Die Krux der gemeinsamen Verantwortlichkeit unter der DS-GVO

Die zutreffende Qualifizierung als gemeinsam Verantwortliche, als separate Verantwortliche oder als Auftragsverarbeiter ist in der Praxis schwierig zu bestimmen. Relevant ist dies insbesondere im Hinblick auf ein anschließendes, mögliches Bußgeld bei Fehlen einer Vereinbarung zur gemeinsamen Verantwortlichkeit. Zwei neuere Entscheidungen des EuGH weiten den Anwendungsbereich der gemeinsamen Verantwortlichkeit aus.

1. Definition

Als gemeinsam Verantwortliche gelten zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen, Art. 26 Abs. 1 Satz 1 DS-GVO. Das Institut der gemeinsamen Verantwortlichkeit dient dem Schutz der Rechte und Freiheiten der betroffenen Personen, um Klarheit hinsichtlich der Verantwortungsbereiche und der Haftung der Verantwortlichen zu erhalten. Die gemeinsame Verantwortlichkeit ist erst seit Mai 2018 gesetzlich geregelt. Der EuGH hatte sich in zwei Facebook-Entscheidungen aus 2018 und 2019 mit der Einordnung zu befassen.

2. Gemeinsame Festlegung

Zur Ermittlung, ob eine gemeinsame Festlegung erfolgt ist, ist die faktische Mitbestimmungsmöglichkeit über die Verarbeitungszwecke und -mittel auschlaggebend. Dies ist anhand des tatsächlichen Einflusses auf die Ausgestaltung der jeweiligen Datenverarbeitung zu bestimmen. Nicht relevant ist dagegen die tatsächliche Mitwirkung bei der Datenverarbeitung oder der Zugang zu personenbezogenen Daten.

Gemeinsame Festlegung in einer Verarbeitungskette

EuGH, Urt. v. 29.7.2019 – C-40/17 (Social-Plug-In): Ein Unternehmen bindet den „Gefällt mir“-Button von Facebook auf seiner Homepage ein. Beim Besuch der Webseite werden automatisch personenbezogene Daten an Facebook übermittelt.

Der EuGH hat entschieden, dass das Unternehmen nur insoweit verantwortlich ist, als dieses auch tatsächlich über die Zwecke und Mittel mitbestimmt. Eine einheitliche Vorgangsreihe ist dazu in mehrere Einzelvorgänge aufzubrechen, vgl. Definition „Verarbeitung“ in Art. 4 Nr. 2 DS-GVO. Für vor- oder nachgelagerte Vorgänge – hier die Datenverarbeitung seitens Facebook nach der Übermittlung der Nutzerdaten – ist das Unternehmen mangels Mitbestimmung nicht gemeinsam verantwortlich.

a) Gemeinsame Festlegung eines Zwecks

Ein gemeinsamer Zweck wird festgelegt, wenn die beteiligten Verantwortlichen ein erwartetes Ergebnis der Verarbeitung personenbezogener Daten bestimmen. Dient die Verarbeitung mehreren Zwecken, ist es ausreichend aber auch erforderlich, dass ein übergeordneter Zweck von beiden Verantwortlichen bestimmt wird.

Wirtschaftliche Vorteile als gemeinsamer Zweck

In der Social-Plug-In-Entscheidung (s.o.) hat der EuGH entschieden, dass die Generierung beiderseitiger wirtschaftlicher Vorteile durch die Datenverarbeitung genügt, sich also ein Synergieeffekt als übergeordneter Zweck der Datenverarbeitung ergibt.

b) Gemeinsame Festlegung eines Mittels

Die gemeinsame Festlegung des Mittels der Datenverarbeitung erfordert, dass die beteiligten Verantwortlichen die Art und Weise der Datenverarbeitung gemeinsam (mit-) bestimmen. Dies umfasst z.B. die Auswahl der zu verarbeitenden Daten, die Dauer der Verarbeitung oder den Zugang zu den Daten. 

Möglichkeit der Parametrierung

Mit dieser lassen sich anonymisierte Statistikinformationen über Nutzer der Fanpage durch Facebook erstellen, z.B. Informationen über Alter oder Geschlecht. Durch Festlegung von Filtern kann der Betreiber diese Informationen entsprechend seinen Interessen weiter parametrieren.
Nach Ansicht des EuGH stellt die Möglichkeit der Fanpage-Betreiber, die Systemeinstellungen von Facebook zu parametrieren, also über die Kriterien der seitens Facebook generierten Nutzerstatistiken zu entscheiden, eine Mitbestimmung des Mittels der Verarbeitung dar. 

Ermöglichung der Datenverarbeitung

EuGH, Urt. v. 5.6.2018 – C-210/16 (Facebook Fanpage): Der Betreiber einer Facebook Fanpage nutzt die von Facebook zur Verfügung gestellte sog. Insights-Funktion.In der Social-Plug-In-Entscheidung (s.o.) deutet der EuGH an, dass ein kausaler Verursachungsbeitrag für die Datenverarbeitung – hier die Einbindung des „Gefällt mir“-Buttons“ –ausreicht, um eine Mitbestimmung des Mittels anzunehmen. Diesen kausalen Maßstab schränkt der EuGH durch ein kognitives Element ein: Die Mitverantwortung beruht darauf, dass der Unternehmer den „Gefällt mir“-Button im Wissen um die dadurch ermöglichte Verarbeitung einbindet.

Beispiele

Beispiele zur gemeinsamen Verantwortlichkeit

In den folgenden Konstellationen ist eine gemeinsame Verantwortlichkeit naheliegend und sollte von den beteiligten Akteuren überprüft werden:

  • Unternehmenspräsentation auf Social-Media-Plattformen
  • Gemeinsame Verwaltung oder Benutzung eines HR-Systems durch mehrere Konzerngesellschaften, um Synergieeffekte zu erreichen
  • Gemeinsam Nutzung einer Internet-Plattform, auf der mehrere Akteure zwar ihre jeweils individuellen Teilzwecke verfolgen, aber ein übergeordneter Zweck vorliegt.Z.B. Vermittler und Anbieter derselben Waren und/oder Dienstleistungen
  • Gemeinsam genutzter Datenraum bei Transaktionen von Verkäufer und Bietern (zumindest bei Möglichkeit des Bieters, Einstellungen für die zur Verfügung gestellten Daten vorzunehmen). 

Ausblick:

Die Entscheidungen des EuGH führen immer mehr zu einer Ausweitung der gemeinsamen Verantwortlichkeit. Mit Blick auf diese Entwicklung sollten Unternehmen ihre Verarbeitungsprozesse mit Beteiligung anderer Akteure überprüfen und ggf. nachträglich eine Vereinbarung zur gemeinsamen Verantwortlichkeit abschließen.