Der Europäische Datenschutzausschuss EDSA hat die finale Fassung der Leitlinien zu den Konzepten des Verantwortlichen und des Auftragsverarbeiters veröffentlicht (“Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0″, 7. Juli 2021). Ein Deltaview der finalen gegen die Entwurfsfassung ist hier verfügbar.
Die Abweichungen zum Entwurf sind begrenzt; in anderen Fällen hat der EDSA bei einer finalen Fassung i.d.R. weitergehende Änderungen vorgenommen. Einige sind nur Klarstellungen, z.B.
- dass die datenschutzrechtlichen Rollen an den juristischen Personen und nicht einzelnen Abteilungen anknüpfen, selbst wenn diese mit einem hohen Grad an Autonomie handeln;
- dass ein Telekommunikationsdienstleister kein Verantwortlicher ist für Inhaltsdaten der übermittelten K0mmunikation (das ist nur der Absender);
- dass ein Hostingdienstleister auch dann kein Verantwortlicher ist, wenn er den Service unabhängig vom Kunden ausgestaltet und die Vertragsbedingungen einseitig vorgibt, weil es immer noch der Kunde ist, der über die Verwendung des Dienstes entscheidet;
- dass die wesentlichen Mittel, über die nur der Verantwortliche entscheiden kann, jene Mittel sind, die mit dem Zweck und dem Ausmass in einer engen Verbindung stehen, weil sie “closely linked” seien “to the question of whether the processing is lawful, necessary and proportionate”;
- dass ein Marktforschungsunternehmen, das Personendaten autonom beschafft und auswertet und seinen Kunden nur anonyme Statistiken zur Verfügung stellt, ohne dass der Kunde mitbestimmt, welche Personendaten auf welche Weise bearbeitet werden, alleiniger Verantwortlicher ist.
Bei der Frage, wie granular die Bearbeitungsvorgänge bei der Rollenzuweisung zu beurteilen sind, versucht der EDSA mit einem neuen Absatz Klarheit zu schaffen, ohne dass dadurch viel gewonnen wäre:
“In practice, the processing of personal data involving several actors may be divided into several smaller processing operations for which each actor could be considered to determine the purpose and means individually. On the other hand, a sequence or set of processing operations involving several actors may also take place for the same purpose(s), in which case it is possible that the processing involves one or more joint controllers. In other words, it is possible that at “micro-level” the different processing operations of the chain appear as disconnected, as each of them may have a different purpose. However, it is necessary to double check whether at “macro-level” these processing operations should not be considered as a “set of operations” pursuing a joint purpose using jointly defined means.”
Bei der gemeinsamen Verantwortung präzisiert der EDSA, dass der gemeinsame Vorteil (“mutual benefit”) beider Parteien aus einer Bearbeitung nur ein Indiz für eine gemeinsame Verantwortung und für sich genommen nicht massgeblich sein kann. Das Konzept der gemeinsamen Verantwortung wird vom EDSA aber nicht neu definiert. Unverändert bleibt auch die folgende Passage, wonach es für eine gemeinsame Verantwortung die Mitbestimmung nur über die Zwecke oder nur über die wesentlichen Mittel einer Bearbeitung nicht ausreicht:
The overarching criterion for joint controllership to exist is the joint participation of two or more entities in the determination of the purposes and means of a processing. More specifically, joint participation needs to include the determination of purposes on the one hand and the determination of means on the other hand. If each of these elements are determined by all entities concerned, they should be considered as joint controllers of the processing at issue.
Bei der Auftragsverarbeitung findet sich ebenfalls wenig Neues. Der EDSA empfiehlt aber neu, einen Auftragsverarbeitungsvertrag als Teil einer weitergehenden Vereinbarung (Dienstleistungsvertrag, SLA usw.) aus Dokumentationsgründen nicht unmitelbar in diese zu integrieren, sondern separat bspw. als eigenständigen Anhang auszugestalten.
Interessant sind dagegen die Ergänzungen zum Auditrecht des Verantwortlichen, ein bei ADV besonders oft verhandelter Punkt:
- Hier hält der EDSA fest, dass der Auftragsverarbeiter zwar einen Auditor vorschlagen kann, dass es aber der Verantwortliche ist, der abschliessend über die Person des Auditors entscheidet. Wenn ein Audit durch eine vom Processor vorgeschlagene Stelle durchgeführt wird (z.B. als regelmässiges Selbstaudit), müsse der Controller das Ergebnis bestreiten können. Im Ergebnis verlangt der EDSA daher wohl, dass der Verantwortliche das Recht haben muss, zumindest als Eskalationstufe einen eigenen Auditor zu bestimmen bzw. ein eigenes Audit zu veranlassen.
- Ferner müsse auch die Letztentscheidung über die Art des Audits beim Verantwortlichen liegen (z.B. ob remote oder on-site). Das dürfte der Sache nach auch einer Regelung entgegenstehen, dass ein Audit ausnahmslos nur z.B. einmal jährlich erfolgen kann.
- Ausdrücklich geht der EDSA auch auf die Zuweisung der Auditkosten ein. Das sei eine Frage, die die DSGVO nicht regle und als kommerzieller Punkt verhandelt werden könne. Unzulässig wären nur prohibitive Kosten, die das Auditrecht unterlaufen.