Auftragsverarbeitung – gemeinsame Verantwortlichkeit – getrennte Verantwortlichkeit! Was denn nun?

Wenn Dienstleister ein Unternehmen unterstützen, muss man immer schauen in welcher Rolle dies erfolgt. Je nachdem
hat das Unternehmen als verantwortliche Stelle mehr Aufgaben bzw. Plichten. Oder halt weniger bzw. gar keine.
Gem. der DSGVO benötigt man für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage. Möchte man
nun Daten an ein externes Unternehmen geben, muss geschaut werden auf welcher Rechtsgrundlage dies erfolgen kann.
Auftragsverarbeitung
Das sind klassischerweise IT-Systemhäuser, Webdesigner, Cloud-Dienstleister, Lohn- und Gehaltsabrechnung,
Auslagerung der E-Mail-Verwaltung oder auch Datenträgerentsorgung.
Die Weisungsgebundenheit ist ein Merkmal. Auftragsverarbeiter verarbeiten im Kern personenbezogene Daten im Auftrag.
Für eine solche Zusammenarbeit ist eine Auftragsverarbeitungsvereinbarung (AVV) gem. Art. 28 DSGVO notwendig. Bei
dieser Art der Zusammenarbeit hat der Auftraggeber als verantwortliche Stelle eine Vielzahl von Pflichten, wie bspw. die
regelmäßige Kontrolle des Auftragsverarbeiters. Die AVV stellt die Rechtsgrundlage dar, damit personenbezogene Daten
vom Auftraggeber verarbeitet werden dürfen. Existiert eine AVV nicht, ist dies bußgeldbewährt.
Kommt es beim Auftragsverarbeiter zu einer Datenpanne, ist in der Regel der Auftraggeber sehr tief involviert und hat die
Konsequenzen bei möglichen Sanktionen vorrangig zu tragen.
Keine Auftragsverarbeitung liegt vor bei:
• Inkassobüros und Insolvenzverwalter
• Externen Trainer und Berater
• Postdienste für den Brief- oder Pakettransport
• Handwerker
• Sachverständige
Gemeinsame Verantwortlichkeit
Für eine solche Konstellation legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und/oder die Mittel zur
Verarbeitung der personenbezogenen Daten fest. Beachtet werden muss, dass dies nicht zwangsweise in allen Bereichen
der Zusammenarbeit erfolgen muss.
Anders als bei Auftragsverarbeitern kann man hier nicht pauschal sagen, wer hierzu zählt. Es hängt davon ab in welchem
Kontext man zusammenarbeitet. Eine bekannte gemeinsame Verantwortlichkeit ist bspw. die Nutzung der FacebookFanpage durch ein Unternehmen. Oder es kann auch der Personalvermittler sein, der eigene (andere) Interessen als das
Unternehmen verfolgt. Aber beide gemeinsam an dem Ziel der Jobvermittlung arbeiten.
Für die gemeinsame Verantwortlichkeit muss eine Vereinbarung geschlossen werden, wobei diese keine Rechtsgrundlage
für die Verarbeitung der personenbezogenen Daten darstellt. Anders als bei der Auftragsverarbeitung. Die Rechtsgrundlage
muss hierbei durch Verträge oder Einwilligungen der betroffenen Personen geschaffen werden.
Bei dieser Konstellation haften im Rahmen der gemeinsamen Tätigkeit alle beteiligten Unternehmen und sind auch für die
Umsetzung der Betroffenenrechte gleichermaßen verantwortlich.
Getrennte Verantwortlichkeit
Das Handwerksunternehmen Ihres Vertrauens ist allein, getrennt von dem Unternehmen, für die eigene Verarbeitung von
personenbezogener Datenverantwortlich. Hat das Handwerksunternehmen eine Datenpanne, haben Sie als Auftraggeber
nichts damit zu tun. Zumindest nicht im Rahmen von möglichen Konsequenzen. Sie können aber natürlich davon betroffen
sein, wenn Ihre Daten ungewollt an Dritte gehen.
Warum erzähle ich das?
Die Praxis zeigt, dass es an vielen Stellen immer wieder große Probleme bei der Zuordnung gibt. Fehlt eine AVV? Blöd,
bußgeldbewährt! Werden Daten ohne Rechtsgrundlage verarbeitet? Auch blöd, auch bußgeldbewährt! Und dann noch die
Darstellung nach außen gegenüber Kunden.
Auch sollten Unternehmen eine AVV, die vom Dienstleister kommt, nicht ungeprüft unterschreiben. Manchmal sind Punkte
nicht klar genug oder sogar falsch dargestellt. Vergessen Sie nicht, bei einer Auftragsverarbeitung trägt der Auftraggeber
als verantwortliche Stelle die Verantwortung.

Schadensersatz-Urteil: Google Fonts und die DSGVO
Das Urteil des LG München vom 20.01.22 Az. 3 O 17493/20 hat Bewegung in diese Thematik gebracht. Hierbei wurde für
einen Nutzer zwar „nur“ ein Schadenersatz von 100 Euro ausgesprochen. Aber eine Website hat in der Regel nicht nur
einen Nutzer. Wie auch in vielen anderen Fällen aus dem Bereich „Website“ sind auch hier die IP-Adressen mit
Personenbezug. Mit einer IP-Adresse ist eine Person identifizierbar.
Und auch hier gilt der Grundsatz, dass für die Verarbeitung eine Rechtsgrundlage vorhanden sein muss. Aber welche nun?
Das berechtigte Interesse als Rechtsgrundlage?
Gem. Art. 6 Abs. 1 f DSGVO kann diese Rechtsgrundlage für die Verwendung von Google-Schriften schon deshalb nicht
herangezogen werden, da es im Rahmen der Interessensabwägung keine Erforderlichkeit für die Nutzung gibt.
Und wie sieht es mit einer Einwilligung aus?
Zwar kann eine solche Rechtsgrundlage eher genommen werden. Aber bei Nutzung von Schriften kann ich mir nur schwer
vorstellen, wie dies in der Praxis erfolgen soll. Was macht bspw. der Website-Betreiber, wenn ein Nutzer eine solche
Nutzung der Online-Schrift ablehnt. Kann dann die Website korrekt dargestellt werden? Und wenn ja, warum hat man dies
nicht gleich so gemacht. Somit ist das Erfordernis der Nutzung von Online-Schriften in der Regel eigentlich nicht gegeben.
Bußgelder im Januar 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Unverschlüsselter Versand von Patientendaten
Behörde: Datainspektionen (Schweden), Branche: Gesundheitswesen,
Verstoß: Art. 5 Abs. 1 f) DSGVO, Art. 32 Abs. 1 DSGVO, Bußgeld: 153.120 Euro
• Videoüberwachung einer öffentlichen Straße
Behörde: Agencia española protección datos, Branche: Privatperson
Verstoß: Art. 5 Abs. 1 c) DSGVO, Art. 13 DSGVO, Bußgeld: 1.500 Euro
• Versand an den Nachbarn
Behörde: Agencia española protección datos, Branche: Telekommunikation
Verstoß: Art. 5 Abs. 1 f) DSGVO, Art. 32 Abs. 1 DSGVO, Bußgeld: 56.000 Euro
Fazit?
Wenn verschiedene Unternehmen zusammenarbeiten, muss Einiges geregelt werden. Auch im Bereich Datenschutz, hier
insbesondere die Umsetzung bzw. Beachtung von Rechtsgrundlagen und Informationspflichten gegenüber Betroffenen.
Wenn Dienstleister ein Unternehmen unterstützen, die 1. weisungsfrei arbeiten und 2. im Kern keine personenbezogenen
Daten verarbeiten, sind es keine Auftragsverarbeiter.
Auch die Bußgelder zeigen immer die gleichen Fehler. Entweder verarbeitet ein Unternehmen personenbezogene Daten
ohne Rechtsgrundlage oder es werden schlichtweg die erforderlichen Schutzmaßnahmen nicht beachtet.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!