jura-basic (Lexikon: Auftragsverarbeiter Gemeinsam Verantwortliche) - Grundwissen
   

  Rechtslexikon

 Juristisches
      Basiswissen


Rechtsgebiete:


Informationen:

DSGVO (Verantwortlicher und Auftragsverarbeiter)

Gemeinsam Verantwortliche

Rz. 5

Gemeinsam Verantwortliche sind mehrere Verantwortliche. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche (Art. 26 Abs. 1 DSGVO)

Verantwortlicher ist diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Verantwortlicher kann nur eine Stelle sein, die eine gewisse Entscheidungsmacht hat. Ein Verantwortlicher muss Datenverarbeitungsvorgänge organisieren, koordinieren oder fördern können. Er muss geeignete technische und organisatorische Maßnahmen treffen können (siehe Verantwortlicher, Rz.3).

Für gemeinsame Verantwortliche ist nicht notwendig, dass jeder Verantwortliche einen Zugang zu den gleichen personenbezogenen Daten haben muss (EuGH, 5. Juni 2018 - C 210/16, Rn. 38-39; Facebook-Fanpage). Entscheidend ist, dass sie Zwecke und Mittel zur Verarbeitung gemeinsam festlegen.

Beispiel: Der EuGH sieht Facebook als Verantwortlicher, da das soziale Netzwerk über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer selbst entscheidet (EuGH aaO, Rn 30). Facebook sammelt Daten von Aktivitäten auf Facebook, analysiert diese Daten und gibt die analysierten Daten seinen Werbekunden im Rahmen des Werbeservices weiter. Auch der Betreiber einer Facebook-Fanpage ist Verantwortlicher, da er Facebook im Rahmen des geschlossenen Vertrags die Möglichkeit gibt, personenbezogene Daten der Fanpage-Nutzer zu erfassen und so zur Verarbeitung der personenbezogenen Daten der Besucher beiträgt (EuGH aaO, Rn. 36-39). Facebook und Fanpagebetreiber sind gemeinsame Verantwortliche. Beide nutzen personenbezogene Daten der Internetbesucher zur Datenanalyse. Auch bei Xing mit der Business Page ist davon auszugehen, dass Xing und der Unternehmer mit der Business Page (von Xing) gemeinsam Verantwortliche sind, da eine ähnliche Situation, wie bei Facebook vorliegt (über Business Page werden Daten von Besuchern erhoben). Ebenso ist es bei Linkedin mit der Unternehmerseite. Auch Twitter ist im Rahmen des Werbeservices und für alle Daten, die von Aktivitäten auf der Twitter stammen, als Verantwortlicher anzusehen. Der Twitter-Geschäftskunde ist ebenfalls als Verantwortlicher anzusehen, da er die Datensammlung durch Twitter ermöglicht. Twitter ist Auftragsverarbeiter, wenn ein Werbekunde seine Zielgruppendaten auf Twitter hochladet und Twitter diese Daten nur für den Werbekunden verarbeitet.

Werden Daten auf die Plattform eines Netzwerkes hochgeladen, dann verarbeitet das Netzwerk die Daten im Auftrag (Auftragsverarbeitung). Werden Verhaltensdaten auf der Plattform vom Sozialen Netzwerk gesammelt und analysiert und an Werbekunden im Rahmen des Werbeservices weitergegeben (Regelfall), dann verarbeitet das Soziale Netzwerk diese Daten im eigenen Interesse und nicht im Auftrag (keine Auftragsverarbeitung). Das Soziale Netzwerk ist datenschutzrechtlich selbst Verantwortlicher.

Zum Schutz der Rechte und zum Schutz der Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen bedarf es einer klaren Zuteilung der Verantwortlichkeiten (Erwägungsgrund 79) .

Die gemeinsam Verantwortlichen müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind (Art. 26 Abs. 1 DSGVO).

Die Vereinbarung über die Zuteilung der Verantwortlichkeit (gemäß Absatz 1) muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt (Art. 26 Abs. 2 DSGVO), um dass die Person erkennen kann, wer welche Daten verarbeitet.

Diese Vorschrift stellt keine Rechtsgrundlage zur Datenverarbeitung dar. Sie regelt lediglich die Verantwortlichkeiten. Soweit ein Verantwortlicher im Rahmen der gemeinsamen Verantwortlichkeit personenbezogene Daten verarbeitet, benötigt er, wie jeder Verantwortliche, eine Rechtsgrundlage für die Verarbeitung, z.B. nach Art. 6 Abs. 1 DSGVO. Diese Vorschrift regelt die Rechtmäßigkeit der Verarbeitung (siehe Rechtmäßigkeit).

Bei einer Verarbeitung durch gemeinsam Verantwortliche muss bei einer Verarbeitung auf Grund einer Einwilligung die erteilte Einwilligung alle gemeinsam Verantwortliche umfassen.

Will ein Datenverarbeiter personenbezogene Daten nicht selbst verwerten, sondern nur für einen Auftraggeber, dann kommt eine Auftragsverarbeitung in Betracht (siehe Auftragsverarbeiter, Rz.4).


<< Rz. 4 || Rz. 6 >>

Inhaltsübersicht ...    (jura-basic)


Dokument-Nr. 0001916 (Details, unten bei Hinweise), © jura-basic 2022

Weitere Themen...

Hier können Sie weitere Themen lesen, die von jura-basic bereitgestellt werden.

Weitere Fragen zum Arbeitsverhältnis?

Haben Sie weitere Fragen zum Arbeitsverhältnis, insbesondere zum Urlaub und Urlaubsabgeltung, zur Krankheit, zur Kündigung, zur Arbeitszeit (insbesondere Bereitschaftsdienst, Überstunden), dann siehe Details.


Hinweise

jura-basic.de, Copyright 2022...