Jusletter IT

Abgrenzungsschwierigkeiten bei der datenschutzrechtlichen Rollenverteilung nach der DS-GVO

  • Author: Gernot Fritz
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2018
  • Citation: Gernot Fritz, Abgrenzungsschwierigkeiten bei der datenschutzrechtlichen Rollenverteilung nach der DS-GVO, in: Jusletter IT 22 February 2018
Wenngleich die datenschutzrechtliche Rollenverteilung (Verantwortlicher, Auftragsverarbeiter, Betroffener, gemeinsam Verantwortliche) in der Theorie einfach erscheinen mag, ist die exakte Abgrenzung der datenschutzrechtlichen Rollen bei praxisnahen Sachverhalten oft nicht trivial – für die Zuordnung der «richtigen» datenschutzrechtlichen Verpflichtungen aber höchst relevant. Der Beitrag stellt die in der DS-GVO angelegten datenschutzrechtlichen Rollen dar und zeigt beispielhaft Lösungen für in der Praxis auftretende Konstellationen auf.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Die datenschutzrechtlichen Rollen
  • 2.1. Der «Betroffene»
  • 2.2. Der «Verantwortliche»
  • 2.3. Der «Auftragsverarbeiter»
  • 2.4. Die «gemeinsam Verantwortlichen»
  • 3. Das Prüfschema
  • 4. Beispielfälle
  • 4.1. Konzernweite Datenverarbeitungen
  • 4.2. Benutzung eines Dritt-Systems
  • 4.3. Der eigenmächtig handelnde Auftragsverarbeiter
  • 4.4. Gemeinsame Daten
  • 4.5. Verarbeitung von Daten im Rahmen unselbstständiger Zweigniederlassungen
  • 5. Fazit

1.

Einleitung1 ^

[1]
Die Bewertung der datenschutzrechtlichen Rollen ist von größter Bedeutung, da die ab 25. Mai 2018 anwendbare Datenschutz-Grundverordnung (DS-GVO)2 für die verschiedenen Rollen unterschiedliche Verpflichtungen vorsieht. Es ist daher für die handelnden Akteure, die personenbezogene Daten verarbeiten, in der Praxis von größter Relevanz, zu wissen, welche datenschutzrechtliche Rolle ihnen in Hinblick auf eine konkrete Verarbeitungstätigkeit zukommt.

2.

Die datenschutzrechtlichen Rollen ^

[2]
In der DS-GVO werden vier datenschutzrechtliche Rollen festgelegt. Zu beachten ist, dass die datenschutzrechtliche Rollenverteilung funktional zu verstehen ist, sodass deren Beurteilung anhand konkreter Verarbeitungsvorgänge im Einzelfall zu erfolgen hat.

2.1.

Der «Betroffene» ^

[3]
Der «Betroffene» ist die natürliche Person, deren Daten verarbeitet werden und auf die sich die verarbeiteten Daten beziehen.3 Der Betroffene muss nach Art 4 Z 1 DS-GVO aus den verarbeiteten Daten zumindest identifizierbar sein, damit personenbezogene Daten vorliegen und der Anwendungsbereich des Datenschutzrechts eröffnet ist.

2.2.

Der «Verantwortliche» ^

[4]
Verantwortlicher ist gemäß Art 4 Z 7 Satz 1 DS-GVO die «natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet». Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (Art 4 Z 7 Satz 2 DS-GVO). Der Verantwortliche ist der aus den datenschutzrechtlichen Vorgaben der DS-GVO primär Verpflichtete – gleichsam als Gegenstück zum Betroffenen als dem aus den datenschutzrechtlichen Vorgaben der DS-GVO Berechtigten. Der Verantwortliche ist «Herr der Datenverarbeitung», ihm obliegt die Entscheidungsbefugnis über Zwecke und Mittel der konkreten Verarbeitungstätigkeit. Entscheidung ist nicht im Sinne eines bewussten kognitiven Vorgangs zu verstehen, sondern im Sinne einer Festlegung4 bzw. genauer eines rechtlichen oder tatsächlichen Einflusses5 auf diese Festlegung. Eine in der Praxis zur Beurteilung der Rolle als Verantwortlicher oft leichter zu beantwortende Frage ist, wer die Entscheidungsbefugnis hat, die konkrete Datenverarbeitung zu beenden. Nur derjenige, der mit seinem rechtlichen oder tatsächlichen Einfluss die Datenverarbeitung auch jederzeit stoppen kann, kann Verantwortlicher sein.
[5]
Es ist für die Qualifizierung als Verantwortlicher auch nicht erforderlich, dass der Verantwortliche die personenbezogenen Daten selbst verarbeitet, sich im Besitz der verarbeiteten Daten befindet oder über die physische Herrschaft über den Verarbeitungsprozess verfügt.6

2.3.

Der «Auftragsverarbeiter» ^

[6]
Nach Art 4 Z 8 DS-GVO ist «Auftragsverarbeiter» eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Entscheidendes Kriterium ist, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter «im Auftrag» eines Verantwortlichen erfolgt.7 Der von der Definition verwendete Begriff «Auftrag» kann jeden unter den Begriff der Verarbeitung fallenden Umgang mit personenbezogenen Daten beinhalten.8 Der Auftragsverarbeiter ist der «verlängerte Arm» des Verantwortlichen9 und darf nur auf Weisung des Verantwortlichen handeln.10 Sofern der Auftragsverarbeiter an den Daten auch eigene Interessen verfolgt, ist er (auch) Verantwortlicher.11
[7]
Zwischen Verantwortlichem und Auftragsverarbeiter ist regelmäßig ein Auftragsverarbeitungsvertrag zu schließen12 und es kommen dem Auftragsverarbeiter in der DS-GVO weit mehr Pflichten zu als im bisherigen Datenschutzrecht.13

2.4.

Die «gemeinsam Verantwortlichen» ^

[8]
Die DS-GVO versteht unter gemeinsam Verantwortlichen zwei oder mehr Verantwortliche, die gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.14 Ob gemeinsame Verantwortlichkeit vorliegt, ist für jede Verarbeitungstätigkeit gesondert zu beurteilen – Voraussetzung ist eine «gemeinsame Kontrolle» über die Verarbeitungstätigkeit.15 Erfasst sind damit alle Formen kumulativen Zusammenwirkens, soweit diese die Relevanzschwelle einer Mitentscheidung über die Zielrichtung und die Modalitäten der Verarbeitung erreichen. Maßgeblich ist nicht eine tatsächliche Mitwirkung bei einzelnen Datenverarbeitungen, sondern bereits deren Veranlassung oder direkte Mitgestaltung kann verantwortlichkeitsbegründend sein.16 Die Mitwirkung und Entscheidungshöhe muss daher auch nicht symmetrisch oder der Einfluss der Parteien zwingend gleich groß sein.17 Wichtig ist allerdings für die Begründung als «gemeinsam Verantwortlicher», dass die Datenverarbeitung ohne den direkten Input des Beteiligten potentiell andersartig gestaltet worden wäre.18 Fraglich ist, ob jedem der gemeinsam Verantwortlichen Einfluss in Hinblick auf Mittel und Zwecke zukommen muss; der Wortlaut des Art 26 Abs. 1 Satz 1 DS-GVO stellt hier eindeutig kumulativ auf beides ab19, in der Literatur finden sich allerdings auch andere Auffassungen.20 Die Abgrenzung zum Auftragsverarbeiter kann mitunter schwierig sein21, wie auch die Abgrenzung von Situationen, in denen mehrere (abtrennbare) Verarbeitungstätigkeiten mit jeweils selbstständigen Verantwortlichkeiten nebeneinander vorliegen.22 Auch hier kann in der Praxis zur Beurteilung der Rolle als gemeinsam Verantwortliche oft auf die einfacher zu beantwortende Frage abgestellt werden, ob einem Verantwortlichen die Entscheidungsbefugnis, die Datenverarbeitung jederzeit zu beenden, alleine zukommt (dann ist dieser ein alleiniger Verantwortlicher) oder ob die Entscheidungsbefugnis, die Datenverarbeitung jederzeit zu beenden, nur von mehreren Verantwortlichen gemeinsam getroffen werden darf (dann sind diese gemeinsam Verantwortliche).
[9]
Zwischen den gemeinsam Verantwortlichen ist eine entsprechende Vereinbarung zu schließen23 und das Wesentliche dieser Vereinbarung ist den Betroffenen offenzulegen.24 Das Vorliegen von gemeinsamer Verantwortlichkeit entbindet auch in Hinblick auf die internen Übermittlungen zwischen den gemeinsam Verantwortlichen im Übrigen nicht von den Voraussetzungen der Art 6 ff. DS-GVO; die internen Datenflüsse müssen ebenso datenschutzrechtlich gerechtfertigt werden, wie wenn keine gemeinsame Verantwortlichkeit bestünde und es sich bei den Beteiligten um bloße Dritte handeln würde.

3.

Das Prüfschema ^

[10]
Zu beachten ist, dass die datenschutzrechtliche Rolle immer nur in Hinblick auf eine konkrete Verarbeitungstätigkeit zu bewerten ist. Für eine bestimmte Datenverarbeitung kann einem handelnden Akteur eine andere Rolle zukommen, als bei einer weiteren Datenverarbeitungstätigkeit. Auch in Hinblick auf dieselben personenbezogenen Daten kann ein Akteur verschiedene Rollen einnehmen25, wenn mit den Daten unterschiedliche Verarbeitungstätigkeiten verbunden sind.
[11]
In Bezug auf eine konkrete Verarbeitungstätigkeit hat sich in der Praxis folgende Prüfreihenfolge bewährt:
  • Um welche Verarbeitungstätigkeit geht es?
  • Wessen personenbezogene Daten werden verarbeiten? Wer ist Betroffener?
  • Wer ist Verantwortlicher?
  • Wer ist Auftragsverarbeiter?
  • Welche Verantwortliche sind ggf. gemeinsam Verantwortliche?

4.

Beispielfälle ^

4.1.

Konzernweite Datenverarbeitungen ^

[12]
Konzernsachverhalte werden oft als Anwendungsfall für gemeinsame Verantwortlichkeit genannt.26 Doch bei Verarbeitung von Daten im Konzern liegt eine gemeinsame Verantwortlichkeit viel seltener vor, als vermutet. Für gemeinsame Verantwortlichkeit ist erforderlich, dass die Entscheidungsbefugnis über die konkrete Datenverarbeitung (etwa eine konzernweite Personaldatenbank) den beteiligten Konzerngesellschaften gemeinsam zukommt – und sich etwa auch Tochtergesellschaften in die Gestaltung und Funktionsweise dieser Konzerndatenbank einbringen können – oder nicht. In der Praxis liegt aber oft der Fall vor, dass bei Betrieb einer gemeinsamen konzernweiten Datenbank im Zweifel allein die Konzernspitze27 über die Einführung des Systems entscheidet und den übrigen Konzerngesellschaften hier keine Entscheidungsbefugnis zukommt; insbesondere nicht darüber, gemeinsam mit der Konzernspitze über die Stilllegung / Aufgabe der konzernweiten Datenbank zu entscheiden. Nur dann würde eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO vorliegen. Jedenfalls sind die beteiligten Konzerngesellschaften Verantwortliche in Hinblick auf die von ihnen in das konzernweite Datenbanksystem eingespeisten Daten. Zwischen den beteiligten Konzerngesellschaften ist daher in der Regel keine Vereinbarung nach Art. 26 DS-GVO abzuschließen, selbst wenn jede Konzerngesellschaft auf alle Daten der anderen Konzerngesellschaften zugreifen könnte.28 Die konzerninternen Datenflüsse müssen allerdings wie Datenflüsse zwischen Dritten datenschutzrechtlich gerechtfertigt werden; auch das Vorliegen von gemeinsamer Verantwortlichkeit würde hier keine Erleichterungen bringen.
[13]
In Konzernstrukturen sind konzerninterne Dienstleistungen oftmals in einzelnen Konzerngesellschaften zentralisiert. Dies trifft häufig auch auf die IT zu, wobei eine Konzerngesellschaft für alle Konzerngesellschaften als IT-Dienstleister auftritt. Die im Rahmen der Durchführung von IT-Dienstleistungen anfallenden Datenverarbeitungen erfolgen im Auftrag der einzelnen Konzerngesellschaften als Auftraggeber. Somit ist die dienstleistende IT-Konzerngesellschaft als Auftragsverarbeiter der anderen Konzerngesellschaften anzusehen, diese sind im Hinblick auf an die IT-Konzerngesellschaft ausgelagerten Datenverarbeitungstätigkeiten (etwa Hosting, etc.) als Verantwortliche anzusehen. Somit ist zwischen der IT-Konzerngesellschaft und einer anderen Konzerngesellschaft, die IT-Dienstleistungen in Anspruch nimmt, bei der im Rahmen des Auftrags der anderen Konzerngesellschaft auch personenbezogene Daten verarbeitet werden, eine Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO abzuschließen.

4.2.

Benutzung eines Dritt-Systems ^

[14]
Wenn mehrere Parteien eine gemeinsame Plattform errichten, um Daten zu verarbeiten, und alle Parteien die Kontrolle darüber haben, auf welche Art und Weise die Daten erhoben und gespeichert und zu welchen Zwecken sie genutzt werden, liegt regelmäßig gemeinsame Verantwortlichkeit vor.29 Wird aber ein Dritt-System eines anderen Anbieters in Anspruch genommen30, so hängt es von der Ausgestaltung des Einzelfalls ab, welche Rolle den einzelnen Parteien an der über das Dritt-System abgewickelte Datenverarbeitung zukommt.
[15]
Die Parteien, die ein System eines anderen Anbieters zur Verarbeitung personenbezogener Daten in Anspruch nehmen, sind jedenfalls als Verantwortliche zu qualifizieren. Legen sie den Einsatz des Dritt-Systems gemeinsam fest und können ihn nur gemeinsam beenden, so sind sie auch gemeinsam Verantwortliche.
[16]
Für die Qualifizierung des Drittanbieters als Auftragsverarbeiter kommt es maßgeblich darauf an, ob dieser ein Eigeninteresse an den der Datenverarbeitung unterliegenden Daten hat und ob er in Bezug auf die konkrete Datenverarbeitung den Parteien weisungsgebunden ist oder nicht. Im Regelfall werden die Parteien nicht berechtigt sein, dem Drittanbieter Weisungen in Bezug auf die Datenverarbeitung und die eingesetzte Software / das eingesetzte System31 zu erteilen. Dies ist jedenfalls bei Anbietern sozialer Netzwerke und Anbietern von Anwendungssoftware der Fall, selbst wenn die Daten bei derartigen Anwendungen nicht auf der Unternehmensinfrastruktur, sondern beim Drittanbieter selbst gespeichert werden. In vielen Fällen (wie etwa Anbietern sozialer Netzwerke) hat der Drittanbieter auch ein starkes Eigeninteresse an den verarbeiteten Daten, meist zum Zwecke der «Verbesserung der eigenen Services». Auch unter diesem Aspekt ist eine Qualifizierung des Drittanbieters als Auftragsverarbeiter regelmäßig zu verneinen. Nur wenn der Drittanbieter weisungsgebunden in Hinblick auf die Datenverarbeitung und die eingesetzte Dritt-Software wäre und keine Eigeninteressen verfolgen würde, würde eine Auftragsverarbeitung vorliegen. In diesem Fall wäre auch ein entsprechender Auftragsverarbeitungsvertrag abzuschließen.
[17]
Auch wenn der Drittanbieter regelmäßig nicht als Auftragsverarbeiter, sondern als Verantwortlicher zu qualifizieren ist, liegt zumeist keine gemeinsame Verantwortlichkeit vor, da auf Seiten der Parteien in der Regel kein rechtlicher oder tatsächlicher Einfluss auf die Zwecke und Mittel der Datenverarbeitung besteht32 und eine bloße Mitursächlichkeit für einen Datenstrom zur Begründung gemeinsamer Verantwortlichkeit gerade nicht genügt.33

4.3.

Der eigenmächtig handelnde Auftragsverarbeiter ^

[18]
Gemäß 28 Abs. 10 DS-GVO gilt ein Auftragsverarbeiter, der unter Verstoß gegen die DS-GVO die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher. Zu beachten ist, dass der Auftragsverarbeiter in Bezug auf die beauftragte Datenverarbeitung dadurch seine Stellung als Auftragsverarbeiter nicht verliert, aber zusätzlich für die von ihm eigenmächtig angestrebte Datenverarbeitung als Verantwortlicher gilt. Wenngleich in der Literatur vereinzelt vertreten wird, dass bei eigenmächtig handelndem Auftragsverarbeiter eine gemeinsame Verantwortlichkeit begründet werde, die nach Maßgabe des Art. 26 DS-GVO zu behandeln sei34, ist dies nicht nachvollziehbar. Weder legen Verantwortlicher und Auftragsverarbeiter für die vom Auftragsverarbeiter eigenmächtig vorgenommene Verarbeitungstätigkeit Mittel oder Zwecke fest, noch kommt dem Verantwortlichen an der vom Auftragsverarbeiter eigenmächtig vorgenommenen Verarbeitungstätigkeit irgendeine Entscheidungsbefugnis zu. Selbiges gilt für den Auftragsverarbeiter hinsichtlich der im Auftrag übernommenen Datenverarbeitungstätigkeiten. Es handelt sich hier schlicht um zwei getrennte Verantwortliche, mögen sie auch am selben Datenbestand operieren.

4.4.

Gemeinsame Daten ^

[19]
Ein weiterer in der Praxis oft auftauchender Fall ist, dass ein Dokument personenbezogene Daten von zwei Personen beinhaltet und eine dieser beiden Personen das entsprechende Dokument an einen Dritten weiterleiten möchte. Paradebeispiel ist ein von zwei natürlichen Personen unterzeichneter Vertrag.
[20]
Diese Fallkonstellation zeigt, wie wichtig es ist, vor Klärung allfälliger Rollen die Verarbeitungstätigkeit und die zu verarbeitenden personenbezogenen Daten abzugrenzen. In Hinblick auf eigene Daten (also Daten zur eigenen Person) kann eine Person in Hinblick auf eine konkrete Verarbeitungstätigkeit nicht gleichzeitig Betroffener und Verantwortlicher sein35; diese beiden Rollen bestehen exklusiv nebeneinander. Die Offenlegung von Daten, die sich auf die eigene Person beziehen, an Dritte bedarf keiner datenschutzrechtlichen Rechtfertigung, weil es sich beim Offenlegenden um keinen Verantwortlichen oder Auftragsverarbeiter und somit um keinen datenschutzrelevanten Vorgang handelt.
[21]
Beinhaltet das einem Dritten offenzulegende Dokument aber auch personenbezogene Daten eines anderen Betroffenen, so wird der Offenlegende zum Verantwortlichen in Hinblick auf die personenbezogenen Daten anderer Betroffener.

4.5.

Verarbeitung von Daten im Rahmen unselbstständiger Zweigniederlassungen ^

[22]
Viele österreichische Gesellschaften haben mehrere Standorte, oft als sogenannte «unselbständige Zweigniederlassungen» ohne eigene Rechtspersönlichkeit. Diese Standorte sind der juristischen Person (der Gesellschaft) zuzuordnen und Datenflüsse zwischen Zweigniederlassungen sind datenschutzrechtlich keine Übermittlungen zwischen Verantwortlichen. Diese Fälle sind nicht anders zu beurteilen, als bei Datentransfers zwischen Abteilungen am selben Standort. Lediglich wenn eine unselbstständige Zweigniederlassung gegen die Anweisungen der Hauptniederlassung eigenmächtig Datenverarbeitungen zu eigenen Zwecken vornimmt, wäre sie als eigenständiger Verantwortlicher zu qualifizieren. Selbiges würde im Übrigen auch für Datenverarbeitungen gelten, die von Abteilungen oder Mitarbeitern zu eigenen Zwecken, nicht aber zu Zwecken der Gesellschaft vorgenommen werden.

5.

Fazit ^

[23]
Die Abgrenzung der datenschutzrechtlichen Rollen ist in der Praxis nicht immer einfach und auf den ersten Blick sofort lösbar. Die Bestimmung der datenschutzrechtlichen Rollen ist aber essentiell für die Beurteilung der datenschutzrechtlichen Rechte und Pflichten der einzelnen Akteure, die personenbezogene Daten verarbeiten. Das in diesem Beitrag vorgestellte Prüfungsschema kann Struktur in die Prüfung der datenschutzrechtlichen Rollenverteilung bringen.
  1. 1 Dieser Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder.
  2. 2 VO (EU) 679/2016.
  3. 3 Fritz, Anwendungsbereich und Rechtfertigung – alles neu macht die DS-GVO? In: Jahnel (Hrsg.), Jahrbuch Datenschutzrecht 2016, S. 9 (S. 20).
  4. 4 Pötters/Böhm in Wybitul (Hrsg.), EU-Datenschutz-Grundverordnung, 2017, Art. 4 Rz. 29.
  5. 5 Hartung in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 28 Rz. 28.
  6. 6 Raschauer in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 4 Rz. 125; Spoerr in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 26 Rz. 19.
  7. 7 Vgl. dazu und im Detail zu Begriff und Abgrenzung des Auftragsverarbeiters Fritz, Der Auftragsverarbeiter im Fokus der DS-GVO. In Jahnel (Hrsg.), Jahrbuch Datenschutzrecht 2017, S. 9 (S. 11 ff.).
  8. 8 Gola in Gola (Hrsg.), DS-GVO, 2017, Art. 4 Rz. 59.
  9. 9 Plath in Plath (Hrsg.), BDSG/DSGVO2, 2016, Art. 28 Rz. 2.
  10. 10 Vgl. Art. 29 DS-GVO.
  11. 11 Spoerr in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 28 Rz. 19.
  12. 12 Vgl. Art. 28 Abs. 3 DS-GVO.
  13. 13 Dazu im Detail Fritz, Der Auftragsverarbeiter im Fokus der DS-GVO. In Jahnel (Hrsg.), Jahrbuch Datenschutzrecht 2017, S. 9 (S. 23 ff.).
  14. 14 Vgl. Art. 26 Abs. 1 Satz 1 DS-GVO.
  15. 15 Dazu etwa Piltz in Gola (Hrsg.), DS-GVO, 2017, Art. 26 Rz. 7; Spoerr in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 26 Rz. 14 ff.
  16. 16 Ingold in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 26 Rz. 4.
  17. 17 Spoerr in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 26 Rz. 16.
  18. 18 Ingold in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 26 Rz. 4.
  19. 19 Arg. «die Zwecke der und die Mittel zur Verarbeitung»; vgl. auch Piltz in Gola (Hrsg.), DS-GVO, 2017, Art. 26 Rz. 3.
  20. 20 Plath in Plath (Hrsg.), BDSG/DSGVO2, 2016, Art. 26 Rz. 4; unter Verweis auf eine zur Datenschutz-Richtlinie ergangene Stellungnahme der Art 29 Working Party auch Horn, Gemeinsam für die Verarbeitung Verantwortliche. In: Knyrim (Hrsg.), Datenschutz-Grundverordnung, 2017, S. 153 (S. 157), dem folgend Kastelitz in Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg.), Datenschutzgrundverordnung, 2017, Art. 26 Anm. 3; sogar noch weiter gehen Pesch/Sillaber, Distributed Ledger, Joint Control? – Blockchains and the GDPR’s Transparency Requirements, Cri 2017, S. 166 (S. 170), welche auf die Voraussetzung der gemeinsamen Festlegung von Zweck und Mittel ganz verzichten und eine gemeinsame Verantwortlichkeit schon dann als gegeben ansehen, wenn es im Sinne von Ziel und Zweck des Art 26 DS-GVO geboten erscheinen würde.
  21. 21 Dazu im Detail Fritz, Der Auftragsverarbeiter im Fokus der DS-GVO. In Jahnel (Hrsg.), Jahrbuch Datenschutzrecht 2017, S. 9 (S. 12 ff.).
  22. 22 Tinnefeld/Hanßen in Wybitul (Hrsg.), EU-Datenschutz-Grundverordnung, 2017, Art. 26 Rz. 8.
  23. 23 Vgl. Art. 26 Abs. 1 und Abs. 2 Satz 1 DS-GVO.
  24. 24 Vgl. Art. 26 Abs. 2 Satz 2 DS-GVO.
  25. 25 Hartung in Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 4 Nr. 8 Rz. 7.
  26. 26 Voigt, Konzerninterner Datentransfer. Praxisanleitung zur Schaffung eines Konzernprivilegs, CR 2017, S. 428 (S. 431) ; Spoerr in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 26 Rz. 3; Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, 2016, Rz. 207; Martini in Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 26 Rz. 2.
  27. 27 So auch Raschauer in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 4 Rz. 133.
  28. 28 Regelungen ähnlich dem in Österreich bislang bekannten Informationsverbundsystem gibt es unter der DS-GVO nicht.
  29. 29 Tinnefeld/Hanßen in Wybitul (Hrsg.), EU-Datenschutz-Grundverordnung, 2017, Art. 26 Rz. 9.
  30. 30 Z.B. über eine Facebook-Fanpage oder bei Nutzung einer Anwendung eines Drittanbieters, bei der die Mitarbeiter Zugangsdaten erhalten und in weiterer Folge personenbezogene Daten über das System eingeben und verarbeiten können.
  31. 31 Einem Verantwortlichen kommt gegenüber einem Auftragsverarbeiter auch die Weisungsbefugnis hinsichtlich der Mittel der Verarbeitung zu; vgl. etwa Fritz, Der Auftragsverarbeiter im Fokus der DS-GVO. In Jahnel (Hrsg.), Jahrbuch Datenschutzrecht 2017, S. 9 (S. 13 f.).
  32. 32 Spoerr in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 26 Rz. 18; Bertermann in Ehmann/Selmayr (Hrsg.), DS-GVO, 2017, Art. 26 Rz. 8; weiters Schild in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 4 Rz. 92.
  33. 33 Martini in Paal/Pauly (Hrsg.), Datenschutz-Grundverordnung, 2017, Art. 26 Rz. 19.
  34. 34 Ingold in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 28 Rz. 24; Spoerr in Wolff/Brink (Hrsg.), Beck'scher Online-Kommentar Datenschutzrecht21, Stand: 1. August 2017, Art. 28 Rz. 20.
  35. 35 Vgl. etwa Raschauer in Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2017, Art. 4 Rz. 119; a.A. Feiler/Forgó, EU-DSGVO, 2017, Art. 4 Anm. 13.