Verantwortlicher oder Auftragsverarbeiter oder…? – Selbstfindung im Datenschutz

Die Einordnung der an einer Datenverarbeitung beteiligten Akteure kann im Einzelfall zu komplizierten Abgrenzungsfragen führen, auch wenn die von der DSGVO vorgegebene Rollenverteilung überschaubar ist. So können Verantwortliche und Auftragsverarbeiter an der Verarbeitung personenbezogener Daten involviert sein. Da sich das Pflichtenprogramm dieser Akteure unterschiedlich ausgestaltet und der Haftungsumfang voneinander unterscheidet, ist es für Unternehmen bzw. Organisationen essenziell festzustellen, welche datenschutzrechtliche Rolle sie einnehmen. 

Haftungsrisiken bei fehlender oder unzureichender Rollenverteilung

Das Fehlen einer oder die unzutreffende Einordnung als Verantwortlicher oder Auftragsverarbeiter offenbart sich spätestens, wenn ein meldepflichtiger Datenschutzverstoß festgestellt wird. In diesem Fall ist die zuständige Aufsichtsbehörde über den Vorfall zu benachrichtigen sowie anzugeben, wer Verantwortlicher ist und damit bspw. nach Art. 82 Abs. 2 S. 1 DSGVO für eine unterbliebene Meldung nach Art. 33 DSGVO haften würde. 

Demgegenüber beschränkt sich die Haftung des Auftragsverarbeiters auf die Verletzung gesetzlicher Pflichten, die er in seiner Funktion wahrnimmt. Haben die Beteiligten bis zu diesem Zeitpunkt die datenschutzrechtliche Rollenverteilung jedoch nicht transparent dokumentiert, kommt es zu zeitintensiven Konflikten über Verantwortlichkeiten bei der Datenverarbeitung, obwohl die zeitnahe Meldung einer Datenpanne – innerhalb von 72 Stunden – zu erfolgen hat. 

Verstreicht die Frist, droht ein empfindliches Bußgeld, was seitens der Aufsichtsbehörde zum Anlass genommen werden kann, weitere Nachforschungen anzustellen und auf Grundlage dessen ggf. weitere Bußgelder zu verhängen. Um möglichen Nachforschungen durch die Aufsichtsbehörde schon von Beginn an die Grundlage zu entziehen, sollte jeder einzelne Akteur seine Stellung als (gemeinsam) Verantwortlicher oder Auftragsverarbeiter nachweisbar dokumentieren.

Verantwortliche sind Entscheider 

Im Wesentlichen bestimmt ein Verantwortlicher das „ob“ und „wie“ der Datenverarbeitung, er entscheidet mithin über die Zwecke der Datenverarbeitung und gibt die Mittel vor, mit denen diese erreicht werden sollen. 

Entscheidet sich beispielsweise ein Unternehmen zur Beauftragung eines Dienstleisters, welcher unter Einsatz Künstlicher Intelligenz („KI“) die künftige Personalentwicklung auswerten lässt, wird er als Verantwortlicher tätig. Neben der oben genannten Meldepflicht obliegen dem Verantwortlichen weitere Pflichten, unter anderem

  • Informationspflichten nach Art. 13 und 14 DSGVO,
  • Umsetzung der Betroffenenrechte, z.B. Recht auf Auskunft und Löschung,
  • Erstellung eines umfassenden Verarbeitungsverzeichnisses,
  • Durchführung einer Datenschutz-Folgenabschätzung, die vor allem bei KI-Anwendungen von erheblicher Bedeutung ist,
  • Abschluss eines Auftragsverarbeitungsvertrags mit einem Auftragsverarbeiter und Prüfung des Bestehens geeigneter technischer und organisatorischer Maßnahmen.

Gemeinsam Verantwortliche teilen sich die Entscheidungsgewalt

Entscheiden sich mehrere Unternehmen eines Konzerns aus Gründen der Kostensenkung gemeinsam für den Einsatz der KI-Anwendung und gründen hierfür beispielsweise eine paritätisch besetzte Projektgruppe zum Implementieren der KI, liegen Indizien für eine gemeinsame Verantwortlichkeit vor. Denn eine gemeinsame Verantwortlichkeit ist gegeben, wenn die Zwecke und Mittel der Datenverarbeitung durch gemeinsames Zusammenwirken festgelegt werden, sodass jeder Verantwortliche einen bestimmenden Einfluss auf die Datenverarbeitung hat.

Gemeinsam Verantwortliche haben die Pflicht, des Abschlusses einer Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.

Im Kern dient eine solche Vereinbarung dazu, dass die Verantwortlichen in transparenter Form ihre Pflichten untereinander aufteilen, insbesondere wer die Betroffenenrechte wahrnimmt und wer den Informationspflichten nachkommt.

Auftragsverarbeiter unterstützt den bzw. die Verantwortlichen

Während der Verantwortliche die Zwecke und Mittel der Datenverarbeitung bestimmt, bleibt der Auftragsverarbeiter ohne eigene Entscheidungskompetenzen. Er ist an die Weisungen des Verantwortlichen bei der Verarbeitung gebunden und wird lediglich als dessen „verlängerter Arm“ tätig.

Entscheiden sich die erwähnten Unternehmen mit der Beauftragung eines Dienstleisters zur Implementierung der KI-Anwendung, ist der Dienstleister als Auftragsverarbeiter einzuordnen. Der Pflichtenkatalog des Auftragsverarbeiters ist nicht so umfangreich wie der des Verantwortlichen und beinhaltet unter anderem die

  • Erstellung eines Verarbeitungsverzeichnisses,
  • Mitteilung an den Verantwortlichen bei Kenntnis von einer Datenschutzverletzung,
  • Unterstützung des Verantwortlichen bei Umsetzung von Betroffenenrechten,
  • Datenverarbeitung nur auf Weisung des Verantwortlichen und die übrigen Pflichten aus Art. 28 Abs. 3 DSGVO.

Anhaltspunkte für eine erste Einordnung

Sind bei der Verarbeitung von personenbezogenen Daten noch andere Akteure beteiligt, sollte die datenschutzrechtliche Rollenverteilung einer näheren Betrachtung unterzogen werden. Die im Folgenden genannten Indizien sollen eine erste Hilfestellung zur Selbsteinschätzung geben.

Fazit

Wie wichtig eine korrekte bzw. vertretbare Einordnung ist, zeigt sich spätestens dann, wenn es zu Unregelmäßigkeiten bei der Datenverarbeitung kommt und die sich durch die DSGVO und zwischen den Akteuren der Zwang entsteht, die ihnen auferlegten Pflichten datenschutzkonform umzusetzen. Daher ist es unabdingbar, von Beginn an die Rollenverteilung, insbesondere bei mehrdeutigen Sachverhalten, zu diskutieren, um im Notfall keinen zusätzlichen Zeitdruck durch eine Reevaluierung der Rollenverteilung zu schaffen.

Gerne stehen wir Ihnen bei sämtlichen Fragen hierzu zur Verfügung.

Über den Autor:


Prüfungskompetenz nationaler Wettbewerbsbehörden bei DSGVO-Verstößen

Nach der Rechtsprechung des EuGH dürfen nationale Wettbewerbsbehörden im Rahmen Ihrer wettbewerbsrechtlichen Prüfung auch auf Verstöße gegen die DSGVO prüfen. 

Stellungnahme des Gerichts

Dazu führt der EuGH in einer Pressemitteilung zum Urteil in der Sache C-252/21 Tage aus:
„In seinem heute verkündeten Urteil führt der Gerichtshof aus, dass es sich für die Wettbewerbsbehörde des betreffenden Mitgliedstaats im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbraucht, als notwendig erweisen kann, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa mit den Vorschriften der DSGVO, vereinbar ist.“ 

Ergänzend führt der EuGH zum Prüfungsrahmen aus:  
“Die Prüfung, ob die DSGVO eingehalten wird, erfolgt … ausschließlich, um den Missbrauch einer beherrschenden Stellung festzustellen und gemäß den wettbewerbsrechtlichen Vorschriften Maßnahmen zur Abstellung dieses Missbrauchs aufzuerlegen.” 

Damit erweitert der EuGH die Prüfungskompetenz der nationalen Wettbewerbsbehörden. Allerdings stellt diese Entscheidung für viele Unternehmen auf der zweiten Ebene eine positive Entscheidung dar, denn der EuGH erteilt damit der teilweise vertretenen Rechtsansicht, dass die DSGVO eine Wettbewerbsnorm ist, eine Absage.  

Klare Aufgabenzuordnung für Behörden

Weiterhin hat der EuGH in der Entscheidung die Kompetenz der nationalen Wettbewerbsbehörden klar umrissen, und insoweit die Prüfungshoheit der Datenschutzaufsichtsbehörden gestärkt.  
„Wenn die nationale Wettbewerbsbehörde einen Verstoß gegen die DSGVO feststellt, tritt sie allerdings nicht an die Stelle der durch diese Verordnung eingerichteten Aufsichtsbehörden.“ 

Hinsichtlich der Fragestellung, wie verhindert werden kann, dass die Kartellbehörden den Sachverhalt anders einschätzen als die Aufsichtsbehörden und es damit zu gegensätzlichen Entscheidungen kommt, hat der EuGH auch eine Feststellung pro Unternehmen getroffen:   

„Um eine kohärente Anwendung der DSGVO zu gewährleisten, sind die nationalen Wettbewerbsbehörden verpflichtet, sich abzustimmen und loyal mit den Behörden, die die Einhaltung dieser Verordnung überwachen, zusammenzuarbeiten.“ 

Fazit

Insgesamt lässt sich festhalten, dass die Entscheidung des EuGH zwar einerseits den Wettbewerbsbehörden ein Prüfungsrecht hinsichtlich potentieller DSGVO-Verstößen einräumt, andererseits die im Urteil genannten Einschränkungen für Unternehmen zur Rechtssicherheit beiträgt. 

Über die Autorin: