Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Art. 26 DS-GVO: Gemeinsam Verantwortliche

Manchmal erfolgt eine gleichberechtigte Zusammenarbeit verschiedener Unternehmen, Institutionen oder Behörden im Rahmen einer einzelnen Verarbeitungstätigkeit zur Erreichung eines gemeinsamen Zieles. Die Datenschutz-Grundverordnung (DS-GVO) adressiert diese Form der gemeinsamen Zusammenarbeit durch den in Art. 26 DS-GVO zu findenden Begriff der "gemeinsam für die Verarbeitung Verantwortliche" (engl. Joint controllers). In Art. 26 Abs. 1 DS-GVO heißt es: "Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche."
Die gemeinsame Verarbeitung ist von der Auftragsverarbeitung oder Funktionsübertragung zu trennen bzw. abzugrenzen. Bei der gemeinsamen Verarbeitung entscheiden zwei oder mehr Stellen gleichberechtigt über die Zwecke und Mittel der Verarbeitung, bei der Auftragsverarbeitung entscheidet nur der Auftraggeber über Zwecke und Mittel, bei der Funktionsübertragung entscheidet jeder Verantwortliche über seine Verarbeitung völlig unabhängig von den anderen Verantwortlichen bzgl. seiner Verarbeitung.
Art. 26 DS-GVO regelt die Zulässigkeit und die Modalitäten der Durchführung einer Verarbeitung durch gemeinsam Verantwortliche, stellt jedoch keine Erlaubnisnorm für die Verarbeitung dar. Insbesondere muss der Verantwortliche bzw. müssen die Verantwortlichen i.S.v. Art. 4 Ziff. 7 DS-GVO auch die in Art. 5 DS-GVO enthaltenen "Grundsätze für die Verarbeitung personenbezogener Daten" gewährleisten.
Art. 26 DS-GVO beinhaltet für diese Fälle der "gemeinsamen Verarbeitung" konkrete Vorgaben, die bezogen auf den jeweiligen Sachverhalt umgesetzt werden müssen. Art. 26 Abs. 1 S. 2 DS-GVO verlangt, dass die gemeinsam Verantwortlichen eine Vereinbarung hinsichtlich ihrer gemeinsamen Verarbeitung treffen. ErwGr. 79 DS-GVO verlangt dabei eine klare Zuteilung der jeweiligen Verantwortlichkeiten, was u.a. eine Darstellung der jeweiligen tatsächlichen Funktionen und Beziehungen der jeweiligen Verantwortlichen gegenüber den Betroffenen erfordert. Weiterhin fordert Art. 26 Abs. 2 S. 2 DS-GVO, dass betroffenen Personen das "Wesentliche" der Vereinbarung hinsichtlich gemeinsamen Verarbeitung zur Verfügung gestellt werden muss.
In dieser Ausarbeitung wird dargestellt, wann und wie diese datenschutzrechtliche Möglichkeit des "Gemeinsam Verantwortlichen" genutzt werden kann. Insbesondere findet sich am Ende der Ausarbeitung ein Beispiel, wie eine von Art. 26 DS-GVO geforderten Vereinbarung aussehen könnte; wie jedes Beispiel ist auch dieses natürlich nicht 1:1 auf reale Gegebenheiten übertragbar, sondern muss auf die jeweiligen konkreten Anforderungen des vorliegenden Einzelfalles angepasst werden.

Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/legalcode.

Download der Ausarbeitung:

(Stand: 17. Juni 2018)