30. Januar 2020

UpdateJoint Controller Agreement: Vorteile und Herausforderungen der gemeinsamen Verantwortlichkeit

Update: 22.04.2021

Die Vereinbarung über die gemeinsame Verantwortlichkeit („Joint Controller Agreement“ nach der englischen Bezeichnung für die gemeinsame Verantwortlichkeit, oder auch kurz „JCA“ genannt) erscheint vielen Verantwortlichen in der Praxis noch immer als kompliziert und umständlich. Doch zu Unrecht: Mit der sorgfältigen Ausgestaltung des Agreements können verantwortliche Unternehmen von vielen Vorteilen profitieren, Effizienzgewinne durch vorausschauende Prozessgestaltung erzielen und ein entsprechendes effektives Risikomanagement betreiben. Dies gilt insbesondere im Gesundheitsbereich in vielen Konstellationen (wie z.B. bei der Verarbeitung der Daten von Teilnehmern klinischer Studien oder auch bei telemedizinischen Leistungen), da hier vielfach besondere Anforderungen an die Art und Weise der Datenverarbeitung und die diesbezüglichen technisch-organisatorischen Maßnahmen (wie insbesondere die Verwendung von Verschlüsselungsmechanismen, elektronischen Signaturen und Quittierungsverfahren) bestehen können. So kann es zum Beispiel im Rahmen von klinischen Studien besonders wichtig sein, sich mit den übrigen verantwortlichen Stakeholdern in Form eines JCA darüber zu verständigen, welche Partei im Fall von Auskunfts- oder Löschungsverlangen der Patientinnen und Patienten, bei Einwilligungswiderrufen oder im Fall von Datenpannen welche konkreten Aufgaben, Zuständigkeiten, Informations- und Mitwirkungspflichten haben soll.

Davon abgesehen besteht im Übrigen eine Pflicht zum Abschluss eines JCA, wenn eine gemeinsame Verantwortlichkeit in der Praxis vorliegt – ohne ein JCA drohen Bußgelder.

Wir zeigen Ihnen in diesem Beitrag anhand einiger Beispiele aus dem Gesundheitsbereich, was unter der gemeinsamen Verantwortlichkeit zu verstehen ist, welche Regelungen im Joint Controller Agreement getroffen werden müssen und wie ein JCA für verantwortliche Unternehmen sinnvoll und gewinnbringend ausgestaltet werden kann.

Wann liegt ein Joint Controllership vor?

Eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO liegt nicht erst vor, wenn Akteure sie vertraglich vereinbaren, sondern bereits dann, wenn ihre Voraussetzungen in der Praxis tatsächlich gegeben sind. Damit gelten auch die spezifischen datenschutzrechtlichen Vorgaben, weshalb Unternehmen immer prüfen sollten, ob es sich bei ihrer konkreten Konstellation um eine gemeinsame Verantwortlichkeit gemäß DSGVO handeln könnte.

Anders als im Rahmen einer Auftragsverarbeitung, bei welcher der Auftragsverarbeiter gegenüber dem Verantwortlichen weisungsgebunden ist, sind bei der gemeinsamen Verantwortlichkeit zwei oder mehr Verantwortliche an der Datenverarbeitung beteiligt. In Abgrenzung zur getrennten Verantwortlichkeit müssen diese zudem die Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen. Dies ergibt sich aus dem Gesetzeswortlaut von Art. 26 DSGVO, welcher diese gemeinsame Festlegung zur entscheidenden Eigenschaft der gemeinsamen Verantwortlichkeit macht. Für die Beurteilung, wann eine solche gemeinsame Festlegung vorliegt, gibt es keine festen Kriterien. Allerdings können einige Anhaltspunkte und Indizien für die eine oder die andere Konstellation herangezogen werden, die vor allem vom Europäischen Gerichtshof in einigen Urteilen benannt worden sind. Eine gemeinsame Verantwortlichkeit kann auch dann vorliegen, wenn jede Stelle ihre eigenen Zwecke verfolgt oder nicht jeder Verantwortliche in gleichem Umfang oder überhaupt Zugriff auf die Daten hat. Es reicht unter Umständen sogar aus, wenn eine Stelle nur mitursächlich für die Datenverarbeitung ist. Der Begriff der gemeinsamen Verantwortlichkeit ist demnach sehr weit zu verstehen. Eher von einer getrennten Verantwortlichkeit ist beispielsweise dann auszugehen, wenn die Zwecke der Akteure keinerlei Zusammenhang aufweisen und der Zweck des einen auch ohne die Beteiligung des anderen gut erreicht werden kann. Es ist in der Praxis also sinnvoll, sich mit dem Thema frühzeitig zu beschäftigen. Im Gesundheitsbereich sollte vor allem im Bereich klinischer Studien, der Telemedizin, bei der Nutzung eines gemeinsamen Datenpools oder der gemeinsamen Nutzung von Gesundheitsdaten in einem Konzern an die gemeinsame Verantwortlichkeit gedacht werden. Auch kann datenschutzrechtlich eine gemeinsame Verantwortlichkeit zum Beispiel im Fall besonderer, neuer Versorgungsformen vorliegen, bei denen die Zusammenarbeit bzw. Involvierung mehrerer Stakeholder aus verschiedenen Bereichen erforderlich oder gar vorgeschrieben ist (wie zum Beispiel bei der wissenschaftlichen Begleitung von neuen Versorgungsformen gemäß § 92a Abs. (1) SGB V).

Was folgt aus dem Joint Controller Agreement?

Im Falle einer gemeinsamen Verantwortlichkeit muss zwischen den Akteuren das Joint Controller Agreement abgeschlossen werden. Darüber hinaus müssen die betroffenen Personen über die wesentlichen Punkte der Vereinbarung informiert werden, wozu insbesondere die Verteilung der Zuständigkeiten gehört. Schließlich kann die gemeinsame Verantwortlichkeit eine gesamtschuldnerische Haftung der beteiligten Verantwortlichen zur Folge haben, wenn aufgrund von Datenschutzverstößen Geldbußen verhängt oder Schadensersatzansprüche geltend gemacht werden. Ohnehin erweitern sich die Bußgeldrisiken in der gemeinsamen Verantwortlichkeit, da sie die Verpflichtung zum Abschluss des Joint Controller Agreements sowie zu den zusätzlichen Informationspflichten zur Folge hat.

Zudem ist es für Verantwortliche wichtig zu beachten, dass die Vereinbarung eine gemeinsame Verantwortlichkeit nicht als alleinige Rechtsgrundlage für Datenverarbeitungen herangezogen werden sollte. Auch wenn es Stimmen gibt, die das Joint Controller Agreement als Rechtsgrundlage befürworten, vertritt die überwiegende Mehrheit einschließlich der Aufsichtsbehörden eine andere Ansicht. In der Praxis sollte daher auf die allgemeinen Rechtsgrundlagen nach Art. 6 und 9 DSGVO sowie etwaige spezialgesetzliche Rechtsgrundlagen zurückgegriffen werden.


Mehr zum Thema

Voraussetzungen und Haftungsfragen im Rahmen der Auftragsverarbeitung
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern


Welche Inhalte gehören in das Joint Controller Agreement?

Sobald eine gemeinsame Verantwortlichkeit vorliegt, sollten sich verantwortliche Unternehmen um den Abschluss eines vollständigen Joint Controller Agreements bemühen, um keine Rechtsverletzungen und Bußgelder zu riskieren. Es kann als gute Möglichkeit genutzt werden, um klare Regelungen zur Zusammenarbeit zwischen den beteiligten Verantwortlichen zu schaffen. Denn bei Herausforderungen wie der Bearbeitung von Datenschutzvorfällen oder Betroffenenanfragen können die Vereinbarungen beim schnellen und rechtskonformen Umgang helfen. Für das Joint Controller Agreement gibt es einige Inhalte, die verpflichtend aufgenommen werden müssen, und einige, deren Regelung freiwillig, aber häufig sinnvoll ist.

Zwingende Inhalte

In jedem Fall müssen die Zwecke und Mittel der Verarbeitung in der Vereinbarung mit enthalten sein. Genauso wie die Beschreibung der wesentlichen Funktionen und Rollen der gemeinsamen Verantwortlichen, etwa welche Stelle im Krankenhaus den Kontakt zu den Patienten pflegt oder welche der beteiligten Stakeholder im Rahmen von klinischen Studien als Kontakt gegenüber den teilnehmenden Patienten für die Geltendmachung von deren datenschutzrechtlichen Ansprüchen oder für die Erklärung von Einwilligungswiderrufen fungieren soll. Auch die interne Zuständigkeitsverteilung muss im Joint Controller Agreement geregelt werden, also insbesondere die Frage, wer die Informationspflichten erfüllt, Einwilligungen einholt, Einwilligungswiderrufe umsetzt und beantwortet etc. Wichtig ist, dass darüber hinaus die weiteren Betroffenenrechte (vor allem auf Auskunft, Berichtigung, Einschränkung der Datenverarbeitung und Datenportabilität) klaren Zuständigkeiten unterliegen. Beispielsweise wird im Rahmen klinischer Studien meist nicht mit den Daten im Klartext, sondern mit pseudonymisierten Datensätzen gearbeitet. Hier ist nur die Stelle, die das Pseudonymisierungs-Management betreibt und die Pseudonymisierung wieder auflösen kann, in der Lage, die Datensätze einer konkreten Person zuzuordnen und damit die Betroffenenrechte zu erfüllen. In solchen Konstellationen kann es daher sinnvoll sein, genaue Regelungen zur Zuständigkeit und Zusammenarbeit zu treffen. Diese sind auch mit Blick auf die geltenden Fristen, etwa von 72 Stunden für die Meldung von Datenschutzvorfällen an die Aufsichtsbehörde, hilfreich. Im Gesundheitsbereich kommt wegen der verarbeiteten sensiblen Gesundheitsdaten in der Regel die Meldepflicht gegenüber den betroffenen Personen hinzu, die unverzüglich zu erfolgen hat.

Sinnvolle Inhalte

Sinnvoll ist es vor allem, Gegenstand, Art und Umfang der Datenverarbeitungen noch einmal genauer und konkreter zu beschreiben. Für Unternehmen ist die Regelung in der Praxis empfehlenswert, um Datenschutzvorfälle und die betroffenen Daten schnell und vollständig identifizieren zu können. Eine solche Regelung sollte sicherstellen, dass in der Praxis möglichst schnell und zweifelsfrei eruiert werden kann, ob ein bestimmtes Datum vom Bereich der gemeinsamen Verantwortlichkeit erfasst ist oder nicht. Dies ist zum Beispiel dann wichtig und sehr praxisrelevant, wenn es im Hinblick auf konkrete und auf bestimmten Systemen verarbeiteten Daten zu einem Datenschutzvorfall (etwa durch einen Hacking-Angriff) gekommen ist und die Beteiligten nun innerhalb der Meldefrist von 72 Stunden möglichst schnell und sicher feststellen müssen, ob im Hinblick auf den Vorfall eine gemeinsame Verantwortlichkeit besteht und damit die Regelungen des JCA im Hinblick auf bestimmte Zuständigkeiten und Prozesse Anwendung finden oder eben nicht.

Darüber hinaus kann auch eine gemeinsame Anlaufstelle vereinbart werden. Dies kann hilfreich sein, um zu vermeiden, dass solche an einer Datenverarbeitung beteiligte Stellen mit der Bearbeitung von Datenschutzvorfällen und Betroffenenanfragen konfrontiert werden, die sie unter Umständen gar nicht bearbeiten können, weil ihnen bestimmte hierfür erforderliche Informationen fehlen. Dies kann zum Beispiel im Rahmen von klinischen Studien der Fall sein, wenn betroffene Studienteilnehmer sich mit Einwilligungswiderrufen oder Auskunftsbegehren an den Sponsor oder die Clinical Research Organisation selbst richten, die aufgrund der Pseudonymisierung der Daten ggf. gar nicht in der Lage sind, die Daten einem namentlich bekannten Studienteilnehmer zuzuordnen. Die Benennung einer geeigneten gemeinsamen Anlaufstelle kann helfen, die betroffenen Personen im Hinblick auf ihre jeweiligen Anliegen direkt an denjenigen gemeinsamen Verantwortlichen zu leiten, der auch zur Bearbeitung der Anfrage am ehesten geeignet ist. So können unnötiger Arbeitsaufwand von den übrigen beteiligten Verantwortlichen ferngehalten und die diesbezüglichen Prozesse möglichst ökonomisch und effizient gestaltet und festgelegt werden.

Des Weiteren ist es hilfreich, gemeinsame technische Standards und technisch-organisatorische Maßnahmen (TOM) festzulegen. Besonders bei der Übermittlung von Gesundheits- und Patientendaten sowie in der Telemedizin sind sichere Maßnahmen notwendig, um die Daten vor unbefugtem Zugriff und Veränderung zu schützen und sicherzustellen, dass nur der richtige Empfänger sie erhält. Das ist nicht nur aus rein datenschutzrechtlichen Gründen wichtig; sondern anderenfalls besteht beispielsweise im Rahmen einer Behandlung die Gefahr, dass diese mit den Daten des falschen Patienten erfolgt und so eine direkte Gesundheitsgefährdung für den bzw. die betroffenen Patienten entsteht.

Eine im Bereich der Forschung im Gesundheitsbereich (insbesondere der klinischen Forschung) wichtige und äußerst praxisrelevante Frage ist, ob und inwieweit die einmal gesammelten Daten später für andere Forschungsvorhaben oder Auswertungen verwertet werden können, die zwar mit dem ursprünglichen Forschungsvorhaben im Zusammenhang stehen, aber zum Zeitpunkt des Beginns der Studie noch nicht konkret geplant oder gar absehbar waren. Um eine Datenverarbeitung für solche wissenschaftlichen Sekundärzwecke (im Rahmen des datenschutzrechtlich Zulässigen) zu ermöglichen, ist es für alle beteiligten gemeinsam Verantwortlichen wichtig, schon zum Zeitpunkt des Beginns der Studie die Patienteneinwilligungen (sog. „Broad Consent“) und die Patienteninformationen entsprechend zu gestalten. Ein entsprechend großes Interesse hieran haben aber oftmals gerade die Stellen (wie der Sponsor oder die CRO), die keinen direkten Kontakt zu den betroffenen Patienten bzw. Studienteilnehmern haben und die nicht für die Einholung der Patienteneinwilligungen zuständig sind. Aus diesem Grund wird es für diese Stellen entsprechend wichtig sein, den genauen Wortlaut der Einwilligungen und Patienteninformationen mit den für deren Einholung zuständigen Prüfzentren verbindlich abzustimmen. Dies kann sinnvollerweise gerade auch in Form eines JCA geschehen.

Weitere Punkte, deren Vereinbarung im Rahmen des JCA sinnvoll sein kann, sind zum Beispiel die Durchführung von Datenschutz-Folgenabschätzungen, der Einsatz von Auftragsverarbeitern, Kosten– und Haftungsfragen sowie die Verarbeitung von Daten in Drittstaaten. Letzteres ist datenschutzrechtlich ohnehin mit hohen Anforderungen verbunden, ganz besonders im Gesundheitsbereich. Wenn Verarbeitungen außerhalb der EU geplant sind, sollten diese genau im Joint Controller Agreement geregelt sein.

Welche Herausforderungen ergeben sich bei den Betroffenenrechten?

Wie bereits erwähnt, sind die Informationspflichten datenschutzrechtlich zentral für die betroffenen Personen. Die Information muss nach den Vorgaben des Art. 12 DSGVO erfolgen, vor allem ist sie vollständig und in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“. Für den Gesundheitsbereich müssen zusätzlich bereichsspezifische Vorschriften wie § 40 Abs. 2 und 2a des Arzneimittelgesetzes (AMG) für klinische Prüfungen beachtet werden. Verantwortliche müssen zudem die erforderlichen Einwilligungen in die Datenverarbeitungen sowie gegebenenfalls Schweigepflichtentbindungen einholen. Auch hier können Spezialnormen wie § 40 Abs. 1 Nr. 3 lit. b, c AMG relevant sein. Die betroffenen Personen können in diesem Zusammenhang ihre Einwilligung jederzeit widerrufen oder gegen bestimmte Datenverarbeitungen einen Widerspruch einlegen; beides sollte schnell und vollständig umgesetzt werden. Weitere Betroffenenrechte der DSGVO sind das Recht auf Auskunft (Art. 15), auf Berichtigung und Vervollständigung (Art. 16), auf Löschung (Art. 17), auf Einschränkung der Verarbeitung (Art. 18) und auf Datenübertragbarkeit (Art. 20).

Für Verantwortliche liegen die Herausforderungen vor allem in der Einhaltung der teilweise sehr kurzen Fristen und im Umstand, dass betroffene Personen sich an jeden Verantwortlichen wenden können. Letzteres gilt unabhängig von den Regelungen des Joint Controller Agreements: Die verantwortliche Stelle, an die eine betroffene Person sich gewandt hat, ist für die schnelle und vollständige Bearbeitung der Anfrage zuständig. Nicht zuletzt deshalb empfiehlt sich die Implementierung der zentralen Anlaufstelle, sodass zumindest faktisch Beteiligte mit ihren Anfragen möglichst der für die initiale Bearbeitung und Beantwortung geeignetste Stelle (bei klinischen Studien etwa das jeweilige Prüfzentrum) geleitet werden können.

Hierbei sollte beachtet werden, dass bei jeder Nichterfüllung der Betroffenenrechte die Möglichkeit von Bußgeldern besteht und betroffene Personen sich mit Beschwerden an die Aufsichtsbehörden wenden können. Weitere Herausforderungen sind die Festlegung der Prozesse und klarer Zuständigkeiten zwischen den Partnern sowie die Implementierung technischer Möglichkeiten: Die Zuständigkeiten und Prozesse zur Bearbeitung von Betroffenenanfragen sollte möglichst an dem bestehenden Management der Pseudonymisierung orientiert werden, Systeme sollten anhand von Klardaten und Pseudonymen durchsucht werden können. Des Weiteren müssen Daten effektiv gelöscht werden können, wofür Regellöschfristen definiert und die betroffenen Datensätze festgelegt werden müssen. Hierbei sollten die gesetzlichen Aufbewahrungsfristen zugrunde gelegt werden, die für die an der Datenverarbeitung beteiligten Stakeholder bestehen und die gerade im Gesundheitsbereich sehr zahlreich und vielfältig sind. Zudem müssen Daten aus den verwendeten Systemen heraus exportierbar sein und die Zuständigkeitsverteilung sollte sich in geeigneten Zugriffsberechtigungskonzepten und der Möglichkeit der Datensperrung für bestimmte Datenverarbeitungen widerspiegeln.

Welche technischen Anforderungen werden an die Datenverarbeitung gestellt?

Für die technischen Anforderungen maßgeblich  ist die Regelung des Art. 32 DSGVO. Demnach müssen Verantwortliche die Sicherheit der Datenverarbeitungen gewährleisten. Dazu müssen angemessene Schutzmaßnahmen nach dem aktuellen Stand der Technik ergriffen werden. Auf Gesundheitsdaten und Datenübermittlungen sollte aufgrund des erhöhten Risikos ein besonderes Augenmerk gerichtet werden. Auch insofern gilt, dass hier gerade im Gesundheitsbereich oft besondere bereichsspezifische Vorgaben gelten und berücksichtigt werden müssen. Auch Verstöße gegen die Sicherheit der Datenverarbeitungen können mit Bußgeldern geahndet werden. Mit den technischen Sicherheitsanforderungen sollten insbesondere folgende Ziele sichergestellt werden können:

  • Vertraulichkeit der Daten (etwa durch Verschlüsselung)
  • Integrität der Daten, d. h. der Schutz vor unerkannter Veränderung (durch Kontrolle und Revision)
  • Authentizität und Verfügbarkeit der Daten
  • Validität der Daten
  • Interoperabilität

Um die technische Sicherheit im Rahmen der gemeinsamen Verantwortlichkeit gewährleisten zu können, ist eine enge Abstimmung mit den anderen an einer Datenverarbeitung beteiligten gemeinsam Verantwortlichen erforderlich. Es empfiehlt sich daher, auch hierfür Regelungen im Joint Controller Agreement zu treffen.

Joint Controller Agreement – Fazit

Das Joint Controller Agreement ist für verantwortliche Unternehmen nicht nur eine zusätzliche datenschutzrechtliche Verpflichtung, sondern kann ein gutes Instrument für eine klar geregelte und koordinierte Zusammenarbeit mehrerer verantwortlicher Stellen sein. Die vielen datenschutzrechtlichen Vorgaben können schneller und einfacher umgesetzt werden, es können Klarheit in der Zusammenarbeit geschafft sowie nachträglicher Aufwand und Bußgelder vermieden werden. Unsere Experten unterstützen Sie gerne bei der Prüfung Ihrer spezifischen Datenverarbeitungssituation und bei der Erstellung individuell abgestimmter Joint Controller Agreements.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!