Wie erkennt man eine gemeinsame Verantwortlichkeit?
Geschrieben von Christina Webersohn, veröffentlicht am 02.09.2021Wenn mehr als eine Partei an der Verarbeitung personenbezogener Daten beteiligt sind, kann es sich, neben einer Auftragsverarbeitung regelmäßig auch um eine gemeinsame Verantwortlichkeit handeln.
Bei der gemeinsamen Verantwortlichkeit haben beide Verantwortliche Einfluss auf das Ziel der Datenverarbeitung und die Umsetzung dessen (z.B. bei einem von zwei Firmen gemeinschaftlich betriebenen Online-Shop) – in Art. 26 DSGVO wird in diesem Zusammenhang von Mittel und Zwecke der Datenverarbeitung gesprochen. Im Fall der Auftragsverarbeitung wird die Datenverarbeitung hingegen vom Auftragsverarbeiter auf Weisung und für einem vom Verantwortlichen bestimmten Zweck durchgeführt (z.B. das Hosting einer Homepage).
Aber wie erkennt man sicher, wann was genau vorliegt? Denn so klar die Abgrenzung in der Theorie scheint, so schwer fällt in der Praxis häufig die Entscheidung.
Wie ist die gemeinsame Verantwortlichkeit definiert?
Laut Artikel 26 Abs. 1 S. 1 DSGVO liegt eine gemeinsame Verantwortlichkeit dann vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.
Verantwortlicher ist dabei nach Art. 4 Nr. 7 eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet …“.
Zentral ist also, ob die Festlegung der Zwecke und Mittel zur Verarbeitung der personenbezogenen Daten gemeinsam erfolgt.
Welche Kriterien müssen erfüllt sein?
Um eine Entscheidung hinsichtlich der Verantwortlichkeit zu treffen, müssen deshalb die Daten selbst, der Zweck sowie die Mittel näher betrachtet werden.
Die Daten:
Die erste Frage klingt banal, ist aber nicht unerheblich: Handelt es sich bei den verarbeiteten Daten überhaupt um Daten mit Personenbezug? Kann dies ausgeschlossen werden, ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet und es kann keine gemeinsame Verantwortlichkeit im Sinne der Verordnung vorliegen. Beispiele für Daten ohne Personenbezug sind eine rein quantitative Verkehrszählung oder eine anonyme Umfrage.
Der Zweck:
Über den Zweck lässt sich etwa die Auftragsverarbeitung sehr gut von der gemeinsamen Verantwortlichkeit abgrenzen und damit letztendlich auch ausschließen. Die wichtige Frage hier lautet: Welche Zwecke (oder Ziele) verfolgen die beteiligten Parteien?
Bei einer gemeinsamen Verantwortlichkeit wird entweder ein gemeinsamer Zweck verfolgt oder die Datenverarbeitung ist jeweils Bestandteil des eigenen Geschäftsmodells der Beteiligten. Wie etwa beim Betrieb eines Online-Shops durch zwei Verantwortliche, z.B. zwei GmbHs. Ein Auftragsverarbeiter hingegen hat neben der Absicht, für die Verarbeitung im Auftrag des Verantwortlichen bezahlt zu werden, kein weiteres Interesse an der Datenverarbeitung und verwendet die Daten nicht für eigene Zwecke.
Die Mittel:
Kernfrage hier ist: Wer hat Einfluss auf die zur Datenverarbeitung verwendeten Mittel?
Eindeutiges Argument für das Vorliegen einer gemeinsamen Verantwortlichkeit ist eine gemeinsame Entscheidung über wesentliche Elemente der Mittel der Datenverarbeitung. Beispielsweise darüber, welche Daten verarbeitet werden, wie lange sie verarbeitet werden oder wer Zugang zu ihnen bekommt. Auch die Verarbeitung aufgrund einer gemeinsamen Datenbasis (z.B. ein geteiltes CRM) spricht für eine gemeinsame Verantwortlichkeit. Als gemeinsam gilt auch, dass beide Parteien Einfluss auf die Ausgestaltung dieser Elemente für den jeweils anderen vornehmen können.
Gemeinsam, nicht gleichberechtigt
Wichtig zu beachten ist auch, dass der Einfluss der beteiligten Parteien auf die Datenverarbeitung nicht ebenbürtig sein muss, um eine gemeinsame Verantwortlichkeit zu begründen. Auch wenn einer der Partien einen geringeren Einfluss auf die Verarbeitung, z.B. ohne Zugang zu den Daten selbst hat, kann eine gemeinsame Verantwortlichkeit vorliegen.
Prominentes Beispiel hierfür ist die Auswahlmöglichkeit der Statistikeinstellungen durch den Betreiber einer Fanpage bei Facebook. Obwohl dieser am Ende nur anonymisierte Statistiken sieht, ist er doch aktiv in die Auswahl der Mittel eingebunden und auch deshalb gemeinsam mit Facebook in der Verantwortung. Denn dass sowohl der Betreiber der Fanpage als auch Facebook eigene Vorteile aus den Statistiken ziehen, ist ebenso ausschlaggebend. (EuGH, Urteil vom 05.06.2018 – C-210/16)
Fazit
Für die Entscheidung, ob eine gemeinsame Verantwortlichkeit vorliegt, ist eine genaue Betrachtung des Einzelfalls notwendig. Denn ob mehrere Beteiligte Einfluss auf den Zweck bzw. die Mittel der Verarbeitung von personenbezogenen Daten haben, lässt sich ohne Kenntnis der Geschäftsmodelle und des Verarbeitungsprozesses selbst nur schlecht beurteilen. Sobald genügend Anhaltspunkte dafür vorliegen, dass beide Parteien gemeinsam über die Mittel und den Zweck bestimmen könnten, sollten Sie den vorliegenden Sachverhalt genau Prüfen, denn von diesem Ergebnis hängt ab ob ein Vertrag gem. Art. 26 DSGVO (gemeinsame Verantwortlichkeit) oder Art. 28 DSGVO (Auftragsverarbeitung) geschlossen werden muss.
Sollten Sie Unterstützung hierbei benötigen, stehen wir Ihnen gern zur Seite. Sprechen Sie uns an.