In der DSGVO findet sich eine Neuerung: Die gemeinsame Verantwortlichkeit. Diese kann auch im Zusammenhang mit Veranstaltungen vorkommen, und stellt die Beteiligten vor teilweise unangenehme Herausforderungen:
Die Regelung dazu findet sich in Art. 4 Nr. 7 und Art. 26 DSGVO. Eine „gemeinsame Entscheidung“ über die Zwecke („wofür“) und Mittel („wie“) der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt.
Ein bestimmender Einfluss…
- kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist;
- erfordert nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt.
Eine Entscheidung der verwendenden Stelle über die Zwecke und Mittel der Verarbeitung kann auch dann gegeben sein, wenn sie im Voraus durch den Anbieter festgelegte Zwecke und Mittel akzeptiert beziehungsweise sich diesen anschließt.
Das erfordere weder eine umfassende Kontrolle jedes Beteiligten bei allen Verarbeitungsphasen noch eine gleichrangige Kontrolle oder gleichrangige Verantwortlichkeit. Laut Datenschutzkonferenz müssen die verfolgten Zwecke der Beteiligten nicht vollständig deckungsgleich sein, aber gegenseitig akzeptiert werden.
Ein Indiz, ob eine gemeinsame Verantwortlichkeit vorliegt, ist die vertragliche Vereinbarung oder die Bezeichnung, welche die Beteiligten wählen – so die Auffassung der Datenschutzkonferenz. Die Datenschutzkonferenz hebt aber auch hervor: Für eine Qualifikation als gemeinsam Verantwortliche sind letztlich die tatsächlichen Umstände entscheidend.
Eine Orientierung und Kontrollfrage kann dabei sein: Wem ist die Verantwortung für die Datenverarbeitung tatsächlich zugeordnet?
Die bloße Zusammenarbeit mehrerer Stellen führt auch noch nicht zwingend zu einer gemeinsamen Verantwortlichkeit.
Gemeinsame Verantwortlichkeit kann aber vorliegen, wenn einzelne Beteiligte für bestimmte Teile bzw. Phasen einer Verarbeitung getrennt verantwortlich sind, jedoch die Daten über eine gemeinsame Plattform zusammengetragen werden. Die gemeinsame Verarbeitung beschränkt sich dann allerdings auf den Betrieb der Plattform.
Die für die Verarbeitung Verantwortlichen können in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Wer welche Rolle bei der Verarbeitung einnimmt und wer für was verantwortlich ist, muss in der Vereinbarung nach Art. 26 Abs. 1 DSGVO genau festgelegt sein.
Weitere Beispiele für eine gemeinsame Verantwortlichkeit:
- Wenn ein Betreiber einer Ticketplattform ausbaut, indem sie Veranstaltungstickets im Namen eines Auftraggebers verkauft, dann verfolgen Auftraggeber und die Ticketplattform gemeinsame Zwecke. Die Kundendaten werden von der Ticketplattform zwar unter anderem für eigene Zwecke genutzt, entspringen aber der geschäftlichen Verbindung zum Auftraggeber. Es profitieren beide Beteiligten von der gemeinsamen Verarbeitung.
- Gemeinsame Verwaltung bestimmter Datenkategorien (z.B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen.
- Gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen, z.B. gemeinsames Betreiben einer internetgestützten Plattform.
- Personalvermittlungs-Dienstleister, der für einen Arbeitgeber X Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber X gerichtet sind.
Die gemeinsame Verantwortlichkeit ist von der Auftragsverarbeitung (siehe Art. 28 DSGVO) und auch von der ganz normalen Übermittlung personenbezogener Daten an einen anderen, eigenständig Verantwortlichen abzugrenzen.