insoweit der Einordnung von Mitarbeitervertretungen (Betriebs- und Personalräte) zu. Grundsätzlich werden diese nicht als Dritte und damit als eigenständiger Verantwortlicher im Sinne der DS-GVO, sondern als Teil des Unternehmens des Verantwortlichen angesehen.[322] An dieser Beurteilung ändert sich auch dann nichts, wenn Mitarbeitervertretungen selbst und eigenverantwortlich über die vorzunehmenden Datenverarbeitungen entscheiden und insoweit auch nicht der Kontrolle des betrieblichen Datenschutzbeauftragten unterliegen.[323]
136
Bei Unternehmensverbänden nach Art. 4 Nr. 19[324] ist jedes rechtlich selbstständige Unternehmen, das personenbezogene Daten für eigene Zwecke verarbeitet als Verantwortlicher i.S.d. Art. 4 Nr. 7 zu qualifizieren.[325]
137
Die Behörde ist weder in Art. 4 Nr. 7 noch an sonstiger Stelle in der DS-GVO definiert. Voraussetzung ist jedenfalls ein hoheitliches Handeln, so dass sich in dieser Hinsicht an die Vorgaben der jeweiligen Mitgliedstaaten anknüpfen lässt.[326] In Deutschland wird daher auf den Behördenbegriff nach § 1 Abs. 4 VwVfG abzustellen sein. Danach ist ein funktionelles, d.h. aufgabenorientiertes und kein organisatorisches Verständnis zugrunde zu legen. Ausweislich § 2 Abs. 4 S. 2 BDSG n.F. sind auch „Beliehene“, also nichtöffentliche Stellen, die hoheitliche Aufgaben wahrnehmen vom Behördenbegriff umfasst.
138
Die Begriffe der sonstigen Stelle und Einrichtungen sind ebenfalls in der DS-GVO nicht erläutert. Im Zuge einer Negativabgrenzung fallen darunter alle Einrichtungen, die nicht bereits als natürliche oder juristische Person oder Behörde über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden. Die BGB-Gesellschaft oder der nicht-rechtsfähige Verein werden unter diese Auffangtatbestände zu subsumieren sein.[327]
b) Alleinige oder gemeinsame Verantwortliche
139
Nach Art. 4 Nr. 7 ist es für die Zuweisung der Verantwortlicheneigenschaft nicht notwendig, dass der Verantwortliche ausschließlich alleine personenbezogene Daten verarbeitet. Vielmehr kann nach der DS-GVO die Entscheidung über Zwecke und Mittel der Datenverarbeitung „allein oder gemeinsam mit anderen“ getroffen werden, indem bei der Verarbeitung personenbezogener Daten mehrere Akteure beteiligt sind und somit verschiedene Verantwortliche bestehen.[328] Die DS-GVO greift damit insbesondere auch mit Blick auf Art. 26 die Begrifflichkeit und Systematik von Art. 2 lit. d DSRL auf.
140
Wichtige Aussagen zu den Voraussetzungen einer gemeinsamen Verantwortlichkeit hat der EuGH in den Rs. Fanpage[329], Jehova[330] und Fashion ID[331] getroffen.[332] Dabei hat das Gericht in allen Entscheidungen bekräftigt, dass dem Begriff des Verantwortlichen ein weites Begriffsverständnis zugrunde zu legen ist.[333]
141
Das erste Urteil in diesem Zusammenhang erging zur Frage der gemeinsamen Verantwortlichkeit von Betreibern einer Facebook-Fanpage mit Facebook. Dem Urteil lag ein Vorabentscheidungsersuchen des BVerwG[334] zugrunde. Hintergrund war ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD).[335] Das ULD hatte gegenüber der Wirtschaftsakademie angeordnet, den Betrieb einer Fanpage auf Facebook einzustellen, da die Besucher der Fanpage nicht über den Einsatz von Cookies und eine damit einhergehende Verarbeitung ihrer personenbezogenen Daten informiert würden.[336] In der Rs. Fanpage betonte der EuGH zunächst, dass sich der Begriff des Verantwortlichen nicht zwingend auf eine einzige Stelle bezieht, sondern mehrere an einer Datenverarbeitung beteiligte Akteure betreffen kann, so dass in der Folge jeder dieser Akteure den Vorschriften der DS-GVO unterliegt.[337] Ferner wies das Gericht darauf hin, dass es für die Begründung einer gemeinsamen Verantwortlichkeit bereits ausreiche, dass eine Stelle (im konkreten Fall der Betreiber einer Facebook-Fanpage) einem anderen Verantwortlichen (hier Facebook) die Möglichkeit gebe, personenbezogene Daten der betroffenen Personen zu verarbeiten.[338] Darüber hinaus stellte der EuGH fest, dass es ebenfalls für eine gemeinsame Verantwortlichkeit nicht erforderlich sei, dass „bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat“[339]. Das Bestehen einer gemeinsamen Verantwortlichkeit setzt somit keine gleichwertige Verantwortlichkeit der Akteure voraus.[340] Vielmehr könnten die Akteure auch „in verschiedenen Phasen und in unterschiedlichem Ausmaß“[341] in die Verarbeitung personenbezogener Daten einbezogen sein, so dass der Grad der Verantwortlichkeit unter Berücksichtigung aller Umstände der Einzelfalles zu beurteilen sei.[342] Aus dem Urteil folgt zum einen, dass Facebook-Fanpage-Betreiber zusammen mit Facebook für die Verarbeitung personenbezogener Daten und etwaige Datenschutzverstöße verantwortlich sind (zu den Konsequenzen dieser Beurteilung s.u. Rn. 162 ff.).[343] Zum anderen enthält das Urteil wichtige Parameter sowohl im Hinblick auf die Reichweite des Begriffs der Verantwortlichkeit als auch bezüglich der Beurteilung der Frage hinsichtlich des Vorliegens einer gemeinsamen Verantwortlichkeit.[344]
142
Das BVerwG hat die Entscheidung des EuGH zu Facebook-Fanpages für den konkreten Fall am 11.9.2019 befolgt und die Sache zur endgültigen Entscheidung an das OVG Schleswig verwiesen.[345]
143
Das zweite Urteil des EuGH im Hinblick auf die Reichweite einer gemeinsamen Verantwortlichkeit erging in der Rs. Jehova. Dem Urteil lag folgender Sachverhalt zugrunde: Die Mitglieder der Gemeinschaft der Zeugen Jehovas führen im Rahmen ihrer Verkündigungstätigkeit Hausbesuche bei Personen durch, die weder ihnen noch der Gemeinschaft bekannt sind.[346] Die Gemeinschaft gab dabei ihren Mitgliedern Anleitungen zur Anfertigung von Notizen zu den Hausbesuchen (insbes. Name und Adresse der aufgesuchten Personen, religiöse Überzeugungen) und organisierte und koordinierte die Verkündigungstätigkeit ihrer Mitglieder.[347] Dabei verlangt die Gemeinschaft von ihren verkündigenden Mitgliedern weder, dass diese personenbezogene Daten durch Notizen erheben noch kannte sie die Inhalte der Notizen oder die Identität der verkündigenden Mitglieder, die die Daten erhoben haben.[348] Neben der Frage hinsichtlich des Vorliegens eines Dateisystems i.S.v. Art. 4 Nr. 6[349] nahm der EuGH insbesondere zur inhaltlichen Reichweite der Verantwortlichkeit Stellung.[350] Dabei nimmt das Gericht zum einen ausdrücklich auf die Ausführungen in der Rs. Fanpage Bezug[351], führt ergänzend aber aus, dass es für die Annahme einer (gemeinsamen) Verantwortlichkeit ausreiche, dass eine natürliche oder juristische Person aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nehme und damit an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirke.[352] Es sei zum einen für das Vorliegen einer gemeinsamen Verantwortlichkeit unschädlich, dass die Gemeinschaft keinen Zugang zu den betreffenden personenbezogenen Daten habe, zum anderen setze das Vorliegen einer Verantwortlichkeit nicht voraus, dass die Gemeinschaft schriftliche Anleitungen oder Anweisungen zu den Datenverarbeitungen gebe.[353] Maßgebliches Kriterium für die Begründung einer gemeinsamen Verantwortlichkeit sei insofern, dass die Erhebung der personenbezogenen Daten letztlich „zur Umsetzung des Ziels der Gemeinschaft – nämlich [der] Verbreitung ihres Glaubens – [diene]“[354] und die Gemeinschaft die Verkündigungstätigkeit organisiert und koordiniert.[355]