Читать книгу DS-GVO/BDSG - David Klein - Страница 139

139

Nach Art. 4 Nr. 7 ist es für die Zuweisung der Verantwortlicheneigenschaft nicht notwendig, dass der Verantwortliche ausschließlich alleine personenbezogene Daten verarbeitet. Vielmehr kann nach der DS-GVO die Entscheidung über Zwecke und Mittel der Datenverarbeitung „allein oder gemeinsam mit anderen“ getroffen werden, indem bei der Verarbeitung personenbezogener Daten mehrere Akteure beteiligt sind und somit verschiedene Verantwortliche bestehen.[328] Die DS-GVO greift damit insbesondere auch mit Blick auf Art. 26 die Begrifflichkeit und Systematik von Art. 2 lit. d DSRL auf.

140

Wichtige Aussagen zu den Voraussetzungen einer gemeinsamen Verantwortlichkeit hat der EuGH in den Rs. Fanpage[329], Jehova[330] und Fashion ID[331] getroffen.[332] Dabei hat das Gericht in allen Entscheidungen bekräftigt, dass dem Begriff des Verantwortlichen ein weites Begriffsverständnis zugrunde zu legen ist.[333]

141

Das erste Urteil in diesem Zusammenhang erging zur Frage der gemeinsamen Verantwortlichkeit von Betreibern einer Facebook-Fanpage mit Facebook. Dem Urteil lag ein Vorabentscheidungsersuchen des BVerwG[334] zugrunde. Hintergrund war ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD).[335] Das ULD hatte gegenüber der Wirtschaftsakademie angeordnet, den Betrieb einer Fanpage auf Facebook einzustellen, da die Besucher der Fanpage nicht über den Einsatz von Cookies und eine damit einhergehende Verarbeitung ihrer personenbezogenen Daten informiert würden.[336] In der Rs. Fanpage betonte der EuGH zunächst, dass sich der Begriff des Verantwortlichen nicht zwingend auf eine einzige Stelle bezieht, sondern mehrere an einer Datenverarbeitung beteiligte Akteure betreffen kann, so dass in der Folge jeder dieser Akteure den Vorschriften der DS-GVO unterliegt.[337] Ferner wies das Gericht darauf hin, dass es für die Begründung einer gemeinsamen Verantwortlichkeit bereits ausreiche, dass eine Stelle (im konkreten Fall der Betreiber einer Facebook-Fanpage) einem anderen Verantwortlichen (hier Facebook) die Möglichkeit gebe, personenbezogene Daten der betroffenen Personen zu verarbeiten.[338] Darüber hinaus stellte der EuGH fest, dass es ebenfalls für eine gemeinsame Verantwortlichkeit nicht erforderlich sei, dass „bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat“[339]. Das Bestehen einer gemeinsamen Verantwortlichkeit setzt somit keine gleichwertige Verantwortlichkeit der Akteure voraus.[340] Vielmehr könnten die Akteure auch „in verschiedenen Phasen und in unterschiedlichem Ausmaß“[341] in die Verarbeitung personenbezogener Daten einbezogen sein, so dass der Grad der Verantwortlichkeit unter Berücksichtigung aller Umstände der Einzelfalles zu beurteilen sei.[342] Aus dem Urteil folgt zum einen, dass Facebook-Fanpage-Betreiber zusammen mit Facebook für die Verarbeitung personenbezogener Daten und etwaige Datenschutzverstöße verantwortlich sind (zu den Konsequenzen dieser Beurteilung s.u. Rn. 162 ff.).[343] Zum anderen enthält das Urteil wichtige Parameter sowohl im Hinblick auf die Reichweite des Begriffs der Verantwortlichkeit als auch bezüglich der Beurteilung der Frage hinsichtlich des Vorliegens einer gemeinsamen Verantwortlichkeit.[344]

142

Das BVerwG hat die Entscheidung des EuGH zu Facebook-Fanpages für den konkreten Fall am 11.9.2019 befolgt und die Sache zur endgültigen Entscheidung an das OVG Schleswig verwiesen.[345]

143

Das zweite Urteil des EuGH im Hinblick auf die Reichweite einer gemeinsamen Verantwortlichkeit erging in der Rs. Jehova. Dem Urteil lag folgender Sachverhalt zugrunde: Die Mitglieder der Gemeinschaft der Zeugen Jehovas führen im Rahmen ihrer Verkündigungstätigkeit Hausbesuche bei Personen durch, die weder ihnen noch der Gemeinschaft bekannt sind.[346] Die Gemeinschaft gab dabei ihren Mitgliedern Anleitungen zur Anfertigung von Notizen zu den Hausbesuchen (insbes. Name und Adresse der aufgesuchten Personen, religiöse Überzeugungen) und organisierte und koordinierte die Verkündigungstätigkeit ihrer Mitglieder.[347] Dabei verlangt die Gemeinschaft von ihren verkündigenden Mitgliedern weder, dass diese personenbezogene Daten durch Notizen erheben noch kannte sie die Inhalte der Notizen oder die Identität der verkündigenden Mitglieder, die die Daten erhoben haben.[348] Neben der Frage hinsichtlich des Vorliegens eines Dateisystems i.S.v. Art. 4 Nr. 6[349] nahm der EuGH insbesondere zur inhaltlichen Reichweite der Verantwortlichkeit Stellung.[350] Dabei nimmt das Gericht zum einen ausdrücklich auf die Ausführungen in der Rs. Fanpage Bezug[351], führt ergänzend aber aus, dass es für die Annahme einer (gemeinsamen) Verantwortlichkeit ausreiche, dass eine natürliche oder juristische Person aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nehme und damit an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirke.[352] Es sei zum einen für das Vorliegen einer gemeinsamen Verantwortlichkeit unschädlich, dass die Gemeinschaft keinen Zugang zu den betreffenden personenbezogenen Daten habe, zum anderen setze das Vorliegen einer Verantwortlichkeit nicht voraus, dass die Gemeinschaft schriftliche Anleitungen oder Anweisungen zu den Datenverarbeitungen gebe.[353] Maßgebliches Kriterium für die Begründung einer gemeinsamen Verantwortlichkeit sei insofern, dass die Erhebung der personenbezogenen Daten letztlich „zur Umsetzung des Ziels der Gemeinschaft – nämlich [der] Verbreitung ihres Glaubens – [diene]“[354] und die Gemeinschaft die Verkündigungstätigkeit organisiert und koordiniert.[355]

144

Die ersten beiden Urteile des EuGH führen zu einer erheblichen Ausweitung der inhaltlichen Reichweite des Begriffs des Verantwortlichen nach Art. 4 Nr. 7 DS-GVO und der gemeinsamen Verantwortlichkeit. Insbesondere wird der Anwendungsbereich der Auftragsverarbeitung durch ein derartig weites Begriffsverständnis des Verantwortlichen weitgehend beschränkt.[356]

145

Im Juli 2019 erging das Urteil des EuGH in der Rs. Fashion ID.[357] In der Sache ging es um die Frage, ob Fashion ID, ein Online-Händler, für die Einbindung des Facebook-Like-Buttons als Social-Plug-In auf ihrer Website gemeinsam mit Facebook für eine damit einhergehende Verarbeitung personenbezogener Daten verantwortlich ist.[358] Zunächst wiederholt das Gericht die Kernaussagen der Urteile aus den Rs. Fanpage und Jehova und unterstreicht damit, dass das Gericht auch in der Rs. Fashion ID die bisherige Linie der Rechtsprechung eines weiten Begriffsverständnisses des Verantwortlichen beibehält.[359] Gleichwohl äußert sich das Gericht einschränkend dahingehend, dass „unbeschadet einer etwaigen (…) im nationalen Recht vorgesehenen zivilrechtlichen Haftung (…) [die datenverarbeitende Stelle] für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als (…) verantwortlich angesehen werden [kann]“[360]. In der Folge ist es „ausgeschlossen, dass Fashion ID über die Zwecke und Mittle der Vorgänge der Verarbeitung personenbezogener Daten entscheidet, die Facebook Ireland nach der Übermittlung [von] (…) Daten [vornimmt]“[361]. Erforderlich sei aber gleichwohl, dass die Verarbeitung personenbezogener Daten für jeden beteiligten Akteur datenschutzrechtlich gerechtfertigt ist.[362]

146

Auf mitgliedstaatlicher Ebene hat sich das AG Mannheim als erstes deutsches Gericht umfassend mit der Frage einer gemeinsamen Verantwortlichkeit einer Wohnungseigentümergemeinschaft und eines Verwalters auseinandergesetzt.[363] Nach Ansicht des AG Mannheim ist es für die Bestimmung der Verantwortlichkeit „allein maßgeblich, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden“[364]. Entscheidend sei demnach, wer über das Wie und Warum der Datenverarbeitung entscheide.[365] Dabei nimmt es ausdrücklich auf die Rechtsprechung des EuGH Bezug.[366]

147

Aus der Rechtsprechung ergeben sich somit folgende Leitlinien:

–	Erforderlich für die Annahme einer gemeinsamen Verantwortlichkeit ist, dass ein Verantwortlicher die Datenverarbeitung ermöglicht und die Parameter für die Verarbeitung vorgibt und diese somit beeinflusst oder dass die Datenverarbeitung zumindest im Interesse des einen Verantwortlichen erfolgt.[367]
–	Nicht erforderlich ist, dass alle Akteure Zugang zu den verarbeiteten personenbezogenen Daten haben, gleichwertige Beiträge erbringen oder schriftliche Anleitungen oder Anweisungen vornehmen.[368]
–	Jeder der gemeinsam Verantwortlichen muss sich auf einen eigenen Rechtfertigungstatbestand der DS-GVO für die Verarbeitung der personenbezogenen Daten berufen können.[369]
–	Bei vor- oder nachgelagerten Verarbeitungen personenbezogener Daten beschränkt sich die gemeinsame Verantwortlichkeit auf das Glied in der Verarbeitungskette, auf das der jeweilige Verantwortliche Einfluss nimmt, indem er über Zwecke und Mittel der Datenverarbeitung entscheidet.[370]

148

Diesen Leitlinien ist auch der Europäische Datenschutzbeauftragte (EDSB) in seinen „Guidelines on the concepts of controller, processor and joint controllership und der Regulation (EU) 2018/1725“ v. 7.11.2019 gefolgt.[371]

149

Um der Komplexität der heutigen tatsächlichen Gegebenheiten der Datenverarbeitung hinreichend Rechnung zu tragen, ist der Begriff „gemeinsam“ daher nicht nur als gemeinsame Entscheidung über eine Verarbeitung und als gemeinsame Verantwortung, sondern vielmehr als „zusammen mit“ oder „nicht alleine“ in unterschiedlichen Spielarten und Fallgestaltungen auszulegen.[372] Entscheidend ist im Ausgangspunkt die Feststellung einer gemeinsamen Datenverarbeitung wobei der Bewertung ein sachbezogener und funktioneller Ansatz zugrunde zu legen ist. So ist letztlich ausschlaggebend, ob mehr als ein Akteur über Zwecke und Mittel der Verarbeitung entscheidet.[373] Dabei ist entsprechend der Rechtsprechung ein weites Begriffsverständnis zugrunde zu legen.

150

Folglich ist es im Rahmen einer zunehmenden Arbeitsteilung und komplexer Arbeits- und Geschäftsprozesse wichtig, dass Rollen und Verantwortlichkeiten im Rahmen einer klaren Organisationsstruktur durch Rechte- und Rollenkonzepte leicht zuzuordnen sind, so dass es im Falle einer gemeinsamen Verantwortlichkeit nicht zu einer Beeinträchtigung der Wirksamkeit des Datenschutzes kommt.[374] Zu den Pflichten aus Art. 26 im Einzelnen vgl. die dortige Kommentierung.

151

Schließt bspw. der Eigentümer eines Gebäudes zur Installation von Videoüberwachungskameras einen Vertrag mit einem Sicherheitsunternehmen ab, so liegt die Entscheidung über die Zwecke der Videoaufzeichnung und die Art und Weise, wie die Aufnahmen erfasst und gespeichert werden bei dem Gebäudeeigentümer. Insofern ist er als alleiniger Verantwortlicher anzusehen.[375] Demgegenüber hat das AG Mannheim entschieden, dass im Rahmen einer Wohnungseigentümergemeinschaft diese durch Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung entscheide.[376] Der Verwalter bestimme aber in der Folge das „Wie“ und das „Warum“ der Erhebung und Verarbeitung der personenbezogenen Daten.[377] Insofern bestehe letztlich eine gemeinsame Verantwortlichkeit.

152

Darüber hinaus ist zu beachten, dass aus der Tatsache, dass Akteure im Sinne einer Kette hinsichtlich der Verarbeitung personenbezogener Daten zusammenarbeiten und Daten übermitteln, noch nicht folgt, dass sie gemeinsam Verantwortliche sind. Dies hat der EuGH in der Rs. Fashion ID nunmehr ausdrücklich bestätigt.[378] Neben dem durch das Gericht entschiedenen Fall kommen dabei etwa folgende Fallgestaltungen in Betracht: Leitet etwa ein Reisebüro Kundendaten an eine Fluggesellschaft oder ein Hotel weiter, werden diese dadurch nicht gemeinsam Verantwortliche, sondern bleiben jeweils eigenständig als für die Datenverarbeitung Verantwortliche anzusehen.[379] Diese Beurteilung ändert sich, wenn das Reisebüro, die Fluggesellschaft und das Hotel beschließen, zur einfacheren Abwicklung der Reise eine gemeinsame Internetplattform einzurichten und insofern hinsichtlich der Datengewinnung und Auswertung – z.B. im Rahmen von gemeinsamen Werbeaktionen – zusammenarbeiten. Dadurch werden die verschiedenen Akteure zu gemeinsam für die Datenverarbeitung Verantwortlichen.[380]