Der EuGH hat kürzlich drei Urteile zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 1 DSGVO gefällt (Facebook Fanpages – C-210/16; Zeugen Jehovas – C-25/17 und Fashion ID – C-40/17) und damit die Konturen dieser bisher wenig präsenten Rechtsfigur geschärft. Zudem haben die deutschen Aufsichtsbehörden in ihrem DSK-Kurzpapier Nr. 16 zur gemeinsamen Verantwortlichkeit Stellung bezogen. Verantwortliche sollten dies zum Anlass nehmen, um ihre Prozesse auf das Vorliegen gemeinsamer Verantwortlichkeiten zu prüfen, und erforderliche Maßnahmen zur rechtskonformen Gestaltung der gemeinsamen Verantwortlichkeit treffen.
Wann liegt eine gemeinsame Verantwortlichkeit vor?
Eine gemeinsame Verantwortlichkeit liegt vor, wenn zwei (oder mehr) Verantwortliche die Zwecke und Mittel einer Verarbeitung gemeinsam festlegen. Für die Feststellung, ob eine gemeinsame Verantwortlichkeit vorliegt, ist nach den Grundsätzen der EuGH Rechtsprechung einzelfallbezogen in einer wertenden Betrachtung für die einzelnen Phasen der Verarbeitung der Grad der Verantwortlichkeit der Beteiligten zu ermitteln. Auch Beteiligungen an einer Verarbeitung, denen eine gemeinsame Verantwortlichkeit nicht „auf die Stirn geschrieben“ steht, können eine gemeinsame Verantwortlichkeit sein. Im Interesse „eines ho-
hen Niveaus des Schutzes der Grundfreiheiten und Grundrechte“ legt der EuGH die Voraussetzungen der gemeinsamen Verantwortlichkeit nämlich weit aus.
Für die Annahmen einer gemeinsamen Verantwortung ist
- nicht zwingend erforderlich, dass alle Beteiligten auf die personenbezogenen Daten zugreifen können und
- auch nicht, dass die Beteiligten gleichrangig an der Verarbeitung beteiligt sind.
Eine gemeinsame Verantwortlichkeit kann schon bestehen, wenn
- ein Verantwortlicher die Datenverarbeitung wesentlich kontrolliert und organsiert und der andere (nur) durch die Ausrichtung der Verarbeitung auf ein Zielpublikum dazu beiträgt (EuGH Facebook Fanpages – C-210/16, Rn. 36),
- ein Verantwortlicher personenbezogene Daten verarbeitet und der andere dessen Tätigkeit organisiert und koordiniert, ohne dass er auf die personenbezogenen Daten zwingend zuzugreifen können muss (EuGH Zeugen Jehovas – C-25/17, Rn. 63 ff.) oder
- ein Verantwortlicher ein Plugin auf seiner Webseite einbindet und so Verarbeitungen personenbezogener Daten durch einen anderen ermöglicht (EuGH Fashion ID – C-40/17, Rn. 80).
Welche Konsequenzen ergeben sich aus einer gemeinsamen Verantwortlichkeit?
Wenn eine gemeinsame Verantwortlichkeit vorliegt, müssen die Verantwortlichen
- im eigenen Verantwortungsbereich sicherstellen, dass eine Rechtfertigung für die Verarbeitung personenbezogener Daten besteht,
- in einer Vereinbarung über die gemeinsame Verantwortlichkeit regeln, wer welche datenschutzrechtlichen Verantwortlichkeiten (insbesondere gegenüber den Betroffenen) erfüllt und
- die Betroffenen über die gemeinsame Verantwortlichkeit und die Rollen der Verantwortlichen angemessen informieren.
Welche Maßnahmen sind zu empfehlen?
Verantwortliche sollten zunächst prüfen, ob es Verarbeitungen gibt, an denen sie als gemeinsame Verantwortliche beteiligt sind. Angesichts der eher abstrakten oder stark einzelfallbezogenen Kriterien aus der EuGH-Rechtsprechung ist diese Übung mit Herausforderungen verbunden. Neben Beachtung der Kriterien aus der EuGH-Rechtsprechung bietet es sich daher an, eigene Verarbeitungen zunächst mit den konkreteren Beispielen der deutschen Aufsichtsbehörden in dem DSK-Kurzpapier Nr. 16 abzugleichen. Dies sind
- klinische Arzneimittelstudien, an denen mehrere Beteiligte mitwirken,
- gemeinsame Verwaltung bestimmter Datenkategorien (z.B. Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen,
- gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre Zwecke verfolgen, z.B. eine gemeinsam betriebene Plattform zur Reiseorganisation,
- Personalvermittlung für mehrere Arbeitgeber oder
- gemeinsamer Betrieb von Informations- oder Warnsystemen.
Wenn eine gemeinsame Verantwortlichkeit identifiziert ist, sollte man
- sich mit den anderen Verantwortlichen abstimmen,
- mit diesen eine Vereinbarung über die gemeinsame Verantwortlichkeit abschließen und
- die Betroffenen angemessen über die gemeinsame Verantwortung und die wesentlichen Inhalte der Vereinbarung über die gemeinsame Verantwortlichkeit in Kenntnis setzen.