Gemeinsame Verantwortlichkeit im Konzern: Datenschutzrechtliche Herausforderungen

Die Verarbeitung personenbezogener Daten ist nur erlaubt, soweit sie einem bestimmten, legitimen Zweck dient, auf eine konkrete Rechtsgrundlage gestützt werden kann und auch im Übrigen den gesetzlichen Anforderungen entspricht. Bei Missachtung drohen Bußgelder und Schadensersatzforderungen. Um diese qualitativen Ansprüche an den Schutz personenbezogener Daten durchsetzen zu können, muss stets klar sein, wer für einen Verarbeitungsvorgang verantwortlich und damit haftbar ist. Insoweit statuiert das europäische Datenschutzrecht zwei Konzepte, nämlich die Verarbeitung im Auftrag eines Verantwortlichen einerseits und die gemeinsame Verantwortlichkeit anderseits. Im Konzern ist die Kenntnis beider Konzepte obligatorisch, ihre sachgerechte Abgrenzung voneinander jedoch zuweilen herausfordernd. Dies gilt namentlich im Zuge der fortschreitenden Vernetzung von Standorten oder Rechtsträgern und der kontinuierlichen Weiterentwicklung des Datenaustausches. Die folgenden Ausführungen mögen hierbei als Orientierungshilfe dienen.


Verarbeitung im Auftrag eines Verantwortlichen (Art. 28 DS-GVO/§ 30 KDG/§ 30 DSG-EKD)

Das erste Konzept ermöglicht es einem Unternehmer, zur Verarbeitung personenbezogener Daten Dienstleistungen Dritter in Anspruch zu nehmen, wobei nur die Verarbeitungstätigkeiten als solche delegiert werden, nicht jedoch die Verantwortlichkeit. Der Dritte kann auch ein Konzernunternehmen sein. Einzelheiten müssen zwischen dem Unternehmer und dem Dritten in einem Vertrag über die Auftragsverarbeitung (AVV) festgelegt werden.

Im Rahmen einer Auftragsverarbeitung werden die Daten durch den Dritten ausschließlich für die Zwecke des Verantwortlichen und nach dessen Weisungen verarbeitet. Beispielsweise wird im Konzern oftmals eine konzerninterne Servicegesellschaft mit der Datenverarbeitung für andere Konzerngesellschaften beauftragt, sei es durch zentralisierte IT-Strukturen, die konzernweite Erbringung von Personaldienstleistungen oder die Verarbeitung von Kundendaten. Entscheidend ist hierbei die Weisungsgebundenheit der Service-Gesellschaft und die klare Zuordnung der Erbringung von Leistungen gegenüber dem Auftraggeber.
 

Gemeinsame Verantwortlichkeit (Art. 26 DS-GVO/ § 28 KDG/ § 29 DSG-EKD) 

Das zweite Konzept ermöglicht es mehreren Unternehmern, personenbezogene Daten für je eigene Zwecke gemeinsam zu verarbeiten. Hierzu müssen sie in einem gemeinsamen Vertrag festlegen, wer welche datenschutzrechtliche Verpflichtung erfüllt, insbesondere in Bezug auf die Informationspflichten gegenüber Betroffenen und in Bezug auf deren Rechte. Im Gegensatz zur Auftragsverarbeitung, bei der ein Auftragsverarbeiter nach Weisung eines Alleinverantwortlichen tätig wird, tragen bei der gemeinsamen Verantwortlichkeit mehrere Parteien gemeinsam die Verantwortung. Dies impliziert, dass sie gemeinsam zur Einhaltung der rechtlichen Vorgaben verpflichtet sind und somit vom Betroffenen gemeinsam in Haftung genommen werden können. 

Im Konzern wird dies insbesondere dann relevant, wenn mehrere Konzerngesellschaften in Datenverarbeitungsprozesse involviert sind. Exemplarische Anwendungsfälle sind zentrale IT- oder Personal-Dienste, konzernweite CRM-Systeme oder personalbezogene Datenverarbeitungsvorgänge, bei denen mehrere Gesellschaften über den Zweck der Nutzung (mit-)entscheiden. Soweit diese Prozesse nicht klar als Auftragsverarbeitung eingestuft werden können, stellt sich die Frage einer gemeinsamen Verantwortlichkeit. Besonders herausfordernd wird es, wenn im Rahmen der genannten Dienste mehrere Konzerngesellschaften nur hinsichtlich einzelner (Teil-)Prozesse über Zweck und Nutzung entscheiden.
 

Kriterien für die Abgrenzung 

Folgende Aspekte können als Abgrenzungskriterien dienen:

  •  Entscheidung über Zwecke und Mittel der Datenverarbeitung: Wenn eine an einem Verarbeitungsvorgang beteiligte Konzerngesellschaft nicht nur nach Weisung handelt, sondern ebenfalls Einfluss auf die Festlegung von Zwecken und Mitteln der Datenverarbeitung hat, spricht dies für eine gemeinsame Verantwortlichkeit.
  • Weisungsgebundenheit: Bei der Auftragsverarbeitung handelt der Auftragsverarbeiter strikt nach den Weisungen des Verantwortlichen und hat keine Entscheidungsmacht über die Datenverarbeitung. Besteht jedoch ein Entscheidungsspielraum, so deutet dies auf eine gemeinsame Verantwortlichkeit hin. 
  • Grad der Integration: Sind die Datenverarbeitungsprozesse so eng in die Konzernstruktur eingebunden, dass alle beteiligten Gesellschaften die Daten für eigene Zwecke nutzen, z. B. einen gemeinsamen Talentpool, spricht dies für eine gemeinsame Verantwortlichkeit.
  • Eigenes Interesse an der Datenverarbeitung: Bei einer gemeinsamen Verantwortlichkeit verfolgen beide Parteien eigene Interessen an der Verarbeitung der personenbezogenen Daten. Demgegenüber hat der Auftragsverarbeiter kein eigenes Interesse an den Daten. Er verarbeitet diese lediglich dienend für den Verantwortlichen und für dessen Zwecke. Das Handeln des Auftragsverarbeiters ist auf die vertraglich festgelegten Aufgaben begrenzt. Im Gegensatz dazu können die Parteien bei einer gemeinsamen Verantwortlichkeit die Daten für eigene Zwecke und gemeinsame Geschäftsziele nutzen. Dies geht über das bloße Umsetzen von Anweisungen hinaus.
  • Risikoverteilung: Werden die Daten im Auftrag eines Verantwortlichen verarbeitet, liegt das Risiko bei ihm; er behält die Kontrolle über die Daten. Bei einer gemeinsamen Verantwortlichkeit wird das Risiko indessen verteilt. Beide Parteien haften hier gleichermaßen.
     

Von der Ermittlung bis zur Implementierung: Rechtssicherheit in sieben Schritten 

Für die Prüfung, ob eine gemeinsame Verantwortlichkeit vorliegt, und gegebenenfalls für deren Implementierung bietet sich ein siebenstufiges Vorgehen an:

  1. Analyse der Datenverarbeitungsprozesse
    Am Anfang steht die Untersuchung, welche Datenverarbeitungsprozesse innerhalb des Konzerns erfolgen und welche Verarbeitungsvorgänge durch welche Konzerngesellschaften damit verbunden sind.
  2. Feststellung der gemeinsamen Verantwortlichkeit
    Im Anschluss erfolgt die Prüfung, ob es sich um eine gemeinsame Datenverarbeitung handelt. Hierzu kann auf die vorstehenden Abgrenzungskriterien zurückgegriffen werden.
  3. Schaffung klarer interner Regelungen und Verantwortlichkeiten
    Wird aufgrund der Analyse eine gemeinsame Verantwortlichkeit festgestellt, sind klare interne Strukturen und eindeutige Zuständigkeiten hinsichtlich folgender Aspekte zu schaffen:
    - Verantwortlichkeit für die Bearbeitung von Anfragen zur Auskunft über vorhandene personenbezogene Daten sowie von Anfragen betreffend deren ­Löschung, Berichtigung oder Übertragung; 
    - Durchführung von Datenschutz-Folgenabschätzungen (DSFA) im Falle risikobehafteter Verarbeitungsvorgänge, die mehrere Gesellschaften betreffen;
    - Implementierung konzernweiter Richtlinien und Schulungen zum Datenschutz, so dass sämtliche Beteiligten ihre Verantwortung verstehen.
  4. Erfüllung der Transparenz gegenüber den Betroffenen
    Ein zentraler Aspekt ist die transparente Kommunikation gegenüber Betroffenen. Konzerne müssen in ihren jeweiligen Datenschutz-Informationen, z. B. gegenüber Mitarbeitern und Patienten, deutlich machen, welche Konzerngesellschaft für welchen Verarbeitungsvorgang verantwortlich ist und wie Betroffenen ihre Rechte ausüben können.
  5. Schaffung und Einhaltung von technischen und organisatorischen Maßnahmen
    Gemeinsam verantwortliche Konzerngesellschaften haben sicherzustellen, dass sie effektive technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten treffen. Dies kann die Verschlüsselung von Daten, die Einschränkung von Zugriffsrechten und die Implementierung von Richtlinien für Datensicherheit ebenso umfassen wie regelmäßige Audits und Sicherheitsüberprüfungen.
  6. Kontinuierliche Überprüfung und Anpassung
    Da sich sowohl die gesetzlichen Vorgaben als auch die interne Struktur von Konzernen ändern können, sollten die datenschutzrechtlichen Vereinbarungen regelmäßig überprüft und bei Bedarf angepasst werden. Dies betrifft insbesondere Änderungen der IT-Infrastruktur oder der Nutzung von Mitarbeiter- oder Kundendaten, die zu einer neuen Verteilung der Verantwortlichkeiten führen können. 
     

Rechtskonforme Dokumentation im Rahmen eines Vertrages über die gemeinsame Verantwortlichkeit


Im Fall einer konzernweiten Feststellung einer gemeinsamen Verantwortlichkeit ist eine schriftliche Vereinbarung zwischen den involvierten Gesellschaften erforderlich. Die Vereinbarungen zwischen den Konzerngesellschaften müssen nicht nur rechtlich wasserdicht sein, sondern auch in der Praxis eingehalten werden. Die Unternehmen sollten eine umfassende Dokumentation der Verarbeitungsprozesse führen und dabei klar festhalten, welche Gesellschaft für welche Verarbeitungsvorgänge verantwortlich ist. Dies erleichtert die Nachweispflicht gegenüber Aufsichtsbehörden und verbessert die Ausgangssituation in datenschutzrechtlichen Auseinandersetzungen.
 

Praxis-Hinweis

Bei der Datenverarbeitung im Konzern ist eine genaue Abgrenzung zwischen einer Verarbeitung im Auftrag durch Konzerngesellschaften einerseits und einer gemeinsamen Verantwortlichkeit von Konzerngesellschaften anderseits für die Einhaltung des Datenschutzes unerlässlich. Für die Abgrenzung und Implementierung bietet sich ein siebenstufiges Vorgehen an.

Autor
Autor

Weitere Artikel, die Sie interessieren könnten

phone
mail Pfeil weiß