Vereinbarung nach Art. 26 oder Art. 28 DS-GVO?

Vereinbarung nach Art. 26 oder Art. 28 DS-GVO?


Bewirkt eine falsche Zuordnung trotz Vorliegen einer Vereinbarung zwangsläufig die Rechtswidrigkeit der Datenverarbeitung? Jede und Jeder hat es schon erlebt: Geprüft werden Datenverarbeitungen, an denen verschiedene verantwortliche Stellen beteiligt sind. Am schönsten ist es natürlich, wenn die Prüfung gesetzeskonform vor Beginn der Verarbeitungen erfolgen kann. Oft fällt es dann schwer zu entscheiden – und ist vielleicht auch zwischen den beteiligten Stellen strittig – wie die Rollen verteilt sind:

Gemeinsame Verarbeitung, weil mehrere Verantwortliche personenbezogene Daten für einen gemeinsamen Zweck verarbeiten oder jedenfalls gemeinsam personenbezogene Daten verarbeitet werden, wenn auch teils für verschiedene Zwecke? Oder doch Auftragsverarbeitung, bei der ein Dienstleister die Datenverarbeitung nach den Weisungen des Auftraggebers erledigt? In der Praxis gilt bekanntlich: Je komplexer die Dienstleistung, desto weitgehender wird die Art und Weise der Datenverarbeitung vom Dienstleister geprägt und vom Auftraggeber „nur akzeptiert“. Oder hat der Dienstleister eventuell „mehrere Hüte auf“, nämlich den des Auftragsverarbeiters, bei bestimmten Verarbeitungszwecken aber auch den der eigenverantwortlich agierenden Stelle?


Zuordnung muss dokumentiert getroffen werden

Tatsächlich lassen sich nicht alle Anwendungsfälle momentan sicher und eindeutig zuordnen. Auch die Rechtsprechung – insbesondere der Europäische Gerichtshof (EuGH) – wird in den nächsten Jahren zwar einige zweifelhafte Konstellationen klären, aber nicht umfassend jeden Zweifel ausräumen. Schon jetzt und auch in Zukunft gilt sinnvollerweise: Geschuldet ist eine sorgfältige, ergebnisoffene Prüfung und jedenfalls eine Vereinbarung in Textform zwischen den Beteiligten, welche die Datenschutzpflichten klar regelt.

Diese Vorgehensweise verträgt sich bestens mit der EuGH-Entscheidung vom 04.05.2023 (Az. C-60/22): Der EuGH hatte zu klären, ob bei unzutreffender oder fehlender Vereinbarung für eine gemeinsame Verantwortung schon dieser formale Mangel dazu führt, sämtliche zugehörige Datenverarbeitungen als rechtswidrig zu beachten. Er hat diese Frage verneint. Das heißt: Wer bei Verarbeitungen in gemeinsamer Verantwortung (nichts anderes gilt dann bei Auftragsverarbeitungen) die gesetzlich vorgeschriebene Vereinbarung in Textform gar nicht oder nur fehlerhaft erstellt, verletzt das Datenschutzrecht und begeht eine Ordnungswidrigkeit. Der formale Fehler führt aber nicht zwingend zur materiellen Rechtswidrigkeit aller zugehörigen Datenverarbeitungen. Diese sind vielmehr rechtlich nach den allgemeinen Grundsätzen, dem Vorhandensein einer Rechtsgrundlage – z.B. Einwilligung oder Gesetz –, die Einhaltung der Grundsätze der Datenverarbeitung sowie die Gewährleistung ausreichender technischer und organisatorischer Maßnahmen zu prüfen.


Umsetzung in der Praxis

Praktische Empfehlung für die eingangs genannten Zweifelsfälle also: Vereinbarung in Textform treffen und Pflichten verteilen. Ob man sich bei der Überschrift („Vereinbarung zur gemeinsamen Verarbeitung“, „Vereinbarung zur Auftragsverarbeitung“ etc.) vergriffen hat, ist weniger (weit weniger) wichtig als die Rechtsgrundlage der Verarbeitung und ausreichende Datensicherheit. Wenn der Streit über die Verarbeiter-Rollen also gar nicht formal lösbar ist, darf der Vertragstitel z.B. auch lauten „Datenschutz-Vereinbarung“. Der Folgefehler einer falschen Dokumentation (z.B. Verzeichnis der Verarbeitungstätigkeiten als Auftragsverarbeiter anstelle Verantwortlicher) führt ebenfalls nicht zu einer Rechtswidrigkeit der einzelnen Verarbeitung und auch nicht etwa zu einem Löschanspruch der betroffenen Personen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.