Auslegungssache 117: Zusammen stärker?
Die DSGVO sieht "gemeinsame Verantwortung" für Datenverarbeitung vor. Ob dieses Konstrukt praxistauglich ist, klären der Datenschutz-Podcast mit einem Fachmann.
In Episode 117 des c't-Datenschutz-Podcasts dreht sich fast alles um das große Wort "Verantwortung". Diese ist ein Grundpfeiler des Datenschutzrechts: Wo personenbezogene Daten verarbeitet werden, muss jemand existieren, der für die Mittel und die Zwecke verantwortlich zeichnet. Diese reale oder juristische Person muss die Rechte Betroffener berücksichtigen, für rechtmäßige technische Maßnahmen sorgen und die Compliance-Anforderungen erfüllen.
Nur ist es in der komplexen technischen Welt so, dass eher selten ein Verantwortlicher alles in der eigenen Hand hat. In der Regel werden Datenverarbeitungen ausgelagert, sei es zu einem Cloud-Anbieter oder einer Marketingagentur. Meist vereinbaren die Partner Auftragsverarbeitung, bei der der Verarbeiter nur Delegierter, aber kein Verantwortlicher ist. Mitunter kommt vor, dass sich mehrere Parteien die Verantwortung zur Verarbeitung teilen. Das sogenannte "Joint Controlling" nach Art. 26 DSGVO. Und hier wird es kompliziert.
c't-Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich besprechen dieses komplexe Feld mit Dr. Johannes Marosi. Er ist Rechtsanwalt fĂĽr IT- und Datenschutzrecht bei Graf von Westphalen in Frankfurt am Main. Insbesondere hat Marosi seine Dissertation (PDF) ĂĽber das Thema der gemeinsamen Verantwortung im Datenschutzrecht geschrieben.
Komplexes Joint Controlling
Marosi bestätigt, dass alleinige Verantwortung heute selten vorkommt, da die meisten Unternehmen externe Dienstleister für verschiedene Aufgaben hinzuziehen. Ein typisches Beispiel für vertraglich gefestigte Auftragsverarbeitung ist Webhosting, bei dem ein Cloud-Anbieter Kundendaten speichert und verarbeitet. Bei der gemeinsamen Verantwortung müssen die beteiligten Parteien in einem sogenannten Joint-Controller-Agreement festlegen, wer welche Aufgaben und Pflichten übernimmt. Marosi betont, dass es wichtig ist, derlei Vereinbarungen detailliert auszuarbeiten, um spätere Konflikte zu vermeiden.
Im Gespräch wird deutlich, dass die gemeinsame Verantwortung komplex und oft schwer zu handhaben ist. Obwohl die DSGVO rechtliche Rahmenbedingungen vorgibt, bleibt vieles in der Praxis unklar. Unternehmen müssten daher sorgfältig prüfen, wie sie ihre Datenschutzverantwortung organisieren und dokumentieren, resümiert unser Gast.
Episode 117:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Hier geht es zu allen bisherigen Folgen:
(hob)
