EDSA veröffentlicht die finale Version der Leitlinien zu den datenschutzrechtlichen Rollen des Verantwortlichen und des Auftragsverarbeiters

Hintergrund der Leitlinien

Die Leitlinien wurden mit dem Ziel herausgegeben, Klarheit bezüglich der Rollen des Verantwortlichen («Controller») und Auftragsverarbeiters («Processor») der EU-Datenschutzgrundverordnung («DSGVO») zu schaffen. Die Begriffe des Verantwortlichen und des Auftragsverarbeiters spielen bei der Anwendung der DSGVO eine entscheidende Rolle, da mitunter definiert wird, wem die Einhaltung einzelner Pflichten der DSGVO obliegt (vgl. dazu weiter unten), wenn die Verarbeitung personenbezogener Daten von mehreren «Verarbeitern» gemeinsam vorgenommen wird.

Herausgegeben wurden die Leitlinien vom Europäischen Datenschutzausschuss («EDSA»). Der EDSA ist eine unabhängige Einrichtung, bestehend aus Vertretern der Datenschutzbehörden der EU und ihren Mitgliedsstaaten. Mit Leitlinien und anderen Veröffentlichungen bringen die Datenschutzbehörden ihren Standpunkt zum Ausdruck und wollen zur Vereinheitlichung der Praxis in den einzelnen Mitgliedsstaaten beitragen. Gleichzeitig ersetzen die EDSA-Leitlinien die von der Artikel-29-Datenschutzgruppe (Article 29 Working Party, WP29) im Jahre 2010 veröffentlichten Leitlinien zu den Konzepten des Verantwortlichen und des Auftragsverarbeiters. Insbesondere das Inkrafttreten der DSGVO im Mai 2018 machte eine Überarbeitung dieser Leitlinien notwendig.

Im Vergleich zu der Ende 2020 in Vernehmlassung gegebenen Entwurfsfassung (vgl. dazu MLL-News vom 21.12.2020) wurden bei der Überarbeitung primär die Beispiele ausgebaut.

Die datenschutzrechtlichen Rollen

Verantwortliche («Controller»)

Die Definition des Verantwortlichen findet sich in Art. 4 Ziff. 7 DSGVO, und lautet wie folgt:

«Verantwortlicher» [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

Der EDSA führt in den Leitlinien aus, dass die Definition des Verantwortlichen entsprechend aus fünf hauptsächlichen Elementen bestehe.

• «die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle (the natural or legal person, public authority, agency or other body)»

Der EDSA merkt bzgl. des ersten Elements an, dass in der Praxis üblicherweise die datenverarbeitende Organisation Verantwortlicher sei und nicht die jeweilige natürliche Person, die Daten innerhalb der genannten Organisation verarbeitet. Dies gelte grundsätzlich auch, wenn z.B. ein Unternehmen eine natürliche Person oder eine Abteilung explizit damit beauftragt sich um die Datenschutz-Compliance innerhalb des Unternehmens zu kümmern. Der EDSA veranschaulicht dies mit dem folgenden Beispiel:

Die Marketingabteilung des Unternehmens ABC startet eine Werbekampagne, um ABCs Produkte zu bewerben. Die Marketingabteilung entscheidet über die Art der Kampagne, die zu verwendenden Mittel (E-Mail, soziale Medien, etc.), die anzusprechenden Kunden und die zu verwendenden Daten, um die Kampagne so erfolgreich wie möglich zu machen. Auch wenn die Marketingabteilung mit grosser Unabhängigkeit agiert, wird Unternehmen ABC grundsätzlich als die für die Verarbeitung Verantwortliche betrachtet, da die Werbekampagne von dem Unternehmen initiiert wird und im Rahmen ihrer Geschäftstätigkeit sowie für ihre Zwecke erfolgt.

• «entscheidet (determines)»: Es sei entscheidend, ob resp. welchen Einfluss und welche Entscheidungsgewalt ein potentieller Verantwortlicher habe. Für die Beurteilung, wer dieser «determining body» ist, weist die EDSA darauf hin, dass dies vielmehr eine faktische als eine formelle Analyse ist, wobei grundsätzlich zwei Kategorien von Situationen unterschieden werden können.

Einerseits könne sich die Position des Verantwortlichen oder die entsprechend definierenden Kriterien direkt aus rechtlichen Normen der EU oder eines Mitgliedsstaates ergeben. Andererseits und insbesondere dann, wenn eine Orientierung an den rechtlichen Normen nicht möglich ist, könne und müsse bei der Evaluation der datenschutzrechtlichen Rolle auf die faktischen Umstände, d.h. insbesondere auf die faktische Einflussnahme auf die fragliche Datenverarbeitung, abgestellt werden. Ferner gebe es gewisse Verarbeitungstätigkeiten, die von Natur aus jeweils einer Verarbeiterin zugewiesen werden können, sodass diese aus datenschutzrechtlicher Sicht als verantwortlich gelte (z.B. ein Arbeitgeber, der personenbezogene Daten von Mitarbeitern verarbeitet, ein Verleger, der personenbezogene Daten über seine Abonnenten verarbeitet oder ein Verein, der personenbezogene Daten über seine Mitglieder verarbeitet). In Verhältnissen, welche nicht ohne Weiteres eine Zuweisung der Verantwortlichkeit zulassen, könne die vertragliche Grundlage dazu dienen, um zu erörtern, welche Vertragspartei die tatsächliche Entscheidungsgewalt bezüglich der Verarbeitung von personenbezogenen Daten innehabe. Sofern die datenschutzrechtlichen Rollen bzw. Verantwortlichkeiten im Vertrag definiert werden – was in der Praxis sehr verbreitet ist – könne an dieser vertraglichen Zuweisung der Verantwortlichkeit festgehalten werden, sofern keine berechtigten Zweifel an deren Fehlerhaftigkeit bestünden (vgl. dazu auch Fälle wie «Fashion ID», MLL-News vom 16.8.2019).

• «allein oder gemeinsam mit anderen (alone or jointly with others)»: Mit diesem Element soll gemäss EDSA klargestellt werden, dass verschiedene Einheiten («entities») gleichzeitig als Verantwortliche für die gleiche Datenverarbeitung eingestuft werden können. Auf die entsprechenden Kriterien diesbezüglich wird weiter unten eingegangen.
   
• «Zwecke und Mittel (the purposes and means)»: Dabei gehe es direkt um den Zweck und die Mittel der konkreten Datenverarbeitung. Da die DSGVO vorgebe, dass Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden dürfen, welche damit unvereinbar wäre, sei die Bestimmung von Zweck und Mittel besonders wichtig. Grundsätzlich bedeute das Bestimmen von Zweck und Mittel, das Entscheiden über das Warum («why») und Wie («how»), wobei der Umfang der Einflussnahme darüber entscheidet, wer für die Verarbeitung verantwortlich sei. Gleichzeitig bedeute dies aber auch, dass ein Verantwortlicher über beides, Zweck und Mittel, entscheiden muss und beispielsweise nicht nur den Zweck vorgeben kann.

In der Praxis sei es so, dass Verantwortliche oft Auftragsverarbeiter engagieren und Entscheidungen delegieren. Dabei stelle sich die Frage, welche Entscheidungen delegiert werden können und welche Entscheidungen zwingend beim Verantwortlichen verbleiben müssen. Für diese Frage wird in den Leitlinien unterschieden zwischen sog. «essential means» und sog. «non-essential means», wobei Entscheidungen über Letztere grundsätzlich dem Auftragsverarbeiter überlassen werden können. Als «essential means» werden Entscheidungen betrachtet, welche die Zwecke («purpose») und den Umfang («scope») einer Datenverarbeitung betreffen. Als Kategorien solcher Fragen werden etwa die Fragen nach dem Typ der Daten, der Dauer eines Prozesses, oder wer darauf Zugriff haben soll, angegeben. «Non-essential means» wiederum betreffen die praktischen Fragen der konkreten Umsetzung.

• «der Verarbeitung von personenbezogenen Daten (of the processing of personal data)»: Dies bedeutet gemäss dem EDSA, dass Zweck und Mittel, welche durch den Verantwortlichen definiert wurden, mit der Verarbeitung von personenbezogenen Daten in Verbindung stehen müssen.

Als Beispiel eines Verantwortlichen wird in den Leitlinien die Situation erwähnt, in welcher ein Arbeitgeber A den Dienstleister B mit der Abwicklung von Lohnzahlungen beauftragt. A als Verantwortlicher gibt B dabei klare Instruktionen bezüglich der Zahlungen, der Speicherung von Daten, den Informationen, welche an eine Steuerbehörde weitergegeben werden können etc. Gleichzeitig verbleiben bei B als Auftragsverarbeiter gewisse konkrete Umsetzungsentscheidungen.

Gemeinsam für die Verarbeitung Verantwortliche

Wie oben ausgeführt, können auch mehrere Personen in einem Datenverarbeitungsprozess gemeinsam als Verantwortliche auftreten. Die Grundlagen dazu finden sich in Art. 26 DSGVO:

«Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.»

Der EDSA betont dabei, dass nicht jede Datenbearbeitung, welche verschiedene Beteiligte umfasse, automatisch zu einer gemeinsamen Verantwortung führe, sondern entscheidend sei die faktische gemeinsame Bestimmung über Zweck und Mittel. Ebenso sei es möglich, dass verschiedene Beteiligte die gleichen Daten verarbeiten, aber aufgrund mangelnder gemeinsamer Bestimmung über Zwecke und Mittel keine gemeinsam Verantwortliche im Sinne der DSGVO sind. Schliesslich gelte auch hier, dass die Beurteilung einer gemeinsamen Verantwortlichkeit vielmehr auf einer faktischen als einer normativen Analyse basieren solle.

Das für die Zusammenarbeit grundsätzlich entscheidende Kriterium sei, ob eine gemeinsame Beteiligung (sog. «joint participation») an den Entscheidungen bezüglich der Zwecke und Mittel bestehe. Dabei erläutert der EDSA Folgendes:

• Eine Joint Participation durch gemeinsame Entscheidungen («common decision») in Anlehnung an Art. 26 DSGVO bedeute gemeinsames Entscheiden («deciding together») und beinhalte, dass eine gemeinsame Absicht («common intention») bestehe.
   
• Eine Joint Participation durch konvergierende Entscheidungen («converging decisions») liege dann vor, wenn sich die beiden Entscheidungen gegenseitig ergänzen, aber beide notwendig seien, damit die Datenverarbeitung stattfinden könne.
   
• Bezugnehmend auf Entscheidungen des Europäischen Gerichtshofs wird ferner ausgeführt, dass zwei Verantwortliche nur für diese Prozesse zu gemeinsamen Verantwortlichen werden, für welche sie tatsächlich gemeinsam über die Zwecke und Mittel entscheiden, nicht aber für andere (vgl. den Fall des Facebook-Like-Buttons, MLL-News 10.8.2019). Ausserdem bedeute gemeinsame Verantwortlichkeit nicht zwingend, dass beide Einheiten gleich viel Verantwortung tragen, sondern dies hänge von den Umständen, wie beispielsweise unterschiedlicher Beteiligung in unterschiedlichen Phasen einer Verarbeitung ab. Auch der Umstand, dass eine der Parteien keinen Zugriff auf die personenbezogenen Daten hat, führe allein nicht zum Ausschluss der gemeinsamen Verantwortlichkeit.

In Bezug auf den gemeinsam definierten Zweck, führt der EDSA ferner aus, dass in der Regel dann ein gemeinsamer Zweck vorliege, wenn dieser gemeinsam definiert wurde. Allerdings könne auch eine gemeinsame Verantwortlichkeit vorliegen, wenn der Zweck nicht genau der gleiche ist, aber wenn Zwecke vorliegen, die sehr nahe beieinanderliegen oder komplementär sind (vgl. den Fall der Facebook-«Fanpages», MLL-News vom 17.6.2018).

Weiter wird in den Leitlinien auf die gemeinsamen Mittel eingegangen. Grundsätzlich liege eine gemeinsame Verantwortlichkeit vor, wenn beide Beteiligten Einfluss auf die Mittel einer Verarbeitung ausgeübt haben. Dennoch bedeute dies nicht, dass alle Entscheidungen bezüglich der eingesetzten Mittel gemeinsam gefällt werden müssen, sondern es genüge, wenn unterschiedliche Einheiten zu unterschiedlichen Zeitpunkten innerhalb einer Verarbeitung involviert sind. Es sei ausserdem zu betonen, dass die alleinige Nutzung eines gemeinsamen Datenverarbeitungssystems noch nicht dazu führe, dass die Einheiten unbesehen als gemeinsam Verantwortliche qualifizieren.

Dieser letzte Punkt wird in den Leitlinien etwa am Beispiel eines Reisebüros illustriert. Schickt ein Reisebüro die Daten seiner Kunden an eine Fluggesellschaft und eine Hotelkette, damit diese jeweils entsprechend Buchungen bestätigen können, verarbeiten alle drei Parteien die gleichen Daten, bilden aber deswegen noch keine gemeinsam Verantwortliche.

Der EDSA illustriert anhand eines weiteren Beispiels, dass die Nutzung derselben IT-Infrastruktur, nicht automatisch eine gemeinsame Verantwortlichkeit zur Folge hat: Unternehmen XYZ betreibt eine Datenbank und stellt diese anderen Unternehmen zur Verfügung, um die personenbezogenen Daten ihrer Mitarbeiter zu verarbeiten und zu speichern. Unternehmen XYZ ist Auftragsverarbeiter in Bezug auf die Verarbeitung und Speicherung von Mitarbeiterdaten anderer Unternehmen, da diese Vorgänge im Namen und nach den Anweisungen dieser anderen Unternehmen durchgeführt werden. Darüber hinaus verarbeiten die anderen Unternehmen die Daten ohne jegliche Beteiligung von Unternehmen XYZ und für Zwecke, die in keiner Weise von Unternehmen XYZ geteilt werden.

Auftragsverarbeiter («Processor»)

Der Auftragsverarbeiter ist in Art. 4 Ziff. 8 wie folgt definiert:

«Auftragsverarbeiter» [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.»

Wie bereits bei der Definition des Verantwortlichen, kann diese Definition verschiedene Arten von Akteuren umfassen. Gemäss dem EDSA sind die beiden grundlegenden Kriterien für die Qualifikation als Auftragsverarbeiter die Folgenden:

• «Gesonderte Einheit (separate entity)»: Dies bedeute, dass ein Verantwortlicher die gesamten oder Teile seiner Verarbeitungsaktivitäten extern ausgelagert hat (z.B. auch an eine Tochtergesellschaft). Entscheidet sich ein Verantwortlicher dafür, Verarbeitungstätigkeiten innerhalb des eigenen Unternehmens selbst vorzunehmen (z.B. durch eine Abteilung), liege damit grundsätzlich keine Situation eines Auftragsverarbeiters vor.
   
• «im Auftrag des Verantwortlichen (on the controllers behalf)»: Dies bedeute erstens, dass Verarbeitungen zugunsten des Verantwortlichen vorgenommen werden, wobei alle möglichen (Verarbeitungs-)Handlungen in Frage kommen. Zweitens müssten die Handlungen im Auftrag des Verantwortlichen erfolgen, allerdings nicht unter seiner direkten Kontrolle. Handeln «im Auftrag von» bedeute, dem Interesse eines anderen zu dienen, und erinnere an den Rechtsbegriff der «Delegation». Die Frage der Rechtmässigkeit der Verarbeitung werde deshalb auch aus der Tätigkeit des Verantwortlichen abgeleitet und der Auftragsverarbeiter darf Daten nicht anders als nach den Weisungen des Verantwortlichen bearbeiten. Insbesondere dürfe er keine Verarbeitung für seine eigenen Zwecke durchführen.

In den Leitlinien wird schliesslich ausgeführt, dass nicht jeder Service Provider, welcher im Rahmen seines Services personenbezogene Daten verarbeitet, auch ein Auftragsverarbeiter ist, sondern für die die entsprechende Einstufung die vorhergehend erläuterten Aspekte ausschlaggebend sind.

Als Beispiel eines Auftragsverarbeiters wird ein Call Center (B) erwähnt, welches für ein Unternehmen (A) die Beantwortung der Fragen der Kunden übernimmt. Unternehmen A lagert diesen Prozess also auf Unternehmen B aus. B bekommt dabei Zugriff auf die entsprechenden Daten von A und wird als Auftragsverarbeiter eingestuft.

Dritter («third party») und Empfänger («recipient»)

Schliesslich wird in den Leitlinien noch auf Dritte und Empfänger eingegangen. Ein Dritter wird in Art. 5 Ziff. 10 DSGVO folgendermassen definiert:

«Dritter» [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, ausser der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.»

Als Beispiel nennen die Leitlinien die Situation, dass ein Verantwortlicher einem Auftragsverarbeiter den Auftrag gibt, Daten an einen weiteren Beteiligten zu transferieren. Letzterer würde dann als Dritter betrachtet. Dieser Dritte gilt dann für die Verarbeitung, die er für eigene Zwecke durchführt, als Verantwortlicher. In diesem Zusammenhang sei insbesondere zu beachten, dass innerhalb einer Unternehmensgruppe ein anderes Unternehmen als der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ein Dritter ist, auch wenn er derselben Unternehmensgruppe wie das Unternehmen, welches als für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter tätig ist, angehört.

Als Praxisbeispiel führen die Leitlinien das Beispiel eines Reinigungsinstituts an: Unternehmen A schliesst einen Vertrag mit einem Reinigungsinstitut zur Reinigung ihrer Büros ab. Die Reinigungskräfte dürfen nicht auf personenbezogene Daten zugreifen oder diese anderweitig verarbeiten. Die Reinigungskräfte sind zudem weder bei A beschäftigt, noch ist A direkt weisungsbefugt. Das Reinigungsinstitut und seine Mitarbeitenden seien daher als Dritte zu qualifizieren. Darum müsse A (als der für die Verarbeitung Verantwortlicher) sicherstellen, dass angemessene Massnahmen getroffen würden, um den Zugang zu personenbezogenen Daten zu verhindern.

Neben den Dritten kann es auch sog. Empfänger von personenbezogenen Daten geben. Als Empfänger definiert die DSGVO in Art. 4 Ziff. 9:

«Empfänger» [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäss den Zwecken der Verarbeitung.»

Die Definition umfasse damit grundsätzlich alle Beteiligten, welchen personenbezogene Daten offengelegt werden, unabhängig davon, ob sie als Dritte eingestuft werden oder nicht. Gemäss dem EDSA gelte ein Empfänger als selbst für die Verarbeitung verantwortlich, sofern er die personenbezogenen Daten nach deren Erhalt für eigene Zwecke verarbeite.

Folgen der datenschutzrechtlichen Rollen

Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter

Grundsätzlich hat der Verantwortliche die Pflicht, nur Auftragsverarbeiter auszuwählen, welche eine genügende Garantie bieten, angemessene technische und organisatorische Massnahmen einzuhalten. Das Assessment, welches der Verantwortliche dabei vorzunehmen hat, hänge stark vom Einzelfall ab. Gemäss dem EDSA sind beim Assessment eines Auftragsverarbeiters relevante Dokumentationen zu konsultieren (z.B. Datenaufbewahrungs- oder Datensicherheits-Richtlinie, Auditreports oder ISO-Zertifizierungen) und insbesondere die folgenden Elemente zu betrachten: Expertenwissen, Verlässlichkeit, Ressourcen und u.U. auch die Reputation im Markt.

Jedes Verarbeiten von personenbezogenen Daten durch einen Auftragsverarbeiter muss nach der DSGVO durch einen schriftlichen Vertrag (inkl. elektronische Form) gedeckt sein (vgl. Art. 28 Abs. 3 DSGVO). Dabei können Verantwortliche und Auftragsverarbeiter grundsätzlich ihren eigenen Vertrag aushandeln, dieser muss jedoch mindestens den entsprechenden Anforderungen der DSGVO genügen. Der EDSA weist aber auch daraufhin, dass das Ungleichgewicht bei der Verhandlungsmacht eines kleinen Verantwortlichen gegenüber grossen Dienstleistungsanbietern nicht als Rechtfertigung dafür gilt, um Klauseln zu akzeptieren, die nicht mit dem Datenschutzrecht in Einklang stehen. Der Verantwortliche müsse die Vertragsbedingungen eigenständig bewerten, und sofern er sie aus freien Stücken akzeptiere und die Dienstleistung in Anspruch nehme, habe er auch die volle Verantwortung für die Einhaltung der DSGVO übernommen.

Konkret muss ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter gemäss ESDA mindestens die folgenden Aspekte umfassen: Inhalt der Verarbeitung, Dauer, Art und Zweck, Art der personenbezogenen Daten, Kategorien von Betroffenen, Rechte und Pflichten des Verantwortlichen.

Des Weiteren seien es die folgenden Inhalte, welche ein Vertrag aufgreifen müsse (vgl. Art. 28 Abs. 3 DSGVO).

• Der Auftragsverarbeiter darf nur aufgrund von dokumentierten Weisungen des Verantwortlichen personenbezogene Daten verarbeiten (vorbehältlich gesetzlicher Vorschriften in EU-Mitgliedstaaten).
   
• Der Auftragsverarbeiter muss garantieren, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
   
• Der Auftragsverarbeiter muss Art. 32 DSGVO einhalten. Dies bedeutet insbesondere, dass der Auftragsverarbeiter alle erforderlichen technischen und organisatorischen Sicherheitsmassnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen treffen muss.
   
• Der Vertrag muss konkretisieren, dass ein Auftragsverarbeiter ohne die vorhergehende Erlaubnis des Verantwortlichen keine anderen Personen (sog. Subunternehmer) mit der Verarbeitung beauftragen darf. Im Falle einer generellen Erlaubnis für das Beiziehen weiterer Personen, muss der Verantwortliche über entsprechende Wechsel informiert werden.
   
• Der Verantwortliche muss den Auftragsverarbeiter dabei unterstützen, Anträge von betroffenen Personen nachzukommen, welche ihre Rechte unter der DSGVO wahrnehmen (z.B. ihr Auskunftsrecht).
   
• Der Verantwortliche muss den Auftragsverarbeiten bei den Anforderungen, welche sich aus Art. 32 bis 36 DSGVO ergeben, unterstützen. Dazu gehören u.a. die Meldung von Datenschutzverletzungen an Aufsichtsbehörden innert der vorgeschriebenen Frist oder aber die Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen.
   
• Der Auftragsverarbeiter muss nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben (vorbehältlich Aufbewahrungspflichten in EU-Mitgliedstaaten).
   
• Dem Verantwortlichen müssen alle Informationen, welche notwendig sind, um die entsprechenden Anforderungen aus der DSGVO einzuhalten, zur Verfügung gestellt werden.
   
• Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich darüber informieren, wenn er der Meinung ist, dass eine Instruktion gegen die DSGVO, EU-Recht oder das Recht eines Mitgliedsstaates verstösst.

Folgen einer gemeinsamen Verantwortlichkeit

In den Leitlinien wird schliesslich auf die Folgen einer gemeinsamen Verantwortlichkeit eingegangen. Dabei sind insbesondere die folgenden Aspekte zu hervorzuheben:

• In Anlehnung an Art. 26 DSGVO sei es Aufgabe der gemeinsamen Verantwortlichen unter sich zu definieren, wer für welche Verarbeitung zuständig ist.
   
• Insbesondere und sofern nicht durch das Recht der Mitgliedsstaaten bereits definiert, müssen die gemeinsam Verantwortlichen definieren, wer welchen Informationspflichten gegenüber den betroffenen Personen nachkommt.
   
• Die gemeinsam Verantwortlichen verfügen über eine gewisse Flexibilität bei der Aufteilung der Pflichten, solange die Anforderungen der DSGVO erfüllt werden. Ausserdem sei es nicht notwendig, dass die Pflichten zwischen den Verantwortlichen gleichmässig verteilt werden.
   
• Der EDSA empfiehlt, dass zwischen den gemeinsam Verantwortlichen ein bindender Vertrag abgeschlossen wird, dessen wesentlicher Inhalt der betroffenen Person (z.B. durch Veröffentlichung oder zumindest auf Antrag) zur Verfügung gestellt werden muss.
   
• Ferner wird in den Leitlinien darauf hingewiesen, welche Aspekte zwischen den gemeinsam Verantwortlichen geregelt werden müssen (vgl. Art. 26 DSGVO).

Als Hilfsmittel für datenverarbeitende Stellen finden sich im Anhang zu den Leitlinien Flowcharts. Diese sollen die datenverarbeitenden Stellen bei der Abklärung ihrer eigenen Rolle, aber ggf. auch derjenigen von Dritten, unterstützen.

Fazit und Ausblick

Die EDSA-Leitlinien stellen – mit vielen praxisnahen Beispielen – eine gute Orientierungshilfe für die oftmals schwierigen Abgrenzungsfragen dar, welche Partei Verantwortliche und welche Auftragsverarbeiterin ist oder ob ggf. sogar eine gemeinsame Verantwortlichkeit vorliegt. Selbst wenn die Leitlinien keine rechtlich bindende Wirkung entfalten, sind sie ein weitreichend akzeptiertes Hilfsmittel für die Bestimmung der datenschutzrechtlichen Rollen. Bei der Planung von Datenbearbeitungsprozessen mit mehreren beteiligten Unternehmen, sollte stets darauf Rücksicht genommen werden, dass die faktischen Umstände für die datenschutzrechtliche Rollenverteilung – und somit die rechtliche Verantwortlichkeit – entscheidend sind. Demzufolge sind die Leitlinien nicht nur bei der vertraglichen Ausgestaltung, sondern insbesondere bei der technischen Umsetzung von Datenverarbeitungsprozessen zu beachten.
 

Weiterführende Informationen:

• EU-Datenschutzgrundverordnung (DSGVO)
• EDSA Leitlinien zu den Konzepten des Verantwortlichen und des Auftragsverarbeiters (7. Juli 2021, Version 2.0)
• WP29-Leitlinien vom 16. Februar 2010