Richtlinien des EDSA zum Konzept von Verantwortlichem und Auftragsverarbeiter

Der EDSA hatdie finale Version seiner Richtlinien zu den Konzepten des Verantwortlichen sowie des Auftragsverarbeiters verfasst und Anfang Juli verabschiedet. Sie sollen diese fundamentalen Konzepte klarer definieren und dadurch anwendbarer machen. Hier ist eine Kurzzusammenfassung.

Die drei Konzepte des Verantwortlichen, der gemeinsamen Verantwortlichen und des Auftragsverarbeiters spielen bei der Anwendung der DSGVO eine entscheidende Rolle: Sie definieren nicht nur wer für die Einhaltung der Übereinstimmung mit den gesetzlichen Vorschriften verantwortlich ist, sondern auch, wie Betroffene Ihre Rechte geltend machen können. Daher ist es besonders wichtig, dass die Bedeutung hinter den Konzepten und die Kriterien der richtigen Anwendung klar und vor allem für den ganzen EWR einheitlich sind.

1. Der Verantwortliche

Prinzipiell gibt es keine Beschränkung bezüglich wer alles als Verantwortlicher agieren kann, praktisch ist es normalerweise die Organisation an sich, kein Individuum wie zum Beispiel ein Mitarbeiter.Der Verantwortliche ist als eine „Organisation" definiert, die Schlüsselelemente bezüglich der Datenverarbeitung festlegt. Verantwortlichkeit kann vom Gesetz her festgelegt werden oder von einer genauen Fallanalyse. Die Vertragsbedingungen helfen meist dabei, den Verantwortlichen zu identifizieren. Dieser legt dann das warum und das wie der Datenverarbeitung fest, also Zwecke und Mittel. Es ist nicht notwendig, dass der Verantwortliche tatsächlichen Zugang zu den zu verarbeitenden Daten hat, um als solcher zu gelten.

2. Gemeinsame Verantwortliche

Wenn mehr als ein Akteur an einer Verarbeitung beteiligt ist, kann es gemeinsame Verantwortliche benötigen. Das wichtigste Kriterium ist die Beteiligung von zwei oder mehr beteiligten Einheiten bei der Festlegung der Zwecke und Mittel einer Datenverarbeitung. Wichtig ist hierbei, dass die Datenverarbeitung nicht möglich wäre ohne die Beteiligung beider, was bedeutet, dass die Verarbeitungen beider Seiten nicht trennbar voneinander sind.

3. Auftragsverarbeiter

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, öffentliche Behörde, Dienststelle oder andere Einheit/Körperschaft, die personenbezogene Daten im Namen eines Verantwortlichen verarbeitet. Es gibt zwei grundlegende Bedingungen: Es muss sich um eine vom Verantwortlichengetrennte Einheit sein und die Daten werden im Namen des Verantwortlichen verarbeitet. Der Auftragsverarbeiter darf die Daten auch nur im Rahmen wie vom Verantwortlichen vorgegeben verarbeiten, wobei die Wahl der passenden TOMs beispielsweise dem Auftragsverarbeiter überlassen werden kann. Ein Verstoß gegen die DSGVO liegt vor, wenn ein Auftragsverarbeiter über die Anweisungen des Verantwortlichen hinaus die Zwecke und Mittel einer Datenverarbeitung selbst festlegt. Damit ist der Auftragsverarbeiter selbst als Verantwortlicher bezüglich der betroffenen Verarbeitung anzusehen und kann Sanktionen ausgesetzt sein.

4. Beziehung zwischen Verantwortlichem und Auftragsverarbeiter

Ein Verantwortlicher darf nur Auftragsverarbeiter einsetzen, die ausreichend garantieren angemessene TOMs einzusetzen. Jegliche Datenverarbeitung durch einen Auftragsverarbeiter muss durch einen Vertrag oder anderes rechtlich bindendes Dokument in schriftlicher Form, auch elektronisch, geregelt sein.Dies kann auch zum Teil oder ganz auf Standardvertragsklauseln beruhen. In der DSGVO werden die inhaltlichen Elemente einer solchen Verarbeitungsvereinbarung aufgezählt, jedoch sollte die Vereinbarung spezifischere Informationen darüber enthalten, wie die Anforderungen erfüllt werden und welches Sicherheitslevel für die betroffenen zu verarbeitenden Daten erforderlich ist.

5. Beziehung unter gemeinsamen Verantwortlichen

Gemeinsame Verantwortliche müssen auf transparente Weise ihre jeweiligen Verantwortlichkeiten festlegen, unter anderem, aber vor allem, bezüglich der Ausübung der Betroffenenrechte und den Informationspflichten. Jeder der gemeinsamen Verantwortlichen hat dafür zu sorgen, dass er eine Rechtsgrundlage für die Verarbeitung vorweisen kann und, dass die Verarbeitung nicht über die vereinbarten Zwecke hinaus geschieht, für die die Daten ursprünglich erhoben worden sind. Die rechtliche Form einer Vereinbarung gemeinsamer Verantwortlicherist im Gesetz nicht definiert. Daher empfiehlt der EDSA mit dem Ziel rechtlicher Sicherheit, Transparent und Nachvollziehbarkeit ein bindendes Dokument wie einen Vertrag oder anderes rechtliches Dokument unter EU- oder Nationalrecht, dem die beteiligten Verantwortlichen unterstellt sind, zu vereinbaren. Dieses soll in angemessener Art und Weise die Rollen und Beziehungen der gemeinsamen Verantwortlichen darstellen und in seinem Kern den Betroffenen zur Verfügung gestellt werden. Unabhängig von einer solchen Vereinbarung können Betroffenen ihre Rechte gegenüber beiden Verantwortlichen geltend machen. Auch Aufsichtsbehörden werden dadurch nicht berührt.

Mehr Informationen finden Sie hier bei der EDPB.

Ihr Team von Datenschutz Prinz