Werden personenbezogene Daten an Dritte, ( Auftragsverarbeiter oder gemeinsamer Verantwortlicher) weitergeben, dann sollte vor Beginn der Verarbeitung überlegt werden, welche der oben genannten Varianten vorliegt.
Viele Unternehmen schließen ohne weitere Prüfung Auftragsverarbeitungsverträge ab, obwohl es sich in vielen Fällen wohl eher um eine gemeinsame Verantwortung handelt.
Aufgrund der gemeinsamen Interessen und der gemeinsamen Abstimmung, welche Verarbeitungen getätigt werden, sind beide Parteien für die daraus resultierende Verarbeitung von personenbezogenen Daten verantwortlich. Dies gilt sowohl untereinander als auch nach außen gegenüber betroffenen Personen, z. B. bei der Wahrung der Betroffenenrechte.
Um klar zu regeln, wer hierbei wofür genau verantwortlich ist und beispielsweise den Betroffenen Auskunft erteilen muss, müssen beide Parteien einen sogenannten Joint-Control-Vertrag gem. DS-GVO Art. 2 aufsetzen, der eben dieses Verhältnis regelt.
In dieser soll in transparenter Form festlegt werden, welcher der Beteiligten jeweils welche Verpflichtung aus der DS-GVO erfüllt. Diese Vereinbarung wird auch als Joint-Controller-Agreement (JCA) bezeichnet.
Die Vereinbarung muss außerdem die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung ist der betroffenen Person gem. DS-GVO Art. 26 Abs. 2 zur Verfügung gestellt.
Ein „Auftragsverarbeiter“ ist nach Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Liegt eine Verarbeitung durch gemeinsam Verantwortliche vor, müssen die beteiligten Akteure eine Vereinbarung gem. DS-GVO Art. 28 abschließen.
Um von einer Auftragsverarbeitung ausgehen zu können, müssen zwei Kriterien vorliegen:
- Es muss sich zum einen, um einen von dem Verantwortlichen getrennten Akteur handeln.
- Die personenbezogenen Daten müssen im Auftrag und nach den Anweisungen des Verantwortlichen verarbeitet werden.
Der Auftragsverarbeiter hat allerdings einen gewissen Spielraum, mit welchen konkreten Mitteln er den Weisungen des Verantwortlichen am besten nachkommen kann. Er kann hierzu diejenigen technischen und organisatorischen Mittel auswählen, die ihm zur Umsetzung der Weisung am besten geeignet erscheinen.