In Rumänien mangelt es sowohl bei Verantwortlichen als auch bei Beratern oft an Bewusstsein für die Verantwortung bei der gemeinsamen Verarbeitung personenbezogener Daten. Häufig werden alle an einer Datenverarbeitung beteiligten Parteien als Verantwortliche eingestuft; müssen alle ihre Rechte und Pflichten erfüllen, sei man schließlich „auf der sicheren Seite“. Davon ist aus den nachfolgend dargestellten Gründen dringend abzuraten.
Regelung
Der gemeinsam Verantwortliche ist keine Neuigkeit im Bereich des Datenschutzes. Wenngleich er bislang nicht ausdrücklich gesetzlich geregelt war, war er wiederholt ein Thema in der Praxis1. Inzwischen ist er wie folgt in Art. 26 der Datenschutz-Grundverordnung (DSGVO) geregelt: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“
In der Praxis ist es schwierig, eine genaue Abgrenzung vorzunehmen und die Eigenschaft der Beteiligten zu bestimmen. Seitens der Datenschutzbehörden gibt es derzeit noch keine Hilfestellung diesbezüglich (mit Ausnahme von Belgien und Norwegen), was die Analyse der Sachverhalte schwierig gestaltet.
Der EuGH legt den Begriff weit aus. So können nach seiner Rechtsprechung u. U. sogar der Betreiber einer Facebook-Seite und Facebook selbst gemeinsam Verantwortliche sein2.
Wieso ist die Einstufung wichtig?
Der Verantwortliche haftet für die persönlichen Daten, die er verarbeitet. Ein gemeinsam Verantwortlicher haftet jedoch zusätzlich auch für die Verarbeitungstätigkeit der anderen gemeinsam Verantwortlichen. Eine betroffene Person kann ihre Rechte – einschließlich auf Schadensersatz infolge der Datenverarbeitung – somit gegenüber jedem der gemeinsam Verantwortlichen geltend machen. Dies verdeutlicht, dass die gemeinsam Verantwortlichen Vereinbarungen über die Verteilung ihrer Rechte und Pflichten abschließen müssen, auch wenn dies nicht unbedingt (anders als im Falle des Auftragsverarbeiters) in Form eines Vertrages sein muss.
Relevant ist hierbei vor allem die Haftungsfrage. Im Fall der Inanspruchnahme durch Dritte haftet jeder gemeinsam Verantwortliche grundsätzlich vollumfänglich. Oft hat dabei einer von ihnen ein höheres Risiko, von betroffenen Personen in Anspruch genommen zu werden (z. B. weil er aufgrund des Vertragsverhältnisses näher steht). Sind die Rechte und Pflichten jedes gemeinsam Verantwortlichen vertraglich geregelt, lässt sich auch deren Haftung im Innenverhältnis einfacher bestimmen, um den späteren Ausgleich (Regress) zwischen ihnen zu erleichtern.
Auch im Zusammenhang mit den erheblichen Geldbußen3 ist die Bestimmung der Pflichten im Innenverhältnis ausschlaggebend.
Wie bestimmt eine Gesellschaft, ob sie gemeinsam Verantwortlicher ist?
Die Bestimmung lässt sich in der Praxis schwierig gestalten, insbesondere in Fällen, in denen die Verantwortlichen in unterschiedlichem Ausmaß oder zu unterschiedlichen Zeitpunkten in ein Projekt einbezogen werden. Zudem bedeutet die Verarbeitung derselben personenbezogenen Daten nicht zwingend, dass die Verarbeiter gemeinsam Verantwortliche sind.
Angesichts des Verantwortlichkeitsprinzips sollte ein Verantwortlicher aufgrund des tatsächlichen Sachverhalts prüfen, inwieweit Zwecke und Mittel tatsächlich gemeinsam mit einem anderen gestaltet werden, und das Ergebnis entsprechend dokumentieren (Datenschutzfolgenabschätzung). Wesentlich ist dabei der tatsächliche Einfluss, den jede Partei auf die Datenverarbeitung im konkreten Fall nehmen kann. Hierbei ist zu fragen, warum (Zweck) und wie (Mittel) die Datenverarbeitung vorgenommen wird, und wer diese zwei Aspekte tatsächlich beeinflussen kann.
• Warum?
Welches Ergebnis hat die Datenverarbeitung, und inwieweit kann jeder Verantwortliche diesen Zweck bestimmen oder zumindest beeinflussen? Von Bedeutung kann hierfür auch der eigentliche Nutznießer der Verarbeitung sein.
• Wie?
Welche technischen und organisatorischen Mittel werden im Rahmen der Datenverarbeitung verwendet, und wer hat darauf Einfluss?
Fazit
Die Bestimmung der gemeinsam Verantwortlichen ist angesichts der Haftung gegenüber der betroffenen Person und der erheblichen Geldbußen gemäß DSGVO ein sehr wichtiger Aspekt. Mangels ausdrücklicher Vorgaben der rumänischen Datenschutzbehörde sollten gemeinsam Verantwortliche untereinander unbedingt eine genaue Aufteilung ihrer Rechte und Pflichten vereinbaren.
----------------
1 U. a. hat die WP 29 in der Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ den gemeinsam Verantwortlichen vorgesehen und mehrere Fallbeispiele genannt.
2 Wirtschaftsakademie Schleswig-Holstein, C 210/16
3 gemäß Art. 83 Abs. 4 Lit. a (für Gesellschaften bis zu 2 Prozent des weltweiten Jahresumsatzes) bei Verstöße u. a. gegen Art. 26 DSGVO
----------------
Kontakt und weitere Informationen:
STALFORT Legal. Tax. Audit.
Bukarest – Sibiu – Bistrița
Büro Bukarest:
Tel.: +40 – 21 – 301 03 53
Fax. +40 – 21 – 315 78 36
E-Mail: bukarest@stalfort.ro
www.stalfort.ro
