Das Rechtsinstitut wurde 2018 mit der Novellierung des EKD-Datenschutzgesetzes (DSG-EKD) ins Gesetz aufgenommen und findet sich in § 29 DSG-EKD.

• 29 Gemeinsam verantwortliche Stellen

(1) ₁ Legen zwei oder mehr verantwortliche Stellen gemeinsam die Zwecke und die Mittel zur Verarbeitung fest, so sind sie gemeinsam verantwortliche Stellen. ₂ Sie legen in einer Vereinbarung in transparenter Form fest, wer welche Verpflichtung gemäß diesem Kirchengesetz erfüllt, soweit die jeweiligen Aufgaben der verantwortlichen Stellen nicht durch Rechtsvorschriften festgelegt sind.

(2) ₁ In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. ₂ Das Wesentliche der Vereinbarung wird der betroffenen Person auf Verlangen zur Verfügung gestellt.

(3) Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte im Rahmen dieses Kirchengesetzes bei und gegenüber jeder einzelnen verantwortlichen Stelle geltend machen.

Die Schaffung der „gemeinsam verantwortlichen Stelle“ als neuem Rechtsinstitut im EKD-Datenschutzgesetz soll sicherstellen, dass auch in der heutigen – oft arbeitsteiligen Ausgestaltung von Datenverarbeitungen personenbezogener Daten – für die betroffene Person stets nachzuvollziehen ist, welche verantwortliche Stelle im konkreten Fall für welchen Teil der Datenverarbeitung Verantwortung trägt. Die gemeinsame verantwortliche Stelle ist also eine weitere Ausprägung des Transparenzgrundsatzes gemäß § 5 Abs. 1 Nr. 1 DSG-EKD im Außenverhältnis der gemeinsam verantwortlichen Stellen und der betroffenen Person. Des Weiteren wird im Innenverhältnis zwischen den gemeinsam verantwortlichen Stellen die Verantwortlichkeit und Haftung geregelt.

Dem Wortlaut nach ist die Regelung des § 29 DSG-EKD lediglich auf Zusammenarbeiten zwischen zwei verantwortlichen Stellen, die dem Anwendungsbereich des EKD-Datenschutzgesetzes unterliegen, anwendbar. Dies kann der Formulierung „wer welche Verpflichtungen gemäß diesem Kirchengesetz erfüllt“ in § 29 Abs. 1 Satz 2 DSG-EKD entnommen werden. In der Praxis bestehen aber auch viele Kooperationen zwischen evangelischen und katholischen Einrichtungen oder evangelischen Einrichtungen mit Unternehmen. Bei gemeinsamen Datenvereinbarungen mit Einrichtungen anderer Konfessionen oder Unternehmen sind die Grundsätze des § 29 DSG-EKD analog anzuwenden.

Nein, § 29 DSG-EKD stellt für die gemeinsam verantwortliche Stelle keine Rechtsgrundlage zur Verarbeitung personenbezogener Daten dar. Die jeweilige verantwortliche Stelle muss eine eigene Rechtsgrundlage haben, auf die sie die Datenverarbeitung stützen kann. Das heißt, eine fehlende Vereinbarung gemäß § 29 DSG-EKD führt nicht zur Rechtswidrigkeit der Datenverarbeitung.

„Festlegung der Zwecke und Mittel der Datenverarbeitung“ ist im Sinne der Definition der verantwortlichen Stelle zu verstehen. In § 4 Nr. 9 DSG-EKD verwendet das EKD-Datenschutzgesetz die Formulierung „Entscheidung über Mittel und Zwecke der Datenverarbeitung“. § 4 Nr. 9 DSG-EKD enthält auch bereits einen Hinweis darauf, dass eine Entscheidung allein oder gemeinsam erfolgen kann.

Es ist eine Vielzahl von Kooperationen oder Zusammenarbeiten denkbar, die datenschutzrechtlich als gemeinsam verantwortliche Stelle zu qualifizieren sind. Wichtig ist, dass der gemeinsame Zweck der Datenverarbeitung oder die gemeinsamen Mittel sich nicht auf die gesamte Datenverarbeitung beziehen müssen. Es reicht eine anfängliche Begründung einer gemeinsam verantwortlichen Stelle lediglich bei der Datenerhebung oder eine nachträgliche Begründung durch Offenlegung oder eine andere Form der Bereitstellung personenbezogener Daten aus.

Nein, auch wenn ein Partner nur eine untergeordnete Bedeutung bei der Betrachtung der Datenverarbeitung hat, kann eine gemeinsam verantwortliche Stelle vorliegen. Dies kann sogar der Fall sein, wenn eine der beiden verantwortlichen Stellen gar keinen Zugriff auf die personenbezogenen Daten hat.

Wichtigstes Abgrenzungsmerkmal zwischen der gemeinsam verantwortlichen Stelle und der alleinigen Verantwortlichkeit ist, dass die Datenverarbeitung erfolgt, ohne dass es Festlegungen der verantwortlichen Stellen im Hinblick auf gemeinsame Mittel oder Zwecke der Verarbeitung personenbezogener Daten gibt. Indiz hierfür kann sein, dass jede verantwortliche Stelle eigene vertragliche Beziehungen zu den betroffenen Personen hat und der Zweck der Datenverarbeitung sich lediglich auf die Durchführung dieser vertraglichen Vereinbarungen bezieht. Von einer alleinigen Verantwortung ist etwa bei Sachverständigen, Gutachtern oder Berufsgeheimnisträgern auszugehen. Häufig handelt es sich dann um eine Datenübermittlung oder Datenweitergabe für einen eigenständigen Zweck des Empfängers.

Wichtigstes Abgrenzungsmerkmal zwischen der gemeinsam verantwortlichen Stelle und der Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragsverarbeiters. Agiert dieser lediglich als verlängerter Arm des Auftraggebers und hat kein eigenes Interesse an den verarbeiteten personenbezogenen Daten, dann liegt ein Fall der Auftragsverarbeitung gemäß § 30 DSG-EKD vor. Die verantwortliche Stelle entscheidet allein über die Zwecke der Verarbeitung. Hiervon ist z.B. beim Hosting von Internetseiten auszugehen.

Gemäß § 29 Abs. 1 Satz 2 DSG-EKD müssen die verantwortlichen Stellen in einer Vereinbarung gegenüber den betroffenen Personen, deren personenbezogene Daten verarbeitet werden, transparent machen, wen im Rahmen der gemeinsam verantwortlichen Stelle welche Verpflichtungen betreffen. Dies ist nur dann nicht der Fall, wenn die jeweiligen Aufgaben bereits durch ein Gesetz festgelegt worden sind (§ 29 Abs. 1 Satz 2 letzter HS DSG-EKD).

Grundsätzlich legt § 29 Abs. 2 DSG-EKD fest, dass in der Vereinbarung von den mehreren Verantwortlichen eine Anlaufstelle für die betroffenen Personen benannt werden kann, bei der diese ihre Betroffenenrechte gemäß §§ 16 ff. DSG-EKD geltend machen können. Diese zentrale Anlaufstelle soll die Geltendmachung der Betroffenenrechte in der Praxis erleichtern. § 29 Abs. 3 DSG-EKD stellt aber klar, dass die betroffenen Personen sich auch abweichend von der benannten Anlaufstelle bei jeder der einzelnen verantwortlichen Stellen melden können, um ihre Betroffenenrechte geltend zu machen. Sie können somit nicht an die Anlaufstelle verwiesen werden. Vielmehr müssen die einzelnen verantwortlichen Stellen prüfen, welche Stelle im Einzelfall zuständig ist und dann den Antrag der betroffenen Personen an diese weiterleiten.

Weitere gesetzliche Vorgaben zur Form oder zur Ausgestaltung der Vereinbarung enthält das EKD-Datenschutzgesetz nicht. Es erscheint aber sinnvoll, zumindest eine Vereinbarung in Textform zu treffen, um diese auch auf einfache Weise dokumentieren zu können. Eine gemeinsame Verantwortung liegt aber auch dann vor, wenn keine Vereinbarung getroffen wurde.

Der BfD EKD stellt für eine solche Vereinbarung kein Muster zur Verfügung. Dies wäre aufgrund der unterschiedlichen Ausgestaltungen im Einzelfall nicht zielführend.

Auch beim Rechtsinstitut der gemeinsam verantwortlichen Stellen ist – wie sonst auch –  im kirchlichen Recht lediglich eine Informationspflicht auf Verlangen vorgeschrieben. Der BfD EKD empfiehlt auch hier eine generelle Information vorzusehen.