Häufig ist bei rechtlich selbständigen kirchlichen Stellen ein reger Datenaustausch zu verzeichnen. Zum Teil kooperieren diese Stellen entweder eng miteinander oder sind gar in einer Konzernstruktur verbunden. Das »kleine Konzernprivileg« kann hier nur sehr bedingt eingesetzt werden. Diese Verarbeitungen müssen daher einer differenzierten datenschutzrechtlichen Betrachtung unterzogen und, wo nötig, vertraglich geregelt werden.
Kooperationen sind im kirchlichen Umfeld fester Bestandteil der Arbeitswelt. Neben Einrichtungen des Gesundheits- und Sozialwesens übernehmen auch in der verfassten Kirche verschiedene Stellen Aufgaben für andere (z. B. Dekanate, kreiskirchliche Verwaltungsämter, Regionalzentren).
Damit geht meist eine Datenverarbeitung einher, für die je nach Konstellation vertragliche Regelungen erforderlich werden. Unumgänglich ist es, die Rechtsgrundlage für den Datenaustausch und die Verantwortlichkeit für die Verarbeitung personenbezogener Daten zu klären. Denn nur so ist eine (haftungs-)rechtliche Absicherung und die Erfüllung aller Pflichten der verantwortlichen Stellen möglich.
Datenschutzrechtliche Verantwortung
Es gilt zunächst abzugrenzen, wer verantwortliche Stelle oder Auftragsverarbeiter sein kann: Beides setzt eine rechtliche Selbstständigkeit voraus; als Rechtsträger kommen hier natürliche oder juristische Personen infrage.
Betreibt nun beispielsweise ein Caritas-Verband mehrere Seniorenheime, die keine eigene Rechtspersönlichkeit haben, läge keine Datenübermittlung zwischen zwei verantwortlichen Stellen und auch keine Auftragsverarbeitung vor, sondern lediglich eine Verarbeitung innerhalb des Caritas-Verbands, welcher hier als verantwortliche Stelle zu identifizieren ist. (Eine Datenweitergabe ist, nur weil sie innerhalb eines Rechtsträgers erfolgt, noch nicht zwingend rechtmäßig. Auch hier müssen die datenschutzrechtlichen Grundsätze beachtet werden. Eine vertragliche Regelung ist mangels zweiter Partei hier jedoch nicht sinnvoll.)
Davon zu unterscheiden ist der Datenaustausch mit rechtlich selbständigen Seniorenheimen, Kindertagesstätten etc., mit denen ein Datenaustausch stattfindet.
Auftragsverarbeitung
Am häufigsten erfolgt die Einordnung einer Zusammenarbeit mit Datenverarbeitung als Auftragsverarbeitung. Hierbei verarbeitet ein Auftragnehmer (in diesem Kontext dann »Auftragsverarbeiter« genannt) personenbezogene Daten im Auftrag für eine verantwortliche Stelle. Zur rechtlichen Absicherung ist der Abschluss einer Vereinbarung zur Auftragsverarbeitung erforderlich. Doch nicht jede Verarbeitung durch einen Dienstleister ist auch eine Auftragsverarbeitung. Folgende Kriterien müssen erfüllt sein:
- Der Auftraggeber entscheidet allein über die Zwecke und Mittel der Verarbeitung.
- Der Auftragnehmer verfolgt mit der Verarbeitung keine eigenen Zwecke.
- Die Verarbeitung erfolgt weisungsgebunden.
- Die Verarbeitung personenbezogener Daten ist Kern der Dienstleistung.
Die Abgrenzung kann hier zum Teil schwierig und uneindeutig sein, wie Stellungnahmen verschiedener Aufsichtsbehörden zeigen (allen voran die Auslegungshilfe des Bayerischen Landesamts für Datenschutzaufsicht vom 15. Mai 2019 zur Frage »Was ist Auftragsverarbeitung und was nicht?«).
Eine Haftung des Auftragsverarbeiters ist hier bei Verstößen gegen die ihm auferlegten Pflichten (aus der Vereinbarung oder unmittelbar aus den geltenden Gesetzen) oder Handlungen entgegen der Weisung des Auftraggebers möglich. Davon abgesehen haftet die verantwortliche Stelle. Dies führt dazu, dass der Auftragsverarbeiter beispielsweise keine eigene Rechtsgrundlage für die Verarbeitung benötigt und keine eigene Transparenzpflicht den betroffenen Personen gegenüber erfüllen muss.
Gemeinsame Verantwortlichkeit
Eine weitere Möglichkeit besteht in der »gemeinsamen Verantwortlichkeit«, bei der zwei oder mehr Rechtsträger gemeinsam über Mittel und Zwecke der Verarbeitung entscheiden und die Verantwortlichkeit (und damit auch das Risiko) in einer entsprechenden Vereinbarung untereinander aufteilen:
Grundsätzlich ist von einer gesamtschuldnerischen Haftung auszugehen. Der Verantwortungsbeitrag ist maßgeblich für Haftung im Innenverhältnis und eine Exkulpationsmöglichkeit besteht, wenn ein Verantwortlicher zu keinen Umständen für eingetretenen Schaden verantwortlich ist.
Eine gemeinsame Verantwortlichkeit besteht ungeachtet des Bestehens einer Vereinbarung dazu. Das Fehlen einer Vereinbarung nach § 28 Abs. 1 S. 2 KDG/KDR-OG bzw. § 29 Abs. 1 S. 1 DSG-EKD oder die fehlende Transparenz gegenüber betroffenen Personen stellt jedoch einen Verstoß gegen das jeweils anzuwendende Datenschutzgesetz dar.
Eigene bzw. getrennt Verantwortliche
Trifft keine der oben genannten Möglichkeiten zu und bestimmt insbesondere jede verantwortliche Stelle selbst die Mittel und Zwecke für die Verarbeitung, handelt es sich um zwei oder mehr eigene verantwortliche Stellen. Hierbei ist auf die Umsetzung einer strikten Trennung der Verantwortlichkeitsbereiche zu achten. Jede verantwortliche Stelle haftet dann für die durch sie durchgeführte Verarbeitung.
Abhängig von der Verantwortlichkeit für die Verarbeitung gilt es also, entsprechende Überlegungen anzustellen, Vereinbarungen abzuschließen und so den Pflichten aus dem Datenschutzrecht nachzukommen. Wann immer also personenbezogene Daten von einer Stelle zu einer anderen, rechtlich selbständigen Stelle fließen, sollte diesem Schema gefolgt werden. Pflichten wie die Transparenz, das Sicherstellen der Datensicherheit, Durchführung von Datenschutzfolgenabschätzungen oder die Dokumentation im Verzeichnis von Verarbeitungstätigkeiten sind darüber hinaus selbstverständlich ebenfalls zu erfüllen, können aber oft erst mit Klärung der obenstehenden Punkte umgesetzt werden.
Die Rolle des »kleinen Konzernprivilegs«
Das gemeinsprachliche »kleine Konzernprivileg« meint die in den ErwG 48 und 37 der DSGVO beschriebene Möglichkeit, das berechtigte Interesse als Rechtsgrundlage für die Datenübermittlung innerhalb einer Unternehmensgruppe anzuwenden. (Der Begriff des »kleinen Konzernprivilegs« wird in einem weiteren datenschutzrechtlichen Zusammenhang verwendet: Nämlich, wenn es um die Bestellung eine*r gemeinsamen Datenschutzbeauftragten geht. Hierauf soll an dieser Stelle jedoch nicht weiter eingegangen werden.)
Der Begriff des »kleinen Konzernprivilegs« rührt aus dem Konzernprivileg aus dem Handels- und Steuerrecht. Dort wird die Definition des Konzerns aus dem Aktiengesetz und International Financial Reporting Standards verwendet, wobei eine Beherrschung im Sinne einer wirtschaftlichen Unselbstständigkeit ausschlaggebend ist.
In den Datenschutzgesetzen ist jedoch weder das Wort »Konzern« noch der Begriff des »kleinen Konzernprivilegs« zu finden. Vielmehr ist hier die Rede von »Verantwortlichen, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind«.
Die Unternehmensgruppe wird hier genauer anhand der folgenden Kriterien beschrieben:
- Ein Unternehmen, das abhängige Unternehmen beherrscht aufgrund von
- Eigentumsverhältnissen
- der finanziellen Beteiligung
- der für das Unternehmen geltenden Vorschriften
- der Befugnis, Datenschutzvorschriften umsetzen zu lassen
- Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine »Unternehmensgruppe« betrachtet werden.
Ein Großteil der verantwortlichen Stellen dürfte in diesen Anwendungsbereich fallen. Insoweit scheint das (wie wir nun wissen unpräzise benannte) »kleine Konzernprivileg« sehr breit anwendbar zu sein.
Die erste große Einschränkung findet sich nun im möglichen Zweck. Hier werden »interne Verwaltungszwecke« als legitime Zwecke genannt. Was genau unter diese internen Verwaltungszwecke fällt, ist nicht weiter definiert und bedarf in der Praxis einer differenzierten Betrachtung und Abgrenzung zu (Teil-)Verarbeitungen zu anderen Zwecken.
Die zweite Einschränkung findet sich im eigentlichen Kern des Erwägungsgrunds. Denn ermöglicht wird ein Übermitteln auf Grundlage eines berechtigten Interesses. Das »kleine Konzernprivileg« setzt also in der obigen Abbildung bei Punkt 4a) an. Schnell wird so klar, dass bei einer Übermittlung besonderer Kategorien personenbezogener Daten das berechtigte Interesse nicht als Rechtsgrundlage ausreicht.
Zudem wird auch trotz ErwG 48 eine Interessensabwägung erforderlich.
Anwendbarkeit für kirchliche Verantwortliche
Das KDG und die KDR-OG greifen in § 4 Nr. 20 zumindest den Begriff der Unternehmensgruppe auf, im DSG-EKD findet sich kein Äquivalent. Dennoch können die beiden Erwägungsgründe zur Auslegung der kirchlichen Datenschutzgesetze herangezogen werden.
Vertragliche Absicherung
Unbeschadet einer vorhandenen Rechtsgrundlage sind die Verantwortlichkeit zu klären und entsprechende vertragliche Vereinbarungen zu treffen. Nur so können Haftungsfragen geklärt und Bußgelder und Schadensersatzansprüche vermieden werden. Denn bereits das Fehlen einer vorgeschriebenen Vereinbarung stellt einen Verstoß gegen das Datenschutzrecht dar.
In einer Unternehmensgruppe sind üblicherweise nicht nur zwei, sondern häufig eine Vielzahl an verantwortlichen Stellen organisiert, zwischen denen ein reger Datenaustausch stattfindet. So entsteht ein komplexes Netzwerk an für- und miteinander durchgeführten Datenverarbeitungen in unterschiedlichsten Ausprägungen und zu unterschiedlichen Zwecken.
Diese müssen betrachtet, bewertet und anschließend in Vereinbarungen zur Auftragsverarbeitung oder zur gemeinsamen Verantwortlichkeit geregelt werden. Das komplexe Netzwerk kann hierbei durch eine Vielzahl an Einzelverträgen (orientiert an den laufenden Verarbeitungen) oder aber durch ein einziges, vollumfängliches, gemeinsam abgeschlossenes Gesamtvertragswerk rechtlich abgesichert werden.
In der Praxis
Beim Einsatz von Dienstleistern, zu denen keine engeren Verbindungen bestehen, werden in der Praxis meist vertragliche Regelungen – auch hinsichtlich des Datenschutzes – getroffen. Bei engeren, oft traditionsreichen Verbindungen und gewachsenen Strukturen bleibt dieser Schritt häufig aus. Um die Vorgaben aus den Datenschutzgesetzen zu erfüllen und zur Klärung der Haftungsfrage sind aufgrund der rechtlichen Selbstständigkeit der Parteien aber auch hier unbedingt weitere Maßnahmen erforderlich. Der/die Datenschutzbeauftragte sollte hierbei unbedingt hinzugezogen werden und kann auch bei der Vertragsgestaltung einen wichtigen Beitrag liefern.
Sehr geehrte Frau Mosen, vielen Dank für die hilfreichen und gut strukturierten Ausführungen. Neu für uns war in dieser Deutlichkeit das Modell der getrennt Verantwortlichen, das wir im Team intensiv diskutiert haben. Wir sind jedoch auf keine überzeugenden Anwendungsbeispiele gekommen (mal abgesehen von Fällen wie wie Rechtsanwälten, Wirtschaftsprüfern, Geldtransfers durch Bankinstitute, Inkassobüros mit Forderungsübertragung oder Brieftransport durch die Post), da wir regelmäßig Fälle von gemeinsamer Verantwortlichkeit gesehen haben. Hätten Sie Beispiele für Konstellationen von getrennt Verantwortlichen für uns? Und vielleicht auch Lesetipps, um das Thema zu vertiefen? Ganz herzlichen Dank und viele Grüße aus Köln
Sehr geehrter Herr Ronnenberg,
vielen Dank für Ihre Rückmeldung zu meinem Beitrag. Das Thema liegt mir sehr am Herzen.
Die Einordnung in die möglichen Aufteilungen der Verantwortlichkeit ist nicht zu pauschalisieren, weshalb alleine die Zugehörigkeit einer Verarbeitung zu den folgenden Kategorien nicht zugleich bedeutet, dass auch sicher zwei getrennt Verantwortliche agieren.
Grundsätzlich denkbar ist dies aber bei folgenden Kooperationen:
– Ausbildung von Pflegekräften: Kooperation zwischen Berufsschule, Arbeitgeber und weiteren praktischen Ausbildungsstätten.
– Belegärzte im Krankenhaus (die saubere Trennung der Verantwortungsbereiche kann hier anspruchsvoll sein und ist manchmal leider auch nicht gegeben)
– Hilfsmittelversorgung durch einen Lieferanten, der direkt mit der Krankenkasse eines Bewohners eines Seniorenheims abrechnet (die Weitergabe von Daten erfolgt im Auftrag des Bewohners oder der Angehörigen).
– Externe Therapeuten, die im Haus therapieren (häufig z.B. Physiotherapie in Pflegeheimen)
– Fahrdienst
– Externes Labor
– Behandlung desselben Patienten durch Krankenhaus und zugehöriges MVZ
– Personaldienstleister
– Headhunter
Entscheidend ist, dass sich die Verantwortungsbereiche nicht überschneiden. Dann liegt lediglich eine Übermittlung vor, auch wenn die Kooperation (wirtschaftlich) enger ausfällt.
Als weitere Informationsquellen zur Auftragsverarbeitung und zur gemeinsamen Verantwortlichkeit können sicher die Kurzpapiere der DSK und die GDD-Praxishilfe XV „Die gemeinsame Verantwortlichkeit
nach Art. 26 DS-GVO (Joint Controllership)“ herangezogen werden.
Wenn Sie konkret Informationen zur getrennten Verantwortlichkeit oder zur differenzierteren Unterscheidung der drei suchen, muss ich Sie leider enttäuschen. Die „getrennte Verantwortlichkeit“ ist in diesem Sinne keine „neuartige Entdeckung“ sondern eigentlich die Basis oder die Norm, wenn man es so nennen möchte.
Statt alles über einen (Auftragsverarbeitungs-)Kamm zu scheren oder überall Vereinbarungen über die gemeinsame Verantwortlichkeit zu treffen, kann es sich manchmal lohnen, stattdessen die Verantwortungsbereiche klar zu trennen.
Ich wünsche Ihnen alles Gute und sende Ihnen ganz herzliche Grüße aus München.