Nachdem ich vor einiger Zeit über die Notwendigkeiten und Nicht-Notwendigkeiten von AV-Verträgen geschrieben hatte und der Beitrag bei Google mittlerweile erstaunlich hoch ranked (offenbar gibt es doch genügend Unsicherheit um AV-Veträge…), wird es Zeit für Nachschub: Dieses Mal soll es um ein noch schwammigeres Thema gehen: das ominöse Joint Controllership Agreement!
Was ist ein Joint Controllership Agreement?
Dieses zumeist recht unbekannte Vehikel (meist kurz JCA genannt) hat der Gesetzgeber recht unauffällig in Art. 26 DSGVO versteckt, dort verweilt es gemeinsam mit anderen Vorschriften zu allgemeinen Pflichten von Verantwortlichen. Aber was verbirgt sich nun dahinter? Wir gehen rein.
Spannenderweise kommt eine gemeinsame Verarbeitung ganz automatisch zustande, nämlich genau dann, wenn min. zwei verantwortliche Stellen (idR. also Unternehmen) gemeinsam Zweck und Mittel einer Verarbeitung festlegen. Denn dann bekommt man automatisch als kleines Geschenk auch die gemeinsame Verantwortung dazu und muss nun regeln, wie diese ausgestaltet werden soll.
Was bedeutet das?
Üblicherweise ist eine verantwortliche Stelle zuständig dafür, eine Verarbeitung durchzuführen. D.h. sie informiert Betroffene, kümmert sich um technisch-organisatorische Maßnahmen, definiert Verfahren und ist am Ende alleinig verantwortlich für die Verarbeitung. Sind nun mindestens zwei Parteien in eine Verarbeitung involviert, sind sie plötzlich beide gemeinsam haftbar und müssen untereinander regeln, wie sie Informationspflichten, Wahrnehmung von Betroffenenrechten etc. untereinander aufteilen.
Wann ist das der Fall?
Eine gemeinsame Verarbeitung kann z.B. vorliegen, wenn sich mehrere Forschungspartner zusammenschließen, um eine gemeinsame Datenbank mit Probandendaten zu pflegen. Oder wenn mehrere Töchter eines Konzerns Mitarbeitendendaten untereinander austauschen. Oder wenn sich mehrere Kultureinrichtungen entschließen, eine gemeinsame Dauerkarte zu erschaffen, die bei allen beteiligten Einrichtungen Gültigkeit hat und für die personenbezogene Daten gespeichert werden müssen.
Was muss dann beachtet werden?
Wichtig ist nun, sehr klar zu definieren, welche Partei für was zuständig ist und welche Pflichten zu erfüllen sind. Diese gemeinsame Verarbeitung und Aufteilung muss nach Art. 26 Nr. 2 DSGVO auch den tatsächlichen Funktionen der beteiligten Parteien entsprechen und in wesentlichen Zügen den betroffenen Personen bekannt gemacht werden. Das ist aus mehreren Gründen wichtig:
- Betroffene können ihre Rechte nach Art. 26 Nr. 3 DSGVO ungeachtet der Aufteilung von Verantwortlichkeiten bei einem beliebigen Partner des JCA geltend machen. Um in Folge nicht fahrlässig in einen Datenschutzverstoß zu rutschen (z.B. durch unzureichende Löschung) müssen die Prozesse für so einen Fall sehr gut geregelt sein!
- Grundsätzlich haften erst einmal alle Beteiligten eines JCA im Fall eines Datenschutzverstoßes! Das kann zu schweren Problemen führen, wenn nicht im Voraus klar geregelt ist, welcher Partner welche Aufgaben und damit auch welche Haftung übernimmt.
Das zeigt, dass eine gemeinsame Verarbeitung zwar ein mächtiges Instrument ist, das allerdings mit Vorsicht genossen werden sollte, da das Risiko und damit der Regelungsaufwand insgesamt häufig sehr groß ist! Und tatsächlich liegt eine gemeinsame Datenverarbeitung wirklich in den seltensten Fällen vor – bei näherer Betrachtung eines Sachverhalts ist es nämlich doch meistens eher ein dominierender Partner, der Zweck und Mittel einer Verarbeitung festlegt, wodurch das Thema JCA automatisch keine Anwendung mehr findet.
Welche Alternativen zu einem JCA gibt es?
Zeit für eine kleine Einordnung des JCAs in die restliche Materie: Denn sowohl AV-Vertrag als auch JCA sind Instrumente, die eigentlich viel zu häufig verwendet werden und gar nicht für den vorliegenden Anwendungsfall konzipiert sind. Doch welche Fälle gibt es eigentlich?
Fall 1: klassische Auftragsverarbeitung
Damit eine Auftragsverarbeitung vorliegt, muss eine verantwortliche Stelle – hier ein Unternehmen – Daten einer betroffenen Person erheben, ggf. verarbeiten und nun an einen Auftragsverarbeiter außerhalb des eigenen Verantwortungsbereichs weitergeben. Die verantwortliche Stelle ist – wie der Name schon sagt – weiterhin verantwortlich (und erklärt das per Datenschutzerklärung „DSE“ der betroffenen Person) und trägt damit die Haftung, hat allerdings nicht mehr die volle Kontrolle über die Verarbeitung. In diesem Fall regelt ein AV-Vertrag die Art und Weise, wie der Auftragsverarbeiter mit den Daten umzugehen hat und nimmt ihn damit in geeigneter Menge im Innenverhältnis mit in die Verantwortung bzw. Haftung. Damit ein AV-Vertrag hier Anwendung finden kann, darf der Verarbeiter nicht selbst verantwortliche Stelle sein (dann würde er ohnehin selber haften) und muss aber selbst in eigener Regie die ihm übergebenen personenbezogenen Daten verarbeiten (würden sie weiterhin in der Kontrolle der verantwortlichen Stelle verbleiben, hätte der AV-Vertrag ja sonst nichts zu regeln).
Im Zuge dieser Verarbeitung kann es auch dazu kommen, dass der Auftragsverarbeiter weiterhin selbst Daten bei der betroffenen Person erhebt! Tut er dies, muss das ebenfalls durch die Datenschutzerklärung der verantwortlichen Stelle abgedeckt sein.
Fall 2: eigene Verarbeitung (NDA)
In vielen Fällen kommt es vor, dass Dritte zwar mit personenbezogenen Daten einer verantwortlichen Stelle in Kontakt kommen, diese aber gar nicht den Verantwortungsbereich des Unternehmens verlassen. Das kann z.B. der Fall sein, wenn ein IT-Unternehmen eine Software innerhalb des Unternehmens betreut und z.B. bei Wartungsarbeiten mit Nutzerdaten in Kontakt kommt. Oder wenn Beratungsunternehmen im Zuge ihrer Beratung Einblick in personenbezogene Daten erhalten. Alles legitime Fälle – allerdings kein Anwendungsfall für einen AV-Vertrag! Da die verantwortliche Stelle weiterhin die volle Kontrolle über die Verarbeitung hat (oder zumindest haben sollte…), kann hier zur Absicherung der eigenen Verantwortung ein Nondisclosure Agreement (NDA) sinnvoll sein, in welchem geregelt wird, dass die personenbezogenen Daten den Bereich der verantwortlichen Stelle nicht verlassen dürfen.
Fall 3: separate Verantwortlichkeit
Genauso häufig kommt es vor, dass für einen bestimmten Zweck zwar Daten an einen Dritten übermittelt werden, dieser allerdings nicht auf Weisung der verantwortlichen Stelle arbeitet, sondern zu eigenen Zwecken. In diesem Fall muss der Dritte – nun selbst als verantwortliche Stelle – selbst mit den betroffenen Personen zwecks Datenschutzerklärung, Betroffenenrechten etc. in Kontakt treten. Zwischen den beiden verantwortlichen Stellen sieht der Gesetzgeber nun keine explizite Notwendigkeit für Regelungen vor – das primäre Unternehmen muss die Weitergabe der Daten dem Nutzer gegenüber allerdings bekannt machen (und u.a. darauf achten, ob der Dritte innerhalb der EU bzw. eines Landes mit Angemessenheitsbeschluss verarbeitet oder nicht).
Fall 4: gemeinsame Verarbeitung (JCA)
Zur Abgrenzung sei auch hier zuletzt noch der Fall einer gemeinsamen Verarbeitung erwähnt: Zwei oder mehrere Unternehmen entscheiden sich, eine gemeinsame Verarbeitung durchzuführen. In diesem Fall können beide Unternehmen Daten bei Betroffenen erheben (sie müssen allerdings untereinander klären, welcher Partner die Information des Betroffenen übernimmt). Sie müssen nun mittels Joint Controllership Agreement untereinander regeln, wie Aufgaben und Zuständigkeiten untereinander geregelt sind. Im Außenverhältnis sind alle Partner z.B. im Falle eines Datenschutzverstoßes gesamtschuldnerisch haftbar – sie sind also gut beraten, die Haftung im Innenverhältnis möglichst klar zu regeln.
Achtung: Fällt die Regelung im Innenverhältnis allerdings eher als „ich erhebe, du verarbeitest“ aus, finden wir uns schnell im Fall 1 wieder. Fällt die Regelung eher als „ich verarbeite meine Daten, du verarbeitest deine Daten“ aus, befinden wir uns wahrscheinlich eher im Fall 3.
Fazit
Bei der Verarbeitung personenbezogener Daten finden sich viele unterschiedliche Konstellationen – nur in wenigen Fällen handelt es sich dabei wirklich um eine gemeinsame Datenverarbeitung. Andersherum sollte dieses Instrument auch nur in sehr gut überlegten Fällen zum Einsatz kommen, da die gesamtschuldnerische Haftung im Außenverhältnis sehr klar auf die beteiligten Partner verteilt sein muss, was häufig nicht ganz einfach ist. Auch das Instrument des AV-Vertrages kommt nur bei bestimmten Situationen zum Einsatz, häufig reicht hier nämlich auch ein NDA oder es liegt ohnehin eine eigene Verarbeitung vor.
