Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für IT-Recht und Kryptorecht
T (+49) 040 / 7344 086-0
159 Bewertungen
https://www.provenexpert.com/sbs-legal-rechtsanwaelte
91 Bewertungen
https://www.anwalt.de/sbs-legal-rechtsanwaelte
17 Bewertungen
https://www.google.com/search?&q=sbs-legal
14 Bewertungen
https://www.facebook.com/SBS-LEGAL-Rechtsanw%C3%A4lte
Das Joint Controller Agreement ist ein wichtiges Regelungsinstrument im Bereich der datenschutzrechtlichen Verantwortlichkeit von Unternehmen. Was hierunter verstanden wird und welche Anforderungen an eine solche Vereinbarung gestellt werden, erfahren Sie im Folgendem.
Ein Joint Controller Agreement, kurz JCA, bezeichnet eine Vereinbarung über bestimmte Aspekte im Bereich des Datenschutzrechts. Die Besonderheit hierbei ist, dass zwischen den Parteien eine Verbindung durch eine „gemeinsame Verantwortlichkeit“ besteht. Greifen beispielsweise mehrere Unternehmen auf einen Datenpool von personenbezogenen Daten zu, so sind diese gemeinsam für diese Daten verantwortlich. Das darauf bezogene arbeitsteilige Zusammenwirken dieser Verantwortlichen, bezeichnet man als Joint Controllership. Die dahinterstehende Vereinbarung, die bestimmt, wer welche Aufgaben wahrnimmt, ist dann das Joint Controller Agreement.
Eine solche Vereinbarung ermöglicht es, einen normalerweise hohen Arbeitsaufwand gezielt und effektiv zu verteilen. Ein gut ausgestaltetes JCA kann auch beim Thema Risikomanagement Vorteile mit sich bringen.
Ob man als Verantwortlicher zählt oder nicht, bestimmt sich nach den tatsächlichen Gegebenheiten und kann nicht durch vertragliche Vereinbarung bestimmt werden. Wann jemand als verantwortlich zu sehen ist, ergibt sich aus Art. 26 Datenschutzgrundverordnung (DSGVO):
Abzugrenzen ist die Verantwortlichkeit von der reinen Auftragsverarbeitung. Bei einer Auftragsverarbeitung ist das verarbeitende Unternehmen gegenüber dem Auftraggeber weisungsgebunden. Die Verantwortlichkeit liegt sodann beim Auftraggeber. Stehen die Unternehmen jedoch auf einer Stufe und arbeiten gemeinschaftlich mit den Daten, liegt eine gemeinsame Verantwortlichkeit nahe. Diese Situationen sind immer anhand der tatsächlichen Gegebenheiten zu ermitteln. Es ist für die Verantwortlichkeit egal, ob in einem Vertrag eine Bindung an Weisungen geregelt ist, oder nicht. Dies ist lediglich als Indiz zu sehen. Wenn tatsächlich beide Unternehmen weisungsunabhängig agieren, wird einfach auf die tatsächliche Gegebenheit abgestellt. So werden Umgehungsversuche verhindert.
Einer weiteren Abgrenzung bedarf es zu der getrennten Verantwortlichkeit. Eine gemeinsame Verantwortlichkeit liegt nur vor, wenn der Zweck und die Mittel der Datenverarbeitung gemeinsam festgelegt werden. Die Formulierung aus Art. 26 Abs. 1 DSGVO – „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche“ – ist dabei sehr weit formuliert. Bisher gibt es noch keine festen Kriterien, ab wann die Schwelle zu einer gemeinsamen Festlegung überschritten ist. Einige Anhaltspunkte sind der Rechtsprechung des Europäischen Gerichtshofs (EuGH) zu entnehmen. In dieser Rechtsprechung wird es deutlich, dass der EuGH die Verantwortlichkeit sehr weit auslegt und eher geringere Anforderungen an die gemeinsame Festlegung von Mitteln und Zweck stellt. Es soll beispielsweise ausreichen, dass Unternehmen sich über die Mittel einigen und jeweils eigenen Zwecken mit der Datenverarbeitung nachgehen. Es ist für eine gemeinsame Verantwortlichkeit auch nicht erforderlich, dass alle beteiligten im gleichen Umfang Zugriff auf die Daten haben. Im Einzelfall kann es sogar sein, dass jemand gemeinsam verantwortlich ist, obwohl er gar keinen eigenen Zugriff hat und nur mitursächlich für die Datenverarbeitung ist.
Es kann hingegen nicht mehr von einer gemeinsamen Verantwortlichkeit ausgegangen werden, wenn die Zwecke der einzelnen Beteiligten keinen Zusammenhang aufweisen und auch ohne das Mitwirken des anderen erreicht werden können
Liegt eine gemeinsame Verantwortlichkeit vor, so haben die betroffenen Unternehmen ein JCA zu vereinbaren. Das JCA gestaltet dabei die Umsetzung der gemeinsamen Verantwortlichkeit aus. Es Umrahmt den zu regelnden Bereich und legt fest, wer welchen Aufgaben nachkommen soll. Diese Aufgabenverteilung sollte dabei gut durchdacht sein. Verstößt einer der Verantwortlichen gegen seine Aufgabe und verstößt so gegen datenschutzrechtliche Schutzbestimmungen, kann dies zu Geldbüßen führen. Diese Geldbuße trifft dann nicht den nachlässigen Verantwortlichen allein. Durch die gemeinschaftliche Verantwortlichkeit wird eine gesamtschuldnerische Haftung begründet. Diese Haftung greift dabei nicht nur für Geldbußen, sondern auch für Schadensersatzansprüche aufgrund von Verstößen gegen datenschutzrechtliche Regelungen. Es ist daher von erheblicher Bedeutung, ein gut ausgestaltetes und klar verständliches JCA als Basis der Zusammenarbeit zu haben.
Zu Beachten ist, dass das JCA nur die Zusammenarbeit ausgestaltet, aber regelmäßig keine Rechtsgrundlage für die Verarbeitung von Daten darstellt. Für die rechtmäßige Verarbeitung von Daten gelten weiterhin die allgemeinen Vorschriften, vgl. Art 6 ff. DSGVO.
Um zu verhindern, dass ein Haftungsfall entsteht, sollte das JCA ordnungsgemäß gestaltet sein. Für ein JCA gibt es dabei zwingende Inhalte und solche, die für die Unternehmen als sinnvolle Vereinbarungen ergänzt werden können.
Bei einem JCA gibt es Inhalte, die zwingend enthalten und ordnungsgemäß geregelt werden müssen. Andernfalls kann es zu einer Geldbuße für die verantwortlichen Unternehmen kommen. Zu diesen zwingenden Inhalten zählen vor allem:
Eine Vielzahl von individuellen Regelungen kann im Rahmen eines JCA sinnvoll sein, ohne dass diese zwingend sind.
Es kann sich beispielsweise anbieten, im JCA eine klage Abgrenzung zwischen den Daten vorzunehmen, welche in die gemeinsame Verantwortlichkeit fallen, und welche nicht. Wird diese Abgrenzung gut umgesetzt, kann bei einem Datenvorfall sofort ermittelt werden, wen dieser Vorfall genau betrifft. Es kann also Streitigkeit in Haftungsfällen vorbeugen.
Weiter kann sich die Vereinbarung über eine gemeinsame Anlaufstelle für datenschutzrechtliche Angelegenheiten anbieten. So werden Anfragen und Probleme zentral gesammelt und von den dortigen Mitarbeitern an die entsprechenden Stellen weitergeleitet. Für diese Stelle muss dann auch festgelegt werden, an wen welche Fälle weiterzuleiten sind. Dies ist also eine Frage der Prozessoptimierung. Es wird verhindert, dass ungeordnet bei jeder Einzelstelle Anfragen und Probleme auftauchen und jeder Bereich einzeln ermitteln muss, wer eigentlich zuständig ist. Mit einer zentralen Anlaufstelle und gut geschultem Personal, kann dieses Problem schnell gelöst werden.
Um sicherzustellen, dass alle Stellen im gleichen Maße sorgfältig mit den Daten umgehen, kann ein gemeinsamer technischer Standard sowie technisch organisatorische Maßnahmen entwickelt und festgehalten werden. Dies verhindert Streitigkeiten über den konkreten Umgang mit Daten.
Ein weiteres sehr relevantes Thema ist die interne Haftung. Wie bereits dargestellt haften die Verantwortlichen als Gesamtschuldnern. Auch wenn es gesetzliche Regelungen für die Haftung von Gesamtschuldnern untereinander gibt, bietet es sich an Klarheit an dieser Front zu schaffen. Das Datenschutzrecht ist ein Bereich mit einem hohen Haftungsrisiko. Es sollten daher alle möglichen Haftungsszenarien besprochen werden und sich geeinigt werden, wie damit umgegangen werden soll.