DSGVO - BDSG - TTDSG

209

Aus einer übergreifenden Analyse der drei Judikate lässt sich dabei ableiten, dass eine gemeinsame Verantwortlichkeit wahrscheinlich anzunehmen ist, wenn folgende Voraussetzungen kumulativvorliegen:

– Die Zwecke und Mittel der Verarbeitung sind (i) identisch oder (ii) zumindest ähnlich oder bedingen einander (symbiotisches Verhältnis),432 wobei jedenfalls vorauszusetzen sein sollte, dass die jeweiligen Datenverarbeitungsaktivitäten der Beteiligten derart untrennbar miteinander verknüpft sind, dass das (potenziell gemeinsam verantwortete) Datenverarbeitungsverfahren bzw. die damit verfolgte Zweckerreichung ohne die Beteiligung aller (vermeintlich gemeinsam) Verantwortlichen nicht möglich wären.433

– Die Zwecke der Verarbeitung erfolgen aus demselben übergeordneten (abstrakten) Interesse, z.B. „wirtschaftliches Interesse“.434

– Jede Partei hat übergeordnete Kenntnisse über die Zwecke und Mittel der anderen Partei.435

– Jede Partei akzeptiert die Zwecke der jeweils anderen Partei zumindest konkludent durch eine aktive Handlung, etwa durch den Abschluss eines Vertrages oder durch eine positive Beeinflussung der Verarbeitung,436 wie z.B. die Einleitung oder Förderung der Verarbeitung oder die Bereitstellung eines in dieser Hinsicht konzipierten Verarbeitungswerkzeugs.

– Jede Partei profitiert direkt von der Verarbeitung des spezifischen Datensatzes,437 d.h. durch die Verarbeitung wird ein direkter Nutzen für die beteiligten Parteien generiert (der über eine bloße finanzielle Kompensation hinausgeht).

210–215

Der EuGH scheint dabei die (vorliegenden) Verarbeitungszwecke mit den (eventuell nachgelagert) verfolgten Interessen an der Verarbeitung zu vermengen, die sich eher auf sich anschließende Verarbeitungsmöglichkeiten beziehen bzw. erst im Rahmen einer Rechtfertigungsprüfung nach Art. 6 Abs. 1 lit. f DSGVO relevant werden.438 Der Gerichtshof versteht das gemeinsam verfolgte Interesse der Beteiligten dabei wohl als verbindende Klammerim Verhältnis zu den jeweils individuell (jedoch wechselseitig akzeptierten) Verarbeitungszwecken. Insofern ist es auch nur konsequent, dass der EuGH im Fashion ID-Verfahren die gemeinsame Verantwortlichkeit auf die initiale Erhebung und Übermittlung an Facebook beschränkt, da der Webseiten-Betreiber an etwaigen nachgelagerten Verarbeitungsvorgängen durch Facebook nicht mehr (wirtschaftlich) partizipiert und daher auch kein Eigeninteresse verfolgt (obwohl er die Verarbeitung durch Facebook jedenfalls konkludent hinnimmt).439

216

Der singuläre Umstand, dass eine Datenverarbeitung einen Nutzen für mehrere Akteure entfaltet, genügt für sich alleine jedoch in der Regel nicht, um eine gemeinsame Verantwortlichkeit zu begründen.440 Insbesondere muss das Eigeninteresse über die bloße Erfüllung der Verarbeitungsleistung für einen anderen hinausgehen. Vielmehr muss für den Verarbeitenden aus der konkreten Datenverarbeitung unmittelbar ein Nutzen hervorgehen, der über die etwaige Zahlung eines entsprechenden Entgelts hinausgeht (insbesondere relevant für die Abgrenzung zur Auftragsverarbeitung).441

217

Eine gemeinsame Verantwortlichkeit ist von solchen Konstellationen abzugrenzen, in denen mehrere Parteien bei der Verarbeitung von personenbezogenen Daten lediglich zusammenarbeiten, ihre Verarbeitungsvorgänge jedoch jeweils in eigenen, abtrennbaren Verantwortungsbereichen durchführen.442 In solchen Fällen liegt eine einfache Datenweitergabe zwischen zwei getrennt Verantwortlichen vor.443 Die Abgrenzung zwischen getrennter und gemeinsamer Verantwortlicher ist durch die voran dargestellte EuGH-Rechtsprechung erheblich verkompliziert worden. In diesem Zusammenhang stellt sich insbesondere die Frage, welchen Einfluss die vom EuGH aufgestellten Kriterien über die in den relevanten Urteilen bewerteten, spezifischen Sachverhalte auf die Bewertung anderer Konstellationen entfalten.

218

Zu beachten bleibt dabei, dass auch der EuGH betont, dass nicht die bloße Existenz singulärer Umstände zur Vorlage einer gemeinsamen Verantwortung führe, sondern dies vielmehr stets im Rahmen einer wertenden, holistischen Betrachtungunter Berücksichtigung aller Umstände des konkreten Einzelfalls zu bewerten sei.444 Demgemäß dienen die oben genannten Faktoren in erster Linie als Startpunkt einer entsprechenden Prüfung. Eine Übertragbarkeit der EuGH-Rechtsprechungauf ähnliche Konstellationen bzw. Kollaborationen im Rahmen einer Datenverarbeitung im Allgemeinen ist dabei stets sorgfältig zu prüfen. So gilt es im Einzelfall zu eruieren, ob die Einflussmöglichkeit der beteiligten Akteure im Rahmen einer umfassenden und wertenden Betrachtungdie Annahme einer gemeinsamen Verantwortlichkeit rechtfertigt.

219

Insofern sind auch durchaus die jeweiligen Besonderheiten der den Urteilen jeweils zugrunde liegenden Sachverhaltezu berücksichtigen. So ist etwa mit Blick auf die Facebook-Fanpages-Entscheidung zu beachten, dass die Verantwortungsbereiche von Facebook und den Fanpage-Betreibern quasi untrennbar miteinander verwoben sind, da der Besuch einer Facebook-Fanpage zwangsläufig und untrennbar mit einem gleichzeitigen Besuch der allgemeinen Facebook-Plattform und damit mit einer Verarbeitung der personenbezogenen Daten des jeweiligen Besuchers durch Facebook verbunden ist.445 In anderen Fällen können sich die Einfluss- und Verantwortungsbereiche (sowie die jeweils verfolgten Interessen) der an einer Datenverarbeitung beteiligten Akteure demgegenüber durchaus trennscharf voneinander abgrenzen lassen.

220

Eine solche abgegrenzte Betrachtung der Verantwortungsbereiche erscheint etwa auch bei der Einbindung von Pluginsauf Internetseiten grundsätzlich denkbar.446 So ist auch in solchen Fällen stets zu prüfen, welche Zwecke von den Beteiligten verfolgt werden, ob eine wechselseitige Zustimmung in den Zweck des jeweils anderen erfolgt und ob letztlich auch ein gleichgelagertes Interesse verfolgt wird. So ist die Verteilung und gegebenenfalls Überschneidung von Verantwortungsbereichen maßgeblich auch durch die konkrete technische Gestaltung eines Plugins sowie des jeweils erhobenen Datenumfangs und den vertraglichen Abreden zwischen den Beteiligten bestimmt.447 Diese Prüfung kann durchaus in dem Ergebnis enden, dass den Plugin-Anbieter erst ab dem Zeitpunkt eine Verantwortung trifft, an dem er die vom jeweiligen Plugin erhobenen Daten vom Webseiten-Betreiber erhält. Vice versa kann jedoch auch eine weiterreichende gemeinsame Verantwortlichkeit als im Fashion ID-Urteil gegeben sein, etwa wenn eine Möglichkeit zur Einflussnahme seitens des Webseiten-Betreibers auf die sich anschließende Datenverarbeitung durch den Plugin-Anbieter besteht (z.B. im Rahmen einer beeinflussbaren Nutzungsanalyse).448

221

Ferner können sich auch Konstellationen ergeben, in denen die Beteiligten zwar bei der Datenverarbeitung zusammenarbeiten, dabei jedoch gegenläufige Interessenverfolgen. Dies kann etwa der Fall sein, wenn sich die Beteiligten in einer Verhandlungssituation befinden, etwa da sie um die Abtretung einer Forderung verhandeln. Wertend betrachtet können solche Fälle daher durchaus als getrennte Verantwortlichkeit zu klassifizieren sein, auch wenn die oben aufgeschlüsselten Voraussetzungen an eine gemeinsame Verantwortlichkeit (formal) vorliegen können.

222

Sofern zwei oder mehrere Stellen eine Datenverarbeitung gemeinsam verantworten, stellt die Regelung von Art. 26 Abs. 3 DSGVO klar, dass jeder der gemeinsam Verantwortlichen nach außen jeweils voll für die Einhaltung aller Vorgaben der DSGVOeinzustehen hat.449 Dies gilt im Außenverhältnis in der Regel ungeachtet dessen, zu welchem Grad eine Einflussmöglichkeit der beteiligten Akteure besteht. Etwaige Gefälle oder Zuständigkeitsvereinbarungen zwischen den Akteuren wirken sich grundsätzlich lediglich im Innenverhältnis aus.450 Denkbar verbleibt aber, dass die Verantwortlichkeiten zwischen den Parteien so klar und eindeutig vertraglich separiert sind, dass – im Zusammenhang mit einem konkreten Datenschutzverstoß – sich die jeweils hierfür nicht verantwortliche Partei unmittelbar von einem Vertretenmüssen befreien kann (etwa gemäß Art. 82 Abs. 3 oder Art. 83 Abs. 2 S. 2 lit. d DSGVO).451 Zweideutig sind insoweit die Aussagen des EuGH, dass das Bestehen einer gemeinsamen Verantwortlichkeit „[...] nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, [...]“.452 An anderer Stelle heißt es wiederum, dass bei Vorlage einer gemeinsamen Verantwortlichkeit, „[...] jeder von ihnen [den Verantwortlichen] den Datenschutzvorschriften unterliegt“.453 Insofern wird nicht klar, ob der EuGH es grundsätzlich für möglich erachtet, dass ein beteiligter Akteur lediglich graduelle, datenschutzrechtliche Verantwortung tragen könne, mit der Folge, dass er nur gewisse (jedoch nicht alle) datenschutzrechtlichen Vorgaben einzuhalten habe. Zu beachten ist hingegen, dass diese Äußerungen noch auf Grundlage der DSRl erfolgten, die unter Umständen einer solchen, graduellen Verantwortlichkeit grundsätzlich zugänglich gewesen wäre.454 Jegliche Formen einer abgeschichteten Verantwortung kann es in diesem Sinne aber (außer in sich aus Verstößen ergebenden Haftungs- und Sanktionsfragen, vgl. oben) unter der DSGVO nicht geben.455 Die Möglichkeit zur Einflussnahme eines Beteiligten sollte daher in jedem Fall so ausgeprägt sein, um eine auch umfassende Verantwortlichkeitszuweisung gerechtfertigt erscheinen zu lassen.456