Datenschutz-Nachrichten

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

Von Timo Schutt 11. Oktober 2019

Die gemeinsame Verantwortlichkeit. Eine “im aufkommen befindliche” Rechtsfigur, könnte man meinen. Denn der Europäische Gerichtshof (EuGH) hat uns zuletzt in steter Regelmäßigkeit damit beglückt eine solche gemeinsame Verantwortlichkeit anzunehmen. Gleichzeitig hat er damit das Vorliegen einer Auftragsverarbeitung (Art. 28 DSGVO) verneint.

Grund genug, wie ich finde, dass wir und diese gemeinsame Verantwortlichkeit einmal näher anschauen.

Was steht in Art. 26 zur gemeinsamen Verantwortlichkeit?

Geregelt ist sie in Artikel 26 DSGVO, wo es heißt:

Art. 26
Gemeinsam Verantwortliche

(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Was bedeutet das?

Erforderlich ist also zunächst eine gemeinsame Festlegung von zwei oder mehr Verantwortlichen über die Zwecke und (!) Mittel einer Datenverarbeitung.

Eine solche gemeinsame Festlegung über die Zwecke („wofür“) und Mittel („wie“) der Verarbeitung setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt.

Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne den/die anderen möglich ist.

Ein bestimmender Einfluss erfordert jedoch nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt. Auch ist keine vollständig gleichrangige Kontrolle durch alle Beteiligten erforderlich.

Erforderlich ist damit weder eine umfassende Kontrolle jedes Beteiligten bei allen Verarbeitungsphasen noch eine gleichrangige Kontrolle oder gleichrangige Verantwortlichkeit. Laut Datenschutzkonferenz (DSK) müssen die verfolgten Zwecke der Beteiligten nicht vollständig deckungsgleich sein, aber gegenseitig akzeptiert werden.

DSK: Tatsächliche Umstände entscheidend

Ein Indiz, ob eine gemeinsame Verantwortlichkeit vorliegt, ist die vertragliche Vereinbarung oder die Bezeichnung, welche die Beteiligten wählen – so die Auffassung der DSK. Die DSK hebt aber hervor: Für eine Qualifikation als gemeinsam Verantwortliche sind die tatsächlichen Umstände entscheidend.

Eine Orientierung und Kontrollfrage lautet dabei letztlich: Wem ist die Verantwortung für die Datenverarbeitung tatsächlich zugeordnet?

Eine Entscheidung der verwendenden Stelle über die Zwecke und Mittel der Verarbeitung kann auch dann gegeben sein, wenn sie im Voraus durch den Anbieter festgelegte Zwecke und Mittel akzeptiert beziehungsweise sich diesen anschließt.

Eine vollständige Deckungsgleichheit der von den Beteiligten verfolgten Zwecke ist dabei nicht erforderlich, sofern die Zwecke eng zusammenhängen.

Die bloße Zusammenarbeit mehrerer Stellen im Rahmen einer Kette führt als solche jedoch nicht zwingend zu einer gemeinsamen Verantwortlichkeit.

Gemeinsame Verantwortlichkeit kann ferner vorliegen, wenn einzelne Beteiligte für bestimmte Teile beziehungsweise Phasen einer Verarbeitung getrennt verantwortlich sind, jedoch die Daten über eine gemeinsame Plattform zusammengetragen werden (WP 169 der Artikel-29-Gruppe, Seite 25). Die gemeinsame Verarbeitung beschränkt sich dann allerdings auf den Betrieb der Plattform. Für die getrennten Verantwortungsbereiche muss die Plattform selbst bereits zwischen den einzelnen dann nicht mehr gemeinsamen Verantwortlichen trennen.

Keine gleichrangige Verantwortlichkeit erforderlich

Das Bestehen einer gemeinsamen Verantwortlichkeit bedeutet nicht zwingend eine gleichrangige Verantwortlichkeit. Die verschiedenen für die Verarbeitung Verantwortlichen können in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein.

Es ist denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung, gemeinsam Verantwortliche sind.

Beim Facebook Gefällt-mir-Button sagt der EuGH beispielsweise, dass zwar der Webseitenbetreiber und Facebook gemeinsam Verantwortliche sind, aber der Webseitenbetreiber bspw. nur über die Datenverarbeitung auf seiner Webseite informieren muss, nicht aber über die weitere von Facebook vorgenommene Datenverarbeitung, über die Facebook wiederum informieren muss.

Wer welche Rolle bei der Verarbeitung einnimmt und wer für was verantwortlich ist, muss in der Vereinbarung nach Artikel 26 Absatz 1 genau festgelegt sein.

EuGH-Urteile zur gemeinsamen Verantwortlichkeit

Urteil des EuGH zur Fanpage von Facebook

(EuGH , Urteil vom 05.06.2018 – C-210/16)

Hier sagt der EuGH, dass die Beteiligung so aussehen kann, dass das Unternehmen in der Facebook-Maske Einstellungen z.B. zu seinem Zielpublikum vornehmen kann und die Möglichkeit besitzt (anonymisierte!) Auswertungen der Fanpagenutzung einzusehen. Diese Auswertungen clustern das Zielpublikum nach Alter, Geschlecht, Beruf, etc.

Im Rahmen der Profilbildung verarbeitet Facebook die Klarnamen der Nutzer, der Betreiber einer Fanpage bekommt diese jedoch nie zu Gesicht. Nichtsdestotrotz entschied der Gerichtshof, dass diese Verarbeitung dem Betreiber zuzurechnen ist, damit die Nutzung einer Plattform eben kein Datenschutz-Vakuum auslöst.

Der Fanpage-Betreiber sei gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung als verantwortlich anzusehen, da er durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage beteiligt wäre.

Urteil des EuGH zur Haustürakquise der Zeugen Jehovas

(EuGH , Urteil vom 10.07.2018 – C-25/17)

Der EuGH weist hier darauf hin, dass der Begriff des “für die Verarbeitung Verantwortlichen” mehrere an dieser Verarbeitung beteiligte Akteure betreffen könne, wobei dann jeder von ihnen den EU-Vorschriften über den Schutz personenbezogener Daten unterliege. Diese Akteure könnten in verschiedenen Phasen und in unterschiedlichem Ausmaß in die Verarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen sei.

Hier sagt der EuGH unter anderem:

Hingegen kann eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden.

Zwar obliege dem verkündigenden Mitglied die Entscheidung darüber, welche Daten es in welcher Form erhebt. Eine gemeinsame Verantwortlichkeit zwischen Religionsgemeinschaft und den Verkündigern könne dennoch vorliegen. Die Religionsgemeinschaft organisiere, koordiniere und ermuntere die Verkündiger, sodass eine Beteiligung an der Verarbeitung bejaht werden könne.

Es ist also nach Auffassung des EuGH davon auszugehen, dass die Gemeinschaft der Zeugen Jehovas gemeinsam mit ihren verkündigenden Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten der aufgesuchten Personen beteiligt sei, indem sie die Verkündigungstätigkeit ihrer Mitglieder organisiere und koordiniere sowie zu ihr ermuntere.

Ein entscheidender Faktor wird demnach künftig also sein, zu bestimmen, wer die Datenverarbeitung organisiert, koordiniert und gefördert hat.

Urteil des EuGH zum Facebook Gefällt-mir-Button

(EuGH , Urteil vom 29.07.2019 – C-40/17)

Der EuGH hat hier entschieden, dass der Webseitenbetreiber, der den Gefällt-Mit (Like-) Button von Facebook einsetzt, für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vorgenommen hat, nicht als verantwortlich angesehen werden kann. Es erscheine auf den ersten Blick ausgeschlossen, dass er Einfluss auf diese Vorgänge habe.

Dagegen könne er aber für die Vorgänge des Erhebens der Daten und deren Weiterleitung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da – vorbehaltlich weiterer gerichtlicher Klärung – davon ausgegangen werden könne, dass er und Facebook Irland gemeinsam über die Zwecke und Mittel entschieden.

Dies gelte insbesondere angesichts dessen, dass es dem Webseitenbetreiber durch die Einbindung des “Gefällt mir”-Buttons von Facebook ermöglicht werde, die Werbung für seine Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht würden, wenn ein Besucher seiner Webseite den Button anklicke. Diesbezüglich müsse zumindest von stillschweigendem Einverständnis in das Erheben und die Weitergabe der personenbezogenen Daten der Webseitenbesucher ausgegangen werden.

Es sei letztlich davon auszugehen, dass diese Verarbeitungsvorgänge im beiderseitigen wirtschaftlichen Interesse der Unternehmen liegen. In diesem Zusammenhang hat der EuGH darauf hingewiesen, dass der Betreiber einer solchen Webseite seine Besucher über solche Vorgänge der Datenverarbeitung transparent und verständlich informieren muss.

Hier wird also in erster Linie auf den gemeinsamen wirtschaftlichen Nutzen für beide Verantwortliche hingewiesen. Auch das wird also künftig bei der Frage einer gemeinsamen Verantwortlichkeit zu prüfen sein.

Art. 26 DSGVO ist keine Rechtsgrundlage

Wichtig ist: Art. 26 DSGVO ist keine Rechtsgrundlage für die Datenverarbeitung. Jeder beteiligte Verantwortliche darf bei sich Daten nur verarbeiten, wenn er dies im Rahmen einer Rechtsgrundlage macht. Um die Prüfung der Rechtsgrundlage und ihr tatsächliches Vorliegen kommen also die Beteiligten nicht herum.

Es kann auch jeder der verschiedenen Verantwortlichen Daten auf verschiedenen Rechtsgrundlagen verarbeiten.

Art. 26 DSGVO legt den gemeinsam Verantwortlichen spezifische Pflichten auf, die über die für jeden Verantwortlichen nach der DSGVO geltenden Pflichten hinausgehen. Dadurch sollen Transparenz und Rechtsdurchsetzung für die Betroffenen verbessert werden.

Abgrenzung zur Auftragsverarbeitung

Die gemeinsame Verantwortlichkeit ist insbesondere von der Auftragsverarbeitung (Art. 28 DSGVO) und von der gewöhnlichen Übermittlung personenbezogener Daten an einen Verantwortlichen abzugrenzen.

Es ist davon auszugehen, dass viele Konstellationen, die wir bisher als Auftragsverarbeitung gesehen haben, nach der neuen Entwicklung der EuGH-Rechtsprechung in Wirklichkeit Fälle einer gemeinsamen Verantwortlichkeit sind.

Und nun?

Das alles ist Grund genug, nun alle diese Konstellationen im Unternehmen unter die Lupe zu nehmen, die genannten Voraussetzungen zu prüfen und ggf. einen neuen, dann richtigen Vertrag nach Art. 26 DSGVO zu schließen.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht