Haben wir eine „Joint Control“?

Kaum ein Thema der DSGVO wird derzeit so stark diskutiert wie die "gemeinsame Verantwortlichkeit" (Art 26 DSGVO), auch "Joint Control" genannt. Für Verwirrung sorgt vor allem die Abgrenzung zur "klassischen" Auftragsverarbeitung. Ob es sich bei Ihrer Kooperation um eine Joint Control handelt und wie Sie darauf reagieren müssen, erfahren Sie in diesem Beitrag.

Was ist eine „Joint Control“?

Keine Sorge, bei einer „Joint Control“ steht Ihnen keine Drogen-Razzia bevor. Sie liegt vielmehr dann vor, wenn zwei oder mehr Verantwortliche über die Zwecke und Mittel ihrer Datenverarbeitung gemeinsam entscheiden (Art 26 DSGVO). Das ist der Hauptunterschied zur Auftragsverarbeitung – hier legt nur einer, nämlich der Verantwortliche, die Zwecke und Mittel der Datenverarbeitung fest.

Die „gemeinsame Entscheidung“ über Zwecke und Mittel der Verarbeitung setzt voraus, dass alle Beteiligten jeweils bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nehmen. Auch können die Verantwortlichen mit der Verarbeitung ganz verschiedene Zwecke anstreben. Bestimmend ist ein Einfluss dann, wenn bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, im Rahmen der Datenverarbeitung eine Zweckverfolgung nicht ohne die andere möglich ist.

In anderen Worten: Die Datenverarbeitung des einen Verantwortlichen ist nicht ohne die des anderen denkbar. Dass der Einfluss bestimmend sein muss, darf man aber nicht so verstehen, dass jeder Verantwortliche Einfluss auf alle Umstände und Phasen der Verarbeitung nehmen muss. Es muss auch kein „Kräftegleichgewicht“ zwischen den Verantwortlichen bestehen – ein übermächtiger Einfluss des einen Verantwortlichen schließt nicht aus, dass er gemeinsam mit einem Anderen verantwortlich ist.

Die für die Verarbeitung Verantwortlichen können in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Denkbar ist beispielsweise, dass die Verantwortlichen nur für bestimmte Aspekte einer übergeordneten Datenverarbeitung gemeinsam verantwortlich sind; für die restlichen Teile aber kann einer der Verantwortlichen allein verantwortlich sein.

Praxisbeispiele

Es gibt bereits teilweise Rechtssprechung sowie teilweise Stellungnahmen der Aufsichtsbehörden zu Fällen, in denen von einer Joint Control auszugehen ist. Zu nennen sind:

• Facebook-Fanpages: Joint Control zwischen Facebook und dem Fanpage-Betreiber;
• Klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen;
• Gemeinsame Verwaltung bestimmter Datenkategorien (z. B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen;
• Gemeinsamer Informationspool/gemeinsame Warndatei mehrerer Verantwortlicher (z. B. Banken) über säumige Schuldner;
• E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen;
• Arbeitnehmerüberlassung, bei Verarbeitung von Mitarbeiterdaten durch ver- und entleihendes Unternehmen.

Welche Pflichten treffen mich?

Handelt es sich um eine Joint Control, so treffen Sie als Verantwortliches Unternehmen verschiedene Pflichten. Ihre wesentliche Pflicht ist es, Ihr Verhältnis zueinander und die Aufteilung Ihrer datenschutzrechtlichen Pflichten in einem speziellen Vertrag zu regeln – dem sogenannten Joint-Control-Agreement (dazu gleich mehr).

Daneben müssen Sie aber auch bestimmte zusätzliche Informationspflichten gegenüber dem Betroffenen erfüllen, denn der Betroffenen muss über die wesentlichen Inhalte des Joint-Control-Agreements informiert werden. Diese Information ergänzt die „normalen“ Informationspflichten der DSGVO (Art. 13 und 14 DSGVO).

„Wesentlich“ in diesem Sinne bedeutet, dass zumindest nachvollziehbar dargelegt werden muss, wie die Verantwortlichen zusammenarbeiten, welche Rollen sie einnehmen und wie ihre jeweilige Beziehung zur betroffenen Person zu beschreiben ist. Zudem muss dem Betroffenen mitgeteilt werden, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll. Es ist dem Betroffenen also eine „Kurzfassung“ des Joint-Control-Agreements an die Hand zu geben. Dazu bietet sich unserer Ansicht nach insbesondere die Datenschutzerklärung an, die dann natürlich um einen entsprechenden Passus ergänzt werden muss.

Welche Inhalte gehören in ein Joint Control Agreement?

Die DSGVO regelt relativ klar, welche Inhalte ein Joint-Control-Agreement mindestens haben muss. Dies sind:

• Beschreibung der „gemeinsamen Zwecke“;
• Beschreibung der „gemeinsamen Mittel“;
• Festlegung der datenschutzrechtlichen Zuständigkeiten;
• Festlegung der Verantwortlichkeiten für die Erfüllung von Betroffenenrechten;
• Festlegung der Zuständigkeiten für die Informationspflichten.

Darüber hinaus bietet es sich in aller Regel an, es nicht mit diesen Mindestinhalten bewenden zu lassen, sondern noch optionale Regelungen zu treffen. Diese sind beispielsweise:

• klare Abgrenzung der verschiedenen Verantwortungsbereiche;
• Beschreibung der Datenkategorien;
• Hinweis auf den Erlaubnistatbestand der Verarbeitung;
• Verantwortlichkeit für Meldungen nach Datenschutzverletzungen;
• Aufteilung der Haftung im Innenverhältnis.

Alles OK mit Ihrer Joint Control?

Das Konstrukt der Joint Control ist noch relativ neu und viele Fragen in diesem Zusammenhang sind noch nicht endgültig geklärt. Wenn Sie mit einem anderen Unternehmen kooperieren und von der Kooperation auch personenbezogene Daten betroffen sind, ist es sinnvoll, sich frühzeitig datenschutzrechtlich beraten zu lassen.

Haben Sie Fragen zur richtigen Einordnung Ihrer Kooperation? Wir sorgen dafür, dass Ihr Unternehmen auch in einer Joint Control rechtlich sicher aufgestellt ist. Basierend auf unserer Einschätzung entwerfen wir Ihnen einen passenden Vertrag – sei es ein Joint-Control-Agreement oder eine klassische Auftragsverarbeitungsvereinbarung. Nehmen Sie dazu gerne Kontakt mit uns auf.