ersten beiden Urteile des EuGH führen zu einer erheblichen Ausweitung der inhaltlichen Reichweite des Begriffs des Verantwortlichen nach Art. 4 Nr. 7 DS-GVO und der gemeinsamen Verantwortlichkeit. Insbesondere wird der Anwendungsbereich der Auftragsverarbeitung durch ein derartig weites Begriffsverständnis des Verantwortlichen weitgehend beschränkt.[356]
145
Im Juli 2019 erging das Urteil des EuGH in der Rs. Fashion ID.[357] In der Sache ging es um die Frage, ob Fashion ID, ein Online-Händler, für die Einbindung des Facebook-Like-Buttons als Social-Plug-In auf ihrer Website gemeinsam mit Facebook für eine damit einhergehende Verarbeitung personenbezogener Daten verantwortlich ist.[358] Zunächst wiederholt das Gericht die Kernaussagen der Urteile aus den Rs. Fanpage und Jehova und unterstreicht damit, dass das Gericht auch in der Rs. Fashion ID die bisherige Linie der Rechtsprechung eines weiten Begriffsverständnisses des Verantwortlichen beibehält.[359] Gleichwohl äußert sich das Gericht einschränkend dahingehend, dass „unbeschadet einer etwaigen (…) im nationalen Recht vorgesehenen zivilrechtlichen Haftung (…) [die datenverarbeitende Stelle] für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als (…) verantwortlich angesehen werden [kann]“[360]. In der Folge ist es „ausgeschlossen, dass Fashion ID über die Zwecke und Mittle der Vorgänge der Verarbeitung personenbezogener Daten entscheidet, die Facebook Ireland nach der Übermittlung [von] (…) Daten [vornimmt]“[361]. Erforderlich sei aber gleichwohl, dass die Verarbeitung personenbezogener Daten für jeden beteiligten Akteur datenschutzrechtlich gerechtfertigt ist.[362]
146
Auf mitgliedstaatlicher Ebene hat sich das AG Mannheim als erstes deutsches Gericht umfassend mit der Frage einer gemeinsamen Verantwortlichkeit einer Wohnungseigentümergemeinschaft und eines Verwalters auseinandergesetzt.[363] Nach Ansicht des AG Mannheim ist es für die Bestimmung der Verantwortlichkeit „allein maßgeblich, wer die Entscheidungskompetenz innehat, über den Zweck und die Mittel der Verarbeitung personenbezogener Daten zu entscheiden“[364]. Entscheidend sei demnach, wer über das Wie und Warum der Datenverarbeitung entscheide.[365] Dabei nimmt es ausdrücklich auf die Rechtsprechung des EuGH Bezug.[366]
147
Aus der Rechtsprechung ergeben sich somit folgende Leitlinien:
| – | Erforderlich für die Annahme einer gemeinsamen Verantwortlichkeit ist, dass ein Verantwortlicher die Datenverarbeitung ermöglicht und die Parameter für die Verarbeitung vorgibt und diese somit beeinflusst oder dass die Datenverarbeitung zumindest im Interesse des einen Verantwortlichen erfolgt.[367] |
| – | Nicht erforderlich ist, dass alle Akteure Zugang zu den verarbeiteten personenbezogenen Daten haben, gleichwertige Beiträge erbringen oder schriftliche Anleitungen oder Anweisungen vornehmen.[368] |
| – | Jeder der gemeinsam Verantwortlichen muss sich auf einen eigenen Rechtfertigungstatbestand der DS-GVO für die Verarbeitung der personenbezogenen Daten berufen können.[369] |
| – | Bei vor- oder nachgelagerten Verarbeitungen personenbezogener Daten beschränkt sich die gemeinsame Verantwortlichkeit auf das Glied in der Verarbeitungskette, auf das der jeweilige Verantwortliche Einfluss nimmt, indem er über Zwecke und Mittel der Datenverarbeitung entscheidet.[370] |
148
Diesen Leitlinien ist auch der Europäische Datenschutzbeauftragte (EDSB) in seinen „Guidelines on the concepts of controller, processor and joint controllership und der Regulation (EU) 2018/1725“ v. 7.11.2019 gefolgt.[371]
149
Um der Komplexität der heutigen tatsächlichen Gegebenheiten der Datenverarbeitung hinreichend Rechnung zu tragen, ist der Begriff „gemeinsam“ daher nicht nur als gemeinsame Entscheidung über eine Verarbeitung und als gemeinsame Verantwortung, sondern vielmehr als „zusammen mit“ oder „nicht alleine“ in unterschiedlichen Spielarten und Fallgestaltungen auszulegen.[372] Entscheidend ist im Ausgangspunkt die Feststellung einer gemeinsamen Datenverarbeitung wobei der Bewertung ein sachbezogener und funktioneller Ansatz zugrunde zu legen ist. So ist letztlich ausschlaggebend, ob mehr als ein Akteur über Zwecke und Mittel der Verarbeitung entscheidet.[373] Dabei ist entsprechend der Rechtsprechung ein weites Begriffsverständnis zugrunde zu legen.
150
Folglich ist es im Rahmen einer zunehmenden Arbeitsteilung und komplexer Arbeits- und Geschäftsprozesse wichtig, dass Rollen und Verantwortlichkeiten im Rahmen einer klaren Organisationsstruktur durch Rechte- und Rollenkonzepte leicht zuzuordnen sind, so dass es im Falle einer gemeinsamen Verantwortlichkeit nicht zu einer Beeinträchtigung der Wirksamkeit des Datenschutzes kommt.[374] Zu den Pflichten aus Art. 26 im Einzelnen vgl. die dortige Kommentierung.
151
Schließt bspw. der Eigentümer eines Gebäudes zur Installation von Videoüberwachungskameras einen Vertrag mit einem Sicherheitsunternehmen ab, so liegt die Entscheidung über die Zwecke der Videoaufzeichnung und die Art und Weise, wie die Aufnahmen erfasst und gespeichert werden bei dem Gebäudeeigentümer. Insofern ist er als alleiniger Verantwortlicher anzusehen.[375] Demgegenüber hat das AG Mannheim entschieden, dass im Rahmen einer Wohnungseigentümergemeinschaft diese durch Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung entscheide.[376] Der Verwalter bestimme aber in der Folge das „Wie“ und das „Warum“ der Erhebung und Verarbeitung der personenbezogenen Daten.[377] Insofern bestehe letztlich eine gemeinsame Verantwortlichkeit.
152
Darüber hinaus ist zu beachten, dass aus der Tatsache, dass Akteure im Sinne einer Kette hinsichtlich der Verarbeitung personenbezogener Daten zusammenarbeiten und Daten übermitteln, noch nicht folgt, dass sie gemeinsam Verantwortliche sind. Dies hat der EuGH in der Rs. Fashion ID nunmehr ausdrücklich bestätigt.[378] Neben dem durch das Gericht entschiedenen Fall kommen dabei etwa folgende Fallgestaltungen in Betracht: Leitet etwa ein Reisebüro Kundendaten an eine Fluggesellschaft oder ein Hotel weiter, werden diese dadurch nicht gemeinsam Verantwortliche, sondern bleiben jeweils eigenständig als für die Datenverarbeitung Verantwortliche anzusehen.[379] Diese Beurteilung ändert sich, wenn das Reisebüro, die Fluggesellschaft und das Hotel beschließen, zur einfacheren Abwicklung der Reise eine gemeinsame Internetplattform einzurichten und insofern hinsichtlich der Datengewinnung und Auswertung – z.B. im Rahmen von gemeinsamen Werbeaktionen – zusammenarbeiten. Dadurch werden die verschiedenen Akteure zu gemeinsam für die Datenverarbeitung Verantwortlichen.[380]
c) Entscheidungsbefugnisse über Zweck und Mittel
153
War nach § 3 Abs. 7 BDSG a.F. noch die Zweckbestimmung der Datenverarbeitung das wesentliche Abgrenzungsmerkmal des Verantwortlichen, so ist dies nach Art. 4 Nr. 7 nunmehr die Entscheidung über Zweck und Mittel der Verarbeitung personenbezogener Daten. Mangels weiterer Ausführungen in der DS-GVO sowie im BDSG ist somit als Auslegungshilfe auch hier das WP 169 der Art.-29-Datenschutzgruppe sowie die Rechtsprechung des EuGH[381] heranzuziehen:[382] Danach ist der Zweck ein „erwartetes Ergebnis, das beabsichtigt ist oder