überschaubar ist. So können Verantwortliche und Auftragsverarbeiter an der Verarbeitung personenbezogener Daten involviert sein. Da sich das Pflichtenprogramm dieser Akteure unterschiedlich ausgestaltet und der Haftungsumfang voneinander unterscheidet, ist es für Unternehmen bzw. Organisationen essenziell festzustellen, welche datenschutzrechtliche Rolle sie einnehmen.
Haftungsrisiken bei fehlender oder unzureichender Rollenverteilung
Das Fehlen einer oder die unzutreffende Einordnung als Verantwortlicher oder Auftragsverarbeiter offenbart sich spätestens, wenn ein meldepflichtiger Datenschutzverstoß festgestellt wird. In diesem Fall ist die zuständige Aufsichtsbehörde über den Vorfall zu benachrichtigen sowie anzugeben, wer Verantwortlicher ist und damit bspw. nach Art. 82 Abs. 2 S. 1 DSGVO für eine unterbliebene Meldung nach Art. 33 DSGVO haften würde.
Demgegenüber beschränkt sich die Haftung des Auftragsverarbeiters auf die Verletzung gesetzlicher Pflichten, die er in seiner Funktion wahrnimmt. Haben die Beteiligten bis zu diesem Zeitpunkt die datenschutzrechtliche Rollenverteilung jedoch nicht transparent dokumentiert, kommt es zu zeitintensiven Konflikten über Verantwortlichkeiten bei der Datenverarbeitung, obwohl die zeitnahe Meldung einer Datenpanne – innerhalb von 72 Stunden – zu erfolgen hat.
Verstreicht die Frist, droht ein empfindliches Bußgeld, was seitens der Aufsichtsbehörde zum Anlass genommen werden kann, weitere Nachforschungen anzustellen und auf Grundlage dessen ggf. weitere Bußgelder zu verhängen. Um möglichen Nachforschungen durch die Aufsichtsbehörde schon von Beginn an die Grundlage zu entziehen, sollte jeder einzelne Akteur seine Stellung als (gemeinsam) Verantwortlicher oder Auftragsverarbeiter nachweisbar dokumentieren.
Verantwortliche sind Entscheider
Im Wesentlichen bestimmt ein Verantwortlicher das „ob“ und „wie“ der Datenverarbeitung, er entscheidet mithin über die Zwecke der Datenverarbeitung und gibt die Mittel vor, mit denen diese erreicht werden sollen.
Entscheidet sich beispielsweise ein Unternehmen zur Beauftragung eines Dienstleisters, welcher unter Einsatz Künstlicher Intelligenz („KI“) die künftige Personalentwicklung auswerten lässt, wird er als Verantwortlicher tätig. Neben der oben genannten Meldepflicht obliegen dem Verantwortlichen weitere Pflichten, unter anderem
- Informationspflichten nach Art. 13 und 14 DSGVO,
- Umsetzung der Betroffenenrechte, z.B. Recht auf Auskunft und Löschung,
- Erstellung eines umfassenden Verarbeitungsverzeichnisses,
- Durchführung einer Datenschutz-Folgenabschätzung, die vor allem bei KI-Anwendungen von erheblicher Bedeutung ist,
- Abschluss eines Auftragsverarbeitungsvertrags mit einem Auftragsverarbeiter und Prüfung des Bestehens geeigneter technischer und organisatorischer Maßnahmen.
Gemeinsam Verantwortliche teilen sich die Entscheidungsgewalt
Entscheiden sich mehrere Unternehmen eines Konzerns aus Gründen der Kostensenkung gemeinsam für den Einsatz der KI-Anwendung und gründen hierfür beispielsweise eine paritätisch besetzte Projektgruppe zum Implementieren der KI, liegen Indizien für eine gemeinsame Verantwortlichkeit vor. Denn eine gemeinsame Verantwortlichkeit ist gegeben, wenn die Zwecke und Mittel der Datenverarbeitung durch gemeinsames Zusammenwirken festgelegt werden, sodass jeder Verantwortliche einen bestimmenden Einfluss auf die Datenverarbeitung hat.
Gemeinsam Verantwortliche haben die Pflicht, des Abschlusses einer Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.
Im Kern dient eine solche Vereinbarung dazu, dass die Verantwortlichen in transparenter Form ihre Pflichten untereinander aufteilen, insbesondere wer die Betroffenenrechte wahrnimmt und wer den Informationspflichten nachkommt.
Auftragsverarbeiter unterstützt den bzw. die Verantwortlichen
Während der Verantwortliche die Zwecke und Mittel der Datenverarbeitung bestimmt, bleibt der Auftragsverarbeiter ohne eigene Entscheidungskompetenzen. Er ist an die Weisungen des Verantwortlichen bei der Verarbeitung gebunden und wird lediglich als dessen „verlängerter Arm“ tätig.
Entscheiden sich die erwähnten Unternehmen mit der Beauftragung eines Dienstleisters zur Implementierung der KI-Anwendung, ist der Dienstleister als Auftragsverarbeiter einzuordnen. Der Pflichtenkatalog des Auftragsverarbeiters ist nicht so umfangreich wie der des Verantwortlichen und beinhaltet unter anderem die
- Erstellung eines Verarbeitungsverzeichnisses,
- Mitteilung an den Verantwortlichen bei Kenntnis von einer Datenschutzverletzung,
- Unterstützung des Verantwortlichen bei Umsetzung von Betroffenenrechten,
- Datenverarbeitung nur auf Weisung des Verantwortlichen und die übrigen Pflichten aus Art. 28 Abs. 3 DSGVO.
Anhaltspunkte für eine erste Einordnung
Sind bei der Verarbeitung von personenbezogenen Daten noch andere Akteure beteiligt, sollte die datenschutzrechtliche Rollenverteilung einer näheren Betrachtung unterzogen werden. Die im Folgenden genannten Indizien sollen eine erste Hilfestellung zur Selbsteinschätzung geben.
Fazit
Wie wichtig eine korrekte bzw. vertretbare Einordnung ist, zeigt sich spätestens dann, wenn es zu Unregelmäßigkeiten bei der Datenverarbeitung kommt und die sich durch die DSGVO und zwischen den Akteuren der Zwang entsteht, die ihnen auferlegten Pflichten datenschutzkonform umzusetzen. Daher ist es unabdingbar, von Beginn an die Rollenverteilung, insbesondere bei mehrdeutigen Sachverhalten, zu diskutieren, um im Notfall keinen zusätzlichen Zeitdruck durch eine Reevaluierung der Rollenverteilung zu schaffen.
Gerne stehen wir Ihnen bei sämtlichen Fragen hierzu zur Verfügung.