Hallo und ein gutes Neues an die Datenschutz-Gemeinschaft!
Mich würde mal eure Meinung und praktische Erfahrung zu dem Thema gemeinsame Verantwortlichkeit wissen.
Wenn eine Stelle (1) die DSGVO nicht anwendet (wg. räuml. Anwendungsbereich) also auch keinen Vertreter gem. Art. 27 zu benennen hat, aus sachlicher Sicht jedoch gemeinsam Verantwortliche Stelle, zusammen mit einer europäischen Stelle (2) , wäre - ist diese Stelle (1) KEINE gem. Verantwortliche, oder?
Beispiel:
Eine europäische Stelle (2) (EU-Firma) arbeitet mit einer andere Stelle (1) ansässig in einem Drittland (3.Land-Firma) im Bereich HR-Management derart zusammen, dass aus sachlicher Sicht eine gemeinsame Verantwortlichkeit vorläge. Es werden dabei nur Beschäftigtendaten der 3.Land-Firma verarbeitet.
Das führt zu der Frage ob eine Stelle, die räumlich der DSGVO nicht unterliegt und demnach auch keinen Vertreter gem. Art 27 benennen muss, eine “gemeinsam Verantwortliche” gem. Art 26 mit einer Stelle, die der DSGVO unterliegt, sein kann.
Und wie ist das, wenn das Unternehmen den Sitz in der Schweiz hat.
Hat wer einen Hinweis, Erfahrungen? Bitte, sehr gerne her damit.
Also der Anwendungsbereich der DSGVO ist ja auch eröffenet wenn ein Unternehmen aus einem Drittland (hier 1) Daten von Personen aus Europa verarbeitet (Marktortprinzip), oder diesen Produkte und Services anbietet (Website in einer EU Sprache, Preise in EUR, Wegbeschreibung ab Grenze etc. sind Indikatoren dafür).
Da du sagst das es um HR-Managment geht, vermute ich dass im System Daten eurer Beschäftigten gespeichert sind. Da ihr in der EU sitzt, nehme ich weiter an, dass die Mitarbeiter aus der EU kommen. Aufgrund dieser Annahmen, gehe ich davon aus dass die räumliche Anwendung vorliegt.
Je nach Land ist dann ein JCA abzuschließen - dabei sollte das Zielland schon sicher sein, was bei der Schweiz der Fall ist.
Falls meine Vermutungen oben nicht stimmen - verstehe ich deinen Fall vllt nicht und würde mich auch Feedback von anderen bzw. einer genaueren Beschreibung freuen.
Es geht ausschließlich um Personaldaten des Unternehmens im Drittland - diese werden in gemeinsamer Verantwortlichkeit mit einem deutschen Unternehmen verarbeitet (Deutsches Unternehmen ist Muttergesellschaft).
Das Unternehmen ist im Bereich Bau / Montage tätig (B2B), und das ausschließlich im Drittland (Schweiz).
Es dreht sich um die Frage ob ein Nichtanwender der DSGVO gemeinsam Verantwortlicher gem. Art. 26 sein kann.