Ich hätte gerne ihre/eure Einschätzung, wie man am besten mit „globalen“ Verfahren innerhalb einer Firmengruppe umgeht. Im Kern geht es um Verarbeitungen, welche für alle Firmen in der Gruppe gleich ablaufen sollen, also zum Beispiel eine globale Umfrage „Mitarbeiterzufriedenheit“, die Umsetzung der Anforderungen für eine (zentrale) Whistleblowing Hotline, um Kontrolle der Mitarbeitergeschäfte (nach europ. Marktmissbrauchsverordnung), etc. … Also um Verarbeitungen, welche die Mutterfirma allen (100%) Tochterfirmen verpflichtend vorgibt.
Naiv könnte man sich vorstellen, dass die Mutterfirma eine entsprechende Entscheidung erlässt, einen Prozess aufsetzt, vielleicht noch ein externes Tool aussucht, entsprechende Auftragsverarbeitungsverträge schließt, und dann alle Firmen in der Gruppe anweist als Verantwortliche die entsprechenden Verarbeitungen durchzuführen. Die Mutterfirma selbst tritt als Auftragsverarbeiter für die gesamte Firmengruppe auf.
Für mich fühlt sich das falsch an, insbesondere wenn die Mutterfirma alle Vorgaben macht, alle Entscheidungen trifft, und (primäre) Empfängerin und Nutzerin der „Ergebnisse“ ist. Wenn die Mutterfirma „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ müsste sie nach meinem Verständnis „Verantwortlicher“ sein. Darüber hinaus setzt sich die Mutterfirma in die Rolle dessen, der Weisungen gibt, und kann deshalb auch kein Auftragsverarbeiter (welcher „personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen […] verarbeitet“) sein.
Ich würde deshalb eher davon ausgehen, dass die Mutterfirma die Verantwortliche Stelle sein müsste, und die entsprechenden Mitarbeiter nach Artikel 6 Unterabsatz 1 Buchstabe c (im Falle der Whistleblowing Hotline oder Marktmissbrauchsverordnung) aufgefordert, bzw. nach Buchastabe f (im Fall der Zufriedenheitsumfrage) gebeten werden die entsprechenden Daten einzugeben. Die einzelnen Tochterfirmen sind weder Verantwortliche, noch Auftragsverarbeiter.
Was meint ihr? Welche Sicht ist besser oder korrekter?
Hallo Andreas,
ich würde auch davon ausgehen das die Mutter verantwortlich ist. Falls die Töchter auch Mitspracherecht haben wäre es gemeinsame Verantwortung.
Die Mitarbeiter in den Töchtern bzw. die Töchter wären auch keine Auftragsverarbeiter - ich würde es eher als Mitarbeiter unter der Verantwortung des Verantwortlichen sehen. Da sie die ausführenden Stellen sind (auch wenn es etwas komisch ist da noch eine Firma (Tochter) dazwischen geschaltet sind.
Schau Dir zum berechtigten Interesse das “kleine Konzernprivileg” an, Erwägungsgrund 37 und 38. Der andere Inhalt ist die Frage nach der Konzern-Datenverarbeitung unter DS-Anforderungen.
NB: “Gruppe” ist zu vage. Und die Frage stellt sich erst 3 Jahre nach DSGVO, im “Finanzumfeld”?
Danke, haderner, aber ich sehe nicht, wie die genannten Erwägungsgründe (ich nehme mal an, es sind 36 und 37 gemeint) in diesem Fall helfen. Außer, es ging in die Richtung die gesamte Gruppe (okay, der Begriff ist vage; ich konkretisiere das für dieses Beispiel auf die in 37 Satz 1 genannten Verhältnisse) als eine “Verantwortliche” zu sehen. Eine solche Ansicht ist mir jedoch sehr neu…
Und ja, witzig, dass solche Fragen erst sehr spät aufkommen. Kommt halt ab und an vor, dass jemand sich mit frischen Augen eine Sache ansieht und versucht lange etablierte Methoden in Frage zu stellen. Vielleicht bin ich mit meiner Idee auch auf dem Holzweg und es ist einfach so, dass Tochterunternehmen zu Verantwortlichen gemacht werden können, auch wenn sie selbst kein Mitspracherecht haben (bzw. nur die Verantwortung dafür übernehmen, dass das alles DSGVo-Rechtens ist).
Insofern… nochmals danke für den Hinweis auf die Erwägungsgründe, die mir allerdings leider nicht wirklich helfen. Welche der im Eingangsposting dargestellten Sichten ist “richtiger” bzw. welche Informationen würden noch benötigt um das zu “entscheiden”?
Danke euch für die Rückmeldungen und eure Sichten. Ich denke, ich kann da noch viel lernen…
Hallo, das ist wirklich gerade sehr interessant, schlage mich nämlich mit einer ähnlichen Fragestellung rum.
Hier aber im Behörden-Kontext wo eine Verarbeitung von einer übergeordneten Behörde eingeführt wird und die untergeordneten Behörden dieses übernehmen müssen. Verantwortlichkeit liegt bei der Oberbehörde, jedoch wird ein Teil der Verantwortlichkeit an die untergeordneten Behörden durchgereicht ohne ihnen Wege zu ermöglichen die Teile die in ihre Verantwortlichkeit fallen auch überprüfen zu können.
Hm… Gemeinsame Verantwortung über die Teile, die von beiden verantwortet werden (wenn es Gestaltungsspielräume für die einzelnen Beteiligten gibt), oder Auftragsverarbeitung darüber (wenn die übergeordnete Behörde alles festlegt). Ansonsten saubere Abgrenzung der Verantwortlichkeit, und ggf. festgelegte Übergänge mit zulässig ausgestalteten Übermittlungen untereinander.
D., der empfiehlt, das erst mal grafisch darzustellen.
Ich bin es gerade am auseinanderdröseln, finde aber z.B. keine Dokumentation über die Abgrenzung untereinander, wie die Zuständigkeiten geregelt sind, wie ein bDSB in den Unterbehörden seinen Pflichten nach DSGVO nachkommen soll bei “geteilter” Verantwortung, geschweige denn etwaige Gestaltungsspielräume in den jeweiligen Verarbeitungen usw usw. Mit andern Worten es ist nichts so richtig geregelt…
@jthomi, für jede Behörde gibt es doch Gesetzesgrundlagen, die du heranziehen kannst. Da müssten Rechte und Pflichten irgendwo mit eingearbeitet sein. Eventuell kannst du dadurch dann die Zuständigkeiten besser ableiten. Meistens wird auch die Mitarbeit von Oberbehörde zu Unterbehörde (oder andersrum) irgendwo gesetzlich geregelt. Ansonsten müsste für die Zusammenarbeit eine Art von Vertrag oder auch Zweckvereinbarung, etc. vorliegen. Auch wenn das einen heiden Arbeit bedeutet, kommst du so vielleicht besser voran.
Aus Erfahrung kann ich sagen, dass solche Verträge gerne mal vergessen werden. Vor allem wenn sie schon vor einiger Zeit geschlossen wurden. “Das haben wir schon immer so gemacht”, lässt Grüßen
Es geht auch momentan eher um konkrete Verarbeitungen und wie ein bDSB in der unteren Behörde seinen Pflichten nachkommen soll, wenn sowas von der Stelle die über die TOM entscheidet gar nicht vorgesehen ist, das er tätig werden kann/soll/darf. Aber der Verantwortliche in der unteren Behörde einige Verantwortlichkeiten “bekommt”, er aber keinerlei Mitspracherecht hat oder einen Einfluss auf die Verarbeitung selbst nehmen soll/kann/darf.
Ich wäre froh es gäbe eine Regelung, ein Dokument, eine Vereinbarung wo diese Dinger besser geregelt sind. Die gibt es aber (noch) nicht, weil wie es momentan ist, ich weiss nicht, das passt alles nicht so ganz zusammen meine Meinung nach.
An manchen Stellen ist “das haben wir schon immer so gemacht” gepaart mit “ach, was soll denn der scheiss-datenschutz jetzt schon wieder, geh weg”.
“dashabenwirschonimmersogemacht” - Warum? Auf welcher Grundlage?
Der DSB hat ja bestimmten gesetzlichen Pflichten nachzukommen und kann das seiner Behördenleitung aufs Brot schmieren. U. a. den Hinweis, dass etwas nicht vorschriftsmäßig läuft. Die kann dann reagieren oder es lassen. Der Mohr hätte seine Schuldigkeit getan.
D., der wie @DSB_kommunal der Ansicht ist, dass jede Behördenaktivität auf irgendeiner konkreten Vorschrift basieren muss, damit sie für “lit. e” erforderlich(!) ist.
