„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
Was hat denn dabei den Vorrang - die natürliche oder die juristische Person? Muss z. B. eine AV-Vereinbarung mit dem Unternehmen abgeschlossen werden, bei dem die handelnden Mitarbeiter angestellt sind, oder kann das auch abweichen?
In einer Unternehmensgruppe hat man öfter mal den Fall, dass eine Abteilung zu Firma A gehört und die andere Abteilung zu Firma B. Besonders spannend wird es, wenn die Mitarbeiter, die über die Zwecke und Mittel der Verarbeitung bestimmen, zu mehreren Unternehmen gehören.
Da es kein Konzernprivileg gibt, kann man sich bei AV-Vereinbarungen ja nicht darauf rausreden, dass da ein anderer Unternehmensname oben drin steht.
Vorrang hat dabei nix. Alles ist gleichberechtigt je nachdem, was zutrifft. Es gibt aber einige Besonderheiten:
Eine Unternehmensgruppe (also die Konzernmutter für ihre Töchter) kann selbst nicht Verantwortlicher sein. Jede Tochtergesellschaft ist jeweils verantwortlich. Ein Konzernprivileg gibt es nicht, wie du selbst weißt. Sollten mal mehrere Unternehmen gleichberechtigt Daten verarbeiten, fallen sie ggf. unter Art. 26 DSGVO.
Natürliche Personen sind nur Verantwortliche, wenn sie über Zweck und Mittel der Verarbeitung entscheiden. Mitarbeiter tun dies nicht. Ausnahme: der sog. Mitarbeiterexzess.
Im öffentlichen Bereich ist nicht die juristische Person (“der Staat”) verantwortlich, sondern die jeweils zuständige Behörde.
“Einrichtung oder andere Stelle” dienen einfach als Auffangtatbestand: Jeder, der irgendwie Träger von Rechten sein kann, kann auch Adressat des Datenschutzrechts sein.
Man kann auch mal über das Thema “konzerninterne Arbeitnehmerüberlassung” nachdenken.
Es gibt dazu zwar auch die Ansicht, dass bei ANÜ ein DS-Vertrag zur “gemeinsamen Verantwortung” nötig ist (finde ich nimmer … zB. DS-Aufsicht BaWü?), aber das wird vermutlich selten gemacht, eine verbindliche Entscheidung dazu kenne ich jedoch nicht.
PS: was nix daran ändert, das die natürliche Person nicht zum Verantwortlichen wird (Nebenjob als Freelancer ignoriere ich mal, das wird nicht gemeint sein)
In der IT-Abteilung arbeitet die Hälfte der Mitarbeiter bei Firma A und die andere Hälfte bei Firma B. Welche Firma schreibe ich oben als Auftraggeber in die AV-Vereinbarung?
Wenn Firma A Firma B beauftragt hat, dann kommt A als Auftraggeber in den AV-Vertrag.
Wenn Firma B Firma A beauftragt hat, dann kommt B als Auftraggeber in den Vertrag
Wenn Firma C Firma A und B beauftragt hat, dann kommt Firma C als Auftraggeber in den Vertrag.
Nur weil beide in der IT arbeiten sagt dies nich dazu aus wer wen beauftragt hat - Sind A und B beides Dienstleistungsfirmen (Fall 3) oder ist eine davon dein Unternehmen (Fall 1 oder 2)
Die IT-Abteilung gehört zur gesamten Firmengruppe. Dort arbeiten Mitarbeiter aus Tochterfirma A und Tochterfirma B. Es ist nirgends definiert, “wem” die gehört. Das ist ja das Problem.
Intern kann es gemeinsame Verantwortung sein. Dann hätten die beteiligten Unternehmen das vertraglich zu fixieren (Art. 26).
Die Übermitlung (bzw. der Zugriff) untereinander kann auf berechtigte Interessen am gemeinsamen Betrieb gestützt werden (Erwägungsgrund 48).
Nach außen hin (als Auftragsverabeiter externer Stellen) wäre es handlicher, wenn nur “einer den Hut auf” hätte. Z. B. A, der B dann nochmals per interner Auftragsverarbeitung als Subunternehmer für… z. B. Kapazitätserweiterung der IT-Dienste dazunimmt.
Theoretisch wäre es evtl. möglich, dass A (oder B) allein zuständig ist und die Mitarbeiter des anderen Unternehmens einzeln zur Verschwiegenheit verpflichtet, und Weisungen von A (bzw. B) umzusetzen.
Für die Verantwortlichen (und vor allem für die Betroffenen) käme es auf dasselbe raus, nämlich dass keine Ansprüche /Pflichten /Garantien verlorengehen.
D., der nicht ganz uneigennützig um Meinungen bittet.
Vor allem habe ich die Befürchtung, dass - aus welchem Anlass auch immer -mal genauer hingeschaut wird, und es dann heißt: “Sie haben ja gar keine AV-Vereinbarung mit ihren Partnern.” und “Nein, nein, eine Vereinbarung durch ein anderes Konzernunternehmen gilt natürlich nicht. Bußgeld!”
Die IT-Abteilung gehört zur gesamten Firmengruppe.
Das kann kaum sein. Mein Eindruck ist, dass Du es als DSB (?) schlicht nicht weißt - und es auch Aufgabe der Firma/Firmen ist, das festzulegen. Und an die DSB zu kommunizieren.
Es ist übrigens (formal) auch nicht die Aufgabe des DSB, den Vertrag zu schreiben.
Ich kenne das auch, dass Abteilungen oft eigene GmbHs sind und nach einer Umstrukturierung die AV-Vereinbarungen auf einmal alle formal falsch sind, weil die Mitarbeiter jetzt woanders sind. Ich würde das unter “Restrisiko” verbuchen - letztendlich ist die Unternehmensleitung selbst schuld, wenn Sie GmbH-Würfelei machen.
Im konkreten Fall hier dürfte das scheitern: wenn bereits die Aufbauorganisation ungeklärt ist, wie sollen dann Abläufe festgelegt werden?
Meine schlichte Meinung:
Einerseits gibt es für gemeinsame Verantwortung zunächst weniger formale Vorgaben (bis auf Zuständigkeiten, über die müsste man ebenfalls bei einer AV nachdenken) und formal weniger Schutz.
Andererseits … nun es fängt damit an, die Betroffenen über den Vertrag zu unterrichten, was bei Beschäftigten niemand ernsthaft machen wird. Und im (Arbeits-) Streit kann die gemeinsame Verantwortung und Haftung vermutlich ärgerlich werden - ein Betroffener muss seine Rechtsansprüche ja nicht an der Vereinbarung der Firmen ausrichten. Bei kommunikationspflichtigen Sicherheits- und Datenschutzvorfällen könnte man schnell in Situationen kommen, in denen sich Regelungen nicht als tragfähig erweisen (und in Art 26 nicht gefordert werden - es muss jeder melden).
In unserem kleinen “Konzern” wird die Lösung intern bisher nur für die Personalbeschaffung genutzt.
Ich würde mich aus dieser Richtung nähern: Eine Datenverarbeitung benötigt zunächst einen Zweck und eine Legitimation. Diese Entscheidung(en) trifft nicht die IT-Abteilung, deren Aufgabe in der technischen Umsetzung einer Verarbeitung liegt. Meine erste Frage wäre die übliche: Welche Daten werden aus welchem Grund auf Basis welcher Rechtsgrundlage von wem wofür verarbeitet? Das führt zwangsläufig zu einer datenschutzrechtlichen Verantwortlichkeit. Danach würde ich mich der Frage widmen, mit welchen Mitteln diese Verarbeitung stattfindet oder stattfinden könnte (hier erst käme die IT ins Spiel). Danach würde ich mich möglichen Beteiligten an der Verarbeitung zuwenden und schauen, wer welchen Part mitträgt, beisteuert, selbständig verarbeitet und/oder… Dann kann ich entscheiden, ob eine gemeinsame Verantwortung oder eine Auftragsverarbeitung vorliegt, welche Rechtsgrundlagen was tragen usw. Aber ja, der Organisationsaufbau sollte für Abläufe bekannt sein.
Das passt irgendwie so nicht zusammen. Wenn ich Auftragsverarbeiter bin, dann bin ich nicht Verantwortlicher und dann kann ich diese Verantwortung logischerweise auch nicht teilen. Ich muss schon konkret wissen, wer welche Daten warum und ggf. in wessen Auftrag verwaltet. Und wenn da ein Konzernkonstrukt dahinter hängt, dann sind die entweder sauber Unterauftragnehmer oder einzeln Auftragnehmer. Also letztlich das, was auch @anzolino sagt.
“Intern gemeinsame Verantwortung” dachte ich als Alternative zur internen Auftragsverarbeitung. (Keine wahlfreie Altenative, sondern wenn die Voraussetzung erfüllt wäre, dass Zwecke und Mittel gemeinsam bestimmt werden.)
Je nach Funktion der internen Stellen und Außenbeziehungen können eines oder mehrere Auftragsverarbeitungsverhältnisse angebracht sein.
Sonst macht jeder seins. Auf Basis berechtigter Interessen an der gemeinsamen Datenhaltung, aber unter Beachtung der jeweiligen Verantwortung für “ihre” Betroffenen.
D., der das mal gern vorher regeln würde. Nicht “irgendwas” zusammen machen oder andere mitmachen lassen, sondern Datenflüsse, Zuständigkeiten, Dokumentation…
Mal zurück zur Eingangsfrage:
ein AV-Vertrag wird normalerweise nicht mit einer einzelnen (natürlichen) Person geschlossen, sondern mit dem Unternehmen. Aus welchem Grund sollte man davon abweichen? Hat ein Unternehmen mit seiner Tochterfirma (A) einen Vertrag zu bestimmten Dienstleistungen, dann muss zwischen den Vertragspartnern ein AV-Vertrag abgeschlossen werden. Welche Einzelpersonen als Angestellte von Firma A diese speziellen Dienstleistungen verrichten, ist nicht maßgeblich, sie müssen sich auf jeden Fall daran halten. Falls diese Personen noch in der Tochterfirma B beschäftigt sind, dann muss auch mit diesem Unternehmen ein AV-Vertrag abgeschlossen werden. Dann ist egal, wer die Leistung erbringt, auf jeden Fall fällt sie unter einen der Verträge.
Wieso nicht klar ist, wer nun wo beschäftigt ist, verstehe ich nicht, das sollte auf der Rechnung stehen. Dort muss jede Dienstleistung mit Leistungszeitraum schließlich aufgeführt sein. Oder stellen die Tochterfirmen keine Rechnungen für ihre Dienstleistungen?
Dann wiederum würde ich mal in Erwägungsgrund 48 DS-GVO schauen. Da ist nämlich der Fall beschrieben, dass - sofern die Interessen und Grundfreiheiten der betroffenen Person zum Schutz ihrer personenbezogener Daten nicht überwiegen - innerhalb eines Konzerns eine Datenübermittlung stattfinden kann, ohne dass es hierfür eines AV-Vertrages bedarf.
Hier müsste aber ein überwiegendes berechtigtes Interesse des Konzerns an der Übermittlung von personenbezogenen Daten vorliegen.
Erwägungsgrund 48 gilt leider nur für “interne Verwaltungszwecke”.
Und im Übrigen sollte der AV-Vertrag ja auch nicht mit der natürlichen Person geschlossen werden. Die Frage war nur, ob die natürliche Person (also der Mitarbeiter) oder die juristische Person (das Unternehmen) ausschlaggebend für den Adressaten der AV-Vereinbarung ist.
Die Rechnung geht nun weiterhin an Firma A, mit der die AV-Vereinbarung geschlossen wurde. Die Datenverarbeitung wird aber mittlerweile durch Firma B gemacht, bei der die Mitarbeiter nun beschäftigt sind.
Aber wie gesagt: man muss schon die Strukturen und Abläufe kennen, sonst bringt das Grübeln über DS wenig Konkretes (außer Fragen). Ist das denn ein praktischer Fall oder eine abstrakte Überlegung?
Zur Rechnung: es gibt auch andere Formen der konzerninternen Verrechnung (zB keine oder Pauschalen).
“In einer Unternehmensgruppe hat man öfter mal den Fall, dass eine Abteilung zu Firma A gehört und die andere Abteilung zu Firma B. Besonders spannend wird es, wenn die Mitarbeiter, die über die Zwecke und Mittel der Verarbeitung bestimmen, zu mehreren Unternehmen gehören.”
