wird“.[383] Insoweit ist im Wege einer kontextbezogenen Betrachtung zu prüfen, wer die Zwecke und Mittel der Verarbeitung, d.h. das Ob, Warum und Wie der Verarbeitung der personenbezogenen Daten festlegt.[384] Dabei ist ausschlaggebend, wie detailliert jemand über Zwecke und Mittel entscheidet und welchen Handlungsspielraum er etwa einem vom Verantwortlichen abzugrenzenden Auftragsverarbeiter[385] einräumt.[386] Dabei kann für die Bestimmung des Verantwortlichen die Entscheidung über Zweck oder Mittel jeweils unterschiedlich im Vordergrund stehen.[387] Als Abwägungskriterien können etwa das Weisungsrecht des Verantwortlichen gegenüber dem Auftragsverarbeiter, die Kontrollmöglichkeiten gegenüber dem Auftragsverarbeiter oder die Abgrenzung der verschiedenen Handlungsspielräume dienen.[388] Letztlich ist zu fragen, wer entscheidet, warum eine Verarbeitung erfolgt und dabei die Rolle und mögliche Beteiligung der jeweiligen Akteure festlegt. Die Entscheidung über die Mittel beinhaltet sowohl technische als auch organisatorische Fragen.[389]
154
Insgesamt folgt die Prüfung, wer über Zwecke und Mittel entscheidet einem kontextbezogenen und pragmatischen Ansatz. Gerade im Rahmen von Datenverarbeitungsprozessen wird etwa das beauftragende Unternehmen zwar über die Zwecke der Verarbeitung entscheiden, demgegenüber besitzt das beauftragte Unternehmen das erforderliche Spezialwissen und trifft somit die Entscheidung hinsichtlich der Mittel der Datenverarbeitung. Daraus folgt, dass die Entscheidung über die Zwecke der Datenverarbeitung stets einen aussagekräftigen Rückschluss auf die Stellung als Verantwortlicher zulässt, während die Entscheidung über die Mittel auch einem vom Verantwortlichen abzugrenzenden Auftragsverarbeiter zufallen kann.[390]
d) Abgrenzung zur Auftragsverarbeitung
155
Das weite Begriffsverständnis von Art. 4 Nr. 7, das der EuGH in seiner Rechtsprechung[391] etabliert hat, wirft die Frage auf, welcher Anwendungsbereich noch für eine Auftragsverarbeitung verbleibt und unter welchen Voraussetzungen ein Akteur als Dritter bzw. Empfänger von personenbezogenen Daten i.S.d. Art. 4 Nr. 8–10 anzusehen ist.
156
Das AG Mannheim hat insoweit im Hinblick auf eine Abgrenzung zur Auftragsverarbeitung klargestellt, dass es sich bei einer solchen nur um eine datenverarbeitende Hilfsfunktion[392] handeln darf, d.h. dass „keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen“[393]. Dabei ist unerheblich, welche Bezeichnung die Beteiligten wählen. Eine Bezeichnung einer Vereinbarung als „Auftragsverarbeitungsvertrag“ ist dabei für die Annahme einer gemeinsamen Verantwortlichkeit unerheblich.[394] Entscheidend sind die tatsächlichen Umstände des jeweiligen Einzelfalls.[395]
157
Eine Checkliste für eine Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem findet sich auch in den „Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725“ des Europäischen Datenschutzbeauftragten (EDSB) vom 7.11.2019.[396] Für Einzelheiten wird an dieser Stelle auf die Kommentierungen zu Art. 4 Nr. 8–10 verwiesen.
4. Einzelfälle/Praxisbeispiele/Praxishinweise
158
Die datenschutzrechtliche Mitverantwortlichkeit der Betreiber von Fanpages bei Facebook ist nunmehr durch den EuGH bejaht worden.[397]
159
Im Nachgang zu der EuGH-Entscheidung veröffentlichte Facebook ein sog. Page Controller Addendum, das Rechte und Pflichten der Verantwortlichen entsprechend Art. 26 beschreibt.[398] Diese Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26 nach Meinung der Datenschutzkonferenz (DSK) jedoch nicht. Im DSK-Beschluss zu Facebook-Fanpages v. 5.9.2018 heißt es: „Ohne Vereinbarung nach Art. 26 DS-GVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“[399] Die DSK positionierte sich im April 2019 wie folgt: „Am 11. September 2018 veröffentlichte Facebook eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu SeitenInsights“. Diese (…) Ergänzung (…) erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. (…) Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“[400]
160
Das BVerwG hat die Entscheidung des EuGH zu Facebook-Fanpages[401] für den konkreten Fall befolgt und die Sache zur endgültigen Entscheidung an das OVG Schleswig verwiesen.
161
Hinzu treten die Entscheidungen des EuGH in den Rs. Jehova[402] und Fashion ID[403]. Die Art.-29-Datenschutzgruppe vertritt in ihrem WP 169 die Position, dass derjenige, der weder unter rechtlichen noch tatsächlichen Gesichtspunkten Einfluss auf die Entscheidung der Verarbeitung personenbezogener Daten hat, nicht als Verantwortlicher angesehen werden kann.[404] Dieser Auffassung ist der EuGH in Fashion ID nunmehr gefolgt.[405] In datenschutzrechtlicher Hinsicht ergeben sich aus den Urteilen weitreichende Konsequenzen für die Reichweite der Verantwortlichkeit datenverarbeitender Stellen, insbesondere für die Betreiber von Fanpages‚ und Social-Plug-Ins im Rahmen von Social Media. Durch den weiten Anwendungsbereich, den der EuGH dem Verantwortlichen und einer gemeinsamen Verantwortlichkeit einräumt, ist in praktischer Hinsicht stets eine sorgsame Prüfung erforderlich, ob anhand der vom EuGH aufgestellten Kriterien eine (gemeinsame) Verantwortlichkeit der beteiligten Akteure vorliegt oder eine Auftragsverarbeitung (vgl. dazu Rn. 155 ff. sowie insbes. die Kommentierung zu Art. 26 und Art. 28).
162
Die genannten Entscheidungen haben weitreichende Konsequenzen für die Praxis bei der Nutzung sozialer Mediendienste. Jeder datenschutzrechtlich Verantwortliche, der im weiten Sinne der Rechtsprechung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und dem Anwendungsbereich der DS-GVO unterfällt, darf nur dann eine Facebook-Fanpage betreiben, wenn sie mit Facebook eine Vereinbarung über die Verteilung der datenschutzrechtlichen Verpflichtungen nach Art. 26 getroffen haben. Von dieser Pflicht ausgenommen sind, soweit vorliegend von Bedeutung, lediglich natürliche Personen, die ausschließlich persönliche oder familiäre Tätigkeiten verfolgen. Die Pflicht eine solche Vereinbarung mit Facebook zu schließen, trifft damit alle öffentlichen Stellen und private Stellen, soweit sie über den persönlichen oder privaten Gebrauch hinaus soziale Netzwerke nutzen. Private und öffentliche verantwortliche Stellen sind nun in der Pflicht, datenschutzrechtlich geeignete und angemessene Strategien zur rechtskonformen Teilhabe an den Angeboten der digitalen Kommunikation vorzulegen. Das kann nur unter Mitwirkung der Anbieter der Dienste erfolgen. Diese sind hierbei nach der Rechtsprechung des BVerfG („Recht auf Vergessen I“) uneingeschränkt an die Grundrechte gebunden (mittelbare Grundrechtsbindung).[406]
163
So hat etwa Facebook im Nachgang