Die Datenschutz-Grundverordnung (DSGVO) ist am 24. Mai 2016 in Kraft getreten. Sie beansprucht seit dem 25. Mai 2018 in der gesamten Europäischen Union (EU) Geltung. Die Rechtsfigur der sog. gemeinsamen Verantwortlichkeit gewinnt seitdem immer mehr an Bedeutung. Das zeigt eine Reihe von Rechtsprechungen des Gerichtshofs der Europäischen Union (EuGH).
Gemäß Artikel (Art.) 26 Absatz (Abs.) 1 Satz 1 DSGVO sind die Parteien dann gemeinsam Verantwortliche, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Die Festlegung erfolgt durch eine Vereinbarung in transparenter Form (Joint Control Agreement – JCA). Die EuGH-Rechtsprechung vertritt eine weite Auslegung des Begriffs, sodass jede verarbeitende Stelle ihre Verarbeitungstätigkeiten auf den Prüfstand stellen sollte. Denn: Als verarbeitende Stelle kommen sowohl Unternehmen als auch Verbraucher in Betracht. Fehlt es an einer ausreichenden Vereinbarung bei einer faktisch vorliegenden gemeinsamen Verantwortlichkeit, droht ein Bußgeld.
Von der gemeinsamen Verantwortlichkeit abzugrenzen ist die Auftragsverarbeitung (Auftragsverarbeitungsvertrag - AVV). Im Unterschied zum Verantwortlichen entscheidet der Auftragsverarbeiter nicht selbst über die Mittel und Zwecke der Datenverarbeitung, sondern setzt lediglich die Weisungen des Verantwortlichen um. Entscheidungskriterium für die Abgrenzung zwischen der Auftragsverarbeitung und der Verantwortlichkeit ist, ob der jeweilige Akteur einen bestimmenden Einfluss auf die elementaren Elemente der Datenverarbeitung hat.
Im heutigen Beitrag beschäftigen wir uns mit sechs aktuellen Rechtsprechungen des EuGH, um die Rechtsfigur der gemeinsamen Verantwortlichkeit und deren Praxisrelevanz zu erläutern. Die ersten drei älteren Entscheidungen setzen die Grundsteine für die Festlegung des Begriffs „gemeinsame Verantwortlichkeit“. Mit den drei aktuelleren Entscheidungen kommen neue Anhaltspunkte dazu, wann eine gemeinsame Verantwortlichkeit vorliegt.
Die weite Auslegung des Begriffs erfordert mehr Sorgfalt für Unternehmen im Datenverkehr und Vorsicht vor der leichtfertigen Annahme einer Auftragsverarbeitung zwischen Datenverarbeitern.
Tief durchatmen! Und los geht's:
1. Wirtschaftsakademie („Facebook-Fanpages“; EuGH Urt. v. 5.6.2018 – C-210/16)
Der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie erstellt seine Fanpage entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten. Dadurch ist er an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die von Facebook angebotenen Dienstleistungen in Anspruch zu nehmen, befreit ihn nicht von der Beachtung seiner Verpflichtungen im Bereich des personenbezogenen Datenschutzes (C-210/16, Rn. 39).
Für die Annahme einer gemeinsamen Verantwortlichkeit genügt demnach die kausale Ermöglichung der Datenverarbeitung durch einen Akteur. Die Beteiligung an der Entscheidung eines anderen über die Zwecke sowie Mittel der Datenverarbeitung sei bereits beim Zulassen einer Parametrierung (z.B. in Form der Modifizierung von Einstellungen zu bestimmten Zielgruppen) gegeben. Nicht alle Verantwortlichen müssen überhaupt Zugang zu den personenbezogenen Daten haben.
2. Zeugen Jehovas (EuGH Urt. v. 10.7.2018 – C-25/17)
Eine Religionsgemeinschaft kann gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitungen personenbezogener Daten angesehen werden, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgen. Die Verkündigungstätigkeit wird von der Gemeinschaft organisiert und koordiniert, zu der die Mitglieder ermuntert werden, ohne dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat (C-25/17, Rn. 75).
Es ist also nicht erforderlich, dass alle Verantwortlichen in gleicher Weise und gleichem Umfang Beiträge zur fraglichen Datenverarbeitung leisten. Ein Eigeninteresse an der Mitwirkung an der konkreten Verarbeitung reicht hierfür aus. Es bedarf auch keiner Anleitung oder Anweisung, um einen derartigen Einfluss auf die Verarbeitung anzunehmen, der eine gemeinsame Verantwortung begründet.
3. Fashion ID (EuGH Urt. v. 29.7.2019 – C-40/17)
Der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin („Gefällt mir“-Button von Facebook) einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters diese Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher angesehen werden (C-40/17, Rn. 85).
Mit dem Urteil bestätigt der EuGH die beiden vorgenannten Entscheidungen dahingehend, dass es für eine gemeinsame Verantwortlichkeit ausreicht, wenn ein gewisser Einfluss auf und eine gewisse Mitwirkung an der Entscheidung über die Zwecke oder Mittel der Datenverarbeitung bejaht werden kann und bei der Datenverarbeitung übereinstimmende eigene Interessen verfolgt werden. Es ist nicht mehr erforderlich, einen Zugriff auf die Daten zu haben und die Beiträge können dann auch in unterschiedlichen Phasen erfolgen und müssen nicht gleichwertig sein.
4. Nacionalinis visuomenės sveikatos centras (“Fashion ID 2.0”; EuGH Urt. v. 5.12.2023 – C-683/21)
Eine Partei, die ein Unternehmen mit der Entwicklung einer mobilen IT-Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der mittels der Anwendung erfolgenden Verarbeitung personenbezogener Daten mitgewirkt hat, kann als für die Verarbeitung Verantwortliche angesehen werden. Das ist auch der Fall, wenn die beauftragende Partei selbst keine Verarbeitung personenbezogener Daten vornimmt, keine ausdrückliche Einwilligung in die Durchführung der konkreten Verarbeitungsvorgänge oder in die Bereitstellung der mobilen Anwendung für die Öffentlichkeit erteilt und die mobile Anwendung nicht erworben hat (C-683/21, Rn. 127).
Danach genügt also bereits die rein tatsächliche Veranlassung eines anderen Akteurs zur Datenverarbeitung, um einen Beitrag zur Entscheidung über die Zwecke und Mittel zu bejahen:
„Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO sind dahin auszulegen, dass die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.“
Sprich: datenschutzrechtliche Vertragswerke, egal ob AVV oder JCA, wirken nicht konstitutiv. Die tatsächlichen Umstände der Datenverarbeitung sind entscheidend, die allein maßgeblich für die datenschutzrechtliche Rollenkonstellation sind.
5. Moniteur belge (EuGH Urt. v. 11.1.2024 – C-231/22)
In dem Urteil führt der EuGH aus, unter welchen Voraussetzungen ein Datenverarbeiter, der nicht selbst über die Mittel und Zwecke der von ihm vorgenommenen Datenverarbeitung entscheiden kann, aufgrund einer Vorgabe der Zwecke und Mittel dieser Datenverarbeitung durch nationales Recht (dennoch) als insoweit Verantwortlicher im Sinne des Art. 4 Nr. 7 2. Hs DSGVO anzusehen ist (C-231/22, Rn. 30, 49). Der EuGH überträgt damit seine Rechtsprechung zur privatautonomen Zweck/Mittelfestlegung auf die gesetzliche Vorzeichnung von Zweck und Mittel.
6. IAB Europe (EuGH Urt. v. 7.3.2024 – C-604/22)
IAB Europe ist ein Verband ohne Gewinnerzielungsabsicht mit Sitz in Belgien. Der Verband vertritt Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene. Mitglieder des Verbands sind sowohl Unternehmen dieses Sektors als auch nationale Verbände, darunter die nationale IAB (Interactive Advertising Bureaus).
IAB Europe entwickelte das Transparency & Consent Framework (TCF), das einen Regelungsrahmen darstellt, der aus Richtlinien, Anweisungen, technischen Spezifikationen, Protokollen und vertraglichen Verpflichtungen besteht, die es den Mitgliedern ermöglichen, personenbezogene Daten eines Nutzers einer Website oder Anwendung rechtmäßig zu verarbeiten.
Neben Äußerungen zum Personenbezug des streitgegenständlichen „Transparency & Consent Framework“ (TCF) stellt der EuGH in seinem Urteil fest, dass das TCF ein Rahmen für die Mitglieder des IAB Europe und technische Spezifikationen vorgebe, die das Einholen einer Einwilligung und die Erhebung und Bearbeitung weiterer Daten beeinflusse. Daher sei davon auszugehen, dass IAB Europe aus Eigeninteresse auf die Verarbeitung Einfluss nehme und damit gemeinsam mit seinen Mitgliedern auch die Mittel festlege – also von gemeinsamer Verantwortlichkeit im Sinne des Art. 26 DSGVO (C-604/22, Rn. 172).
Zudem bestätigt der EuGH neuerlich, dass jeder einzelne der Verantwortlichen für sich genommen die Definition des “Verantwortlichen” erfüllen muss, dabei ist ein Zugang zu den personenbezogenen Daten jedoch nicht erforderlich, solange sich die Entscheidungen der zusammenwirkenden Akteure jeweils auf die Zwecke und Mittel der Verarbeitung auswirken (C-604/22, Rn. 122):
„Die Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung kann verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben. In letzterem Fall müssen sich diese Entscheidungen in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und mittel auswirkt.“
Auswirkungen auf die Praxis
Durch die Rechtsprechungsreihe macht der EuGH deutlich, dass der Anwendungsbereich für eine gemeinsame Verantwortlichkeit sehr weit reicht. Die korrekte Einordnung einer Beteiligung an einer Verarbeitung wird dadurch problematisch, dass der Gerichtshof geringe Anforderungen an den tatsächlichen Beitrag zu einer Entscheidung über die Mittel und Zwecke einer Verarbeitung stellt. Für eine solche weite Auslegung spricht das Interesse des Gesetzgebers, für die betroffenen Personen keine Schutzlücken entstehen zu lassen.
Es empfiehlt sich sowohl für Unternehmen und auch Verbraucher in drei Schritten vorzugehen:
- Der Verantwortliche bestimmt seine eigene Rolle im Rahmen der zu prüfenden Verarbeitungstätigkeit.
- Der Verantwortliche bestimmt die Rollen etwaiger weiterer Beteiligter an der Datenverarbeitung je nach Phase der Datenverarbeitung.
- Besteht gemeinsame Verantwortlichkeit, sind die Verpflichtungen nach der DSGVO, bezogen auf die tatsächlichen Funktionen und Beziehungen gegenüber den betroffenen Personen, festzulegen.
Welche Inhalte gehören in das Joint Controller Agreement?
Zwingende Inhalte:
Die Zwecke und Mittel der Verarbeitung müssen in der Vereinbarung mit enthalten sein. Ebenso wie die Beschreibung der wesentlichen Funktionen und Rollen der gemeinsamen Verantwortlichen. Dazu kommt die interne Zuständigkeitsverteilung, insbesondere die Frage, wer die Informationspflichten erfüllt, Einwilligungen einholt, Einwilligungswiderrufe umsetzt und beantwortet, usw. Darüber hinaus sollen die weiteren Betroffenenrechte klaren Zuständigkeiten unterliegen.
Sinnvolle Inhalte:
Es ist sinnvoll, Gegenstand, Art und Umfang der Datenverarbeitungen noch einmal genauer und konkreter zu beschreiben. Eine gemeinsame Anlaufstelle kann vereinbart werden. Des Weiteren ist es hilfreich, gemeinsame technische Standards und technische und organisatorische Maßnahmen festzulegen.
In einem zweiten Blog-Teil werden wir das Thema „Abgrenzung zwischen der Auftragsverarbeitung und der gemeinsamen Verantwortlichkeit“ erläutern.
"DSGVO: Die Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit"