Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 177

191

Mehrere Parteien verarbeiten personenbezogene Daten in gemeinsamer Verantwortlichkeit, sofern sie die Zwecke und die wesentlichen Elemente der Mittel gemeinsam festlegen.399 Die Bewertung, ob eine gemeinsame Verantwortlichkeit vorliegt, erfolgt generell wie bei der alleinigen Kontrolle, wobei bei der gemeinsamen Verantwortlichkeit der Schwerpunkt darauf zu legen ist, dass mehr als eine Partei über die Zwecke (das „Warum“) und Mittel (das „Wie“) entscheidet.400 Demgemäß ist auch im Falle einer gemeinsamen Verantwortlichkeit erforderlich, dass ein Beteiligter über Zwecke und Mittel eines bestimmten Datenverarbeitungsverfahrens jedenfalls (mit-)bestimmen kann, mithin ihm faktische oder rechtliche Einflussmöglichkeiten zustehen.

192

Unproblematisch liegt eine gemeinsame Verantwortlichkeit vor, wenn mehrere Akteure über alle Zwecke und Mittel der Verarbeitungstätigkeiten gemeinsam entscheiden und gemeinsame Mittel für die Erreichung gemeinsamer Zwecke einsetzen.401 Möglich ist es aber auch, dass die Beteiligungen der Parteien an den gemeinsamen Entscheidungen verschiedene Formen aufweisen und nicht gleichmäßig verteilt sind; auch der Grad an Entscheidungsgewalt kann variieren.402 Insofern kann sich eine gemeinsame Verantwortlichkeit auch nur auf bestimmte Verarbeitungsschritte oder lediglich gewisse Aspekte eines Datenverarbeitungsverfahrens erstrecken.

193

Ferner sind auch Konstellationen denkbar, in denen die gemeinsam Verantwortlichen individuelle Zwecke der Datenverarbeitung verfolgen, dies jedoch auf Grundlage von gemeinsam festgelegten und betriebenen Mitteln, etwa einer bestimmten Vorgehensweise oder Infrastruktur. Die gemeinsame Verantwortlichkeit kann sich in solchen Fällen logischerweise dann allenfalls auf die Mittel der Datenverarbeitung beziehen (wobei eine gemeinsame Bestimmung wesentlicher Mittel in der Regel mit einer gemeinsamen Bestimmung der Verarbeitungszwecke einhergeht, vgl. oben).403

194

Der Abschluss eines Vertrags nach Art. 26 DSGVO hat hingegen keine konstitutive Wirkung.404 Vielmehr führt die (faktische) Vorlage einer gemeinsamen Verantwortlichkeit dazu, dass die gemeinsam Verantwortlichen einen Vertrag nach Maßgabe von Art. 26 DSGVO abschließen müssen. Gleichwohl sind vertragliche Abreden im Hinblick auf tatsächliche und/oder rechtliche Einflussmöglichkeiten auf ein Datenverarbeitungsverfahren zwischen den Akteuren bei der Bewertung einer möglichen gemeinsamen Verantwortlichkeit angemessen zu würdigen.405

195

Eine gemeinsame Verantwortlichkeit liegt nicht (mehr) vor, wenn eine Partei auf die Verarbeitung in einer bestimmten Phase keinen faktischen Einfluss mehr nehmen kann und die konkrete Verarbeitungsphase auch nicht aus Eigeninteresse akzeptiert wird (etwa weil daraus kein eigenständiger Nutzen für die jeweilige Partei erwächst).406 Wird etwa über eine Schnittstelle auf Daten durch Partei A zugegriffen, die im Verantwortungsbereich von Partei B gespeichert sind, und werden diese Daten infolge des Zugriffs durch Partei A der Kontrolle von Partei B entzogen, so ist auch nur Partei A als Alleinverantwortliche hinsichtlich der durch sie durchgeführten Verarbeitung dieser Daten anzusehen.407 Eine Grenzziehung zwischen Einfluss- und somit Verantwortlichkeitsbereichen kann mitunter schwierig sein. Zur Zerteilung und anschließenden Segmentierung einer Verarbeitungssequenz kann dabei auf die in der Definition der Verarbeitung in Art. 4 Nr. 2 DSGVO vorgesehenen, unterschiedlichen Verarbeitungsformen rekurriert werden.408

196

Nicht ausreichend ist ferner, wenn mehrere Akteure bei einer Datenverarbeitung lediglich zusammenarbeiten, ohne jedoch im Hinblick auf dieses Datenverarbeitungsverfahren gemeinsam Zwecke und/oder wesentliche Mittel festzulegen bzw. gemeinsam beeinflussen zu können. Hierbei kann es sich sowohl um eine sequenzielle (derselbe Datensatz wird nacheinander von verschiedenen Stellen verarbeitet) als auch um eine sternförmige (verschiedene Stellen speisen unabhängig voneinander Daten in ein System ein) Zusammenarbeit handeln. So ist in beiden Konstellationen durchaus denkbar, dass jede beteiligte Stelle – separat – nur für die auch von ihr aktiv durchgeführte Verarbeitung (etwa die Einspeisung ihrer Daten) verantwortlich ist, da es – am Beispiel einer sternförmigen Zusammenarbeit – an einer gemeinsamen Bestimmung der Zwecke und Mittel hinsichtlich der Gesamtheit der Daten im jeweiligen System fehlen kann, sofern die zentrale Stelle nicht gemeinsam betrieben wird bzw. dort keine gemeinsame Zweckfestsetzung erfolgt.409 Entsprechendes gilt bei gemeinsam genutzten Infrastrukturen oder Datenbanken, wenn jede teilnehmende Stelle diese Infrastruktur bzw. Datenbank nutzt, um ihre eigenen personenbezogenen Daten zu verarbeiten (ohne auf die Datenverarbeitung der anderen Beteiligten Einfluss nehmen zu können).410