(DEU) Gemeinsame Verantwortlichkeit - Tipps zur Vereinbarung

Thomas Reisinger | 24.November 2019

Gemeinsame Verantwortlichkeit - genau dann, wenn beide etwas mit den personenbezogenen Daten machen und zwar völlig unabhängig von einander. Benötigt wird in diesem Fall eine so genannte Artikel 26 Vereinbarung. Wie diese aussehen soll hat das Amtsgericht Mannheim jetzt etwas genauer "spezifiziert".
Man nehme eine AVV (Auftragsverarbeiter Vereinbarung) und ergänze diese um die fehlenden Details ....

Eine Neuigkeit, welche die DSGVO mit sich brachte ist die sogenannte "Gemeinsame Verantwortlichkeit", welche in Artikel 26 DSGVO geregelt wird. Gemeint sind hiermit Konstellationen in denen zwei (oder mehr) Verantwortliche miteinander eine Datenverarbeitung durchführen. Anders als im Fall der Auftragsverarbeitung nach Artikel 28 DSGVO (welche sich regelmäßig bei Lieferanten findet) agieren hierbei die Beteiligten auf Augenhöhe unterliegt der andere Verantwortliche keinem Weisungsrecht.
In der Praxis bringen diese Konstellationen zwei Probleme mit sich: einerseits überhaupt die Feststellung wann eine solche "gemeinsame Verantwortung" vorliegt, andererseits die Notwendigkeit eine entsprechende Artikel 26 Vereinbarung abzuschließen. Mangels entsprechender Mustervorlagen herrscht hier oftmals Ratlosigkeit hinsichtlich der Ausgestaltung einer solchen Vereinbarung. Die erste Frage wird noch relativ lange ungelöst bleiben. Hinsichtlich der zweiten Frage gibt es jedoch mittlerweile ein Urteil des AG Mannheims, welches diese Thematik durchaus elegant löst:

Nach Ansicht des AG Mannheims ist es nämlich zulässig eine Artikel 26 Vereinbarung inhaltlich an einer Artikel 28 Vereinbarung (auch bekannt als Auftragsverarbeitervereinbarung, AVV oder Auftragsdatenvereinbarung, ADV) zu orientieren und die von Artikel 26 DSGVO verlangten zusätzlichen Kriterien zu ergänzen.

Diese zusätzlichen Kriterien sind im Wesentlichen eine Regelung darüber wie Betroffene ihre Rechte (Auskunftsrecht, Löschrecht, etc...) bei den beteiligten Verantwortlichen regeln, sowie welcher Beteiligte welche Betroffenen gemäß Artikel 13. 14 DSGVO informiert.

Praxistipp: nachdem die DSGVO vorsieht, dass Betroffene ihre Rechte bei allen Verantwortlichen geltend machen können, empfiehlt es sich auch für diesen Fall eine Regelung vorzusehen.

Eine weiteres zusätzliches Kriterium, welches nach Meinung des AG Mannheims erforderlich ist, ist eine Regelung hinsichtlich der Haftung im Innenverhältnis zu treffen, sodass klar ist welcher Verantwortliche einen Verstoß gegen die DSGVO letztlich zu tragen hat. In Bezug auf das Außenverhältnis vertritt das AG Mannheim nämlich - leider ohne nähere Begründung und auch in obskurer Formulierung - die Ansicht, dass zu gleichen Teilen gehaftet wird. Auf "gut deutsch" formuliert ist hiermit eine Solidarhaftung gemeint: also, dass jeder Verantwortliche der Behörde bzw. den Betroffenen gegenüber zur Gänze haftet. Eine Geldbuße aufgrund eines (schuldhaften) Verstoßes bei Verantwortlichen A kann also in voller Höhe gegen den Verantwortlichen B verhängt werden.

Obgleich die Argumentation des AG Mannheims nicht in allen Punkten überzeugend ist und auch die ein oder andere Frage noch offen lässt, sollte die praktische Bedeutung für diesen Bereich der DSGVO nicht unterschätzt werden. Weiters können die Vorgaben des AG Mannheims auch durchaus hierzulande angewendet werden, da dies im Rahmen der Privatautonomie zulässig ist.

Links zum Artikel

Delegedata
Urteil des AG Mannheim (Kurzfassung)

---