Gemeinsame Verantwortungen – wie umgehen damit?

Neben der Auftragsverarbeitung sieht die Daten­schutz­grundverordnung (DSGVO) auch Regelungen für den Fall vor, dass mehrere Akteure gemein­sam für Ver­arbeitungen im Zusammen­hang mit personen­bezogenen Daten verantwortlich sind („Joint Controllership“).

Gemäß Art. 26 Abs. 1 DSGVO sind mehrere Stellen „gemein­sam für die Ver­arbeitung Verant­wort­liche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Ver­arbeitung festlegen. Der „Verantwortliche“ wird in Art. 4 Nr. 7 DSGVO definiert. In diesem Sinne bedingt eine gemeinsame Verant­wortlich­keit, dass zwei oder mehrere Verant­wortliche gemeinsam personen­bezogene Daten verarbeiten.

Die Aufsichtsbehörden haben sich bisher nur in wenigen Veröffentlichungen mit dem Thema  beschäftigt, obwohl die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ schon in richtungsweisenden Gerichtsentscheidungen jüngerer Zeit eine zentrale Rolle gespielt hat. So entschied der Europäische Gerichtshof (Urteil vom 29.07.2019, Az. C-40/17, abrufbar unter https://curia.europa.eu/juris/liste.jsf?num=C-40/17#), dass die Seitenbetreiber für Erhebung und Übermittlung von Daten durch Facebooks Like-Button mitverantwortlich sind. Der EuGH argumentiert, die Einbindung des Buttons erlaube es dem Beklagten, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werde. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID „zumindest stillschweigend“ der Erhebung personenbezogener Daten der Website-Besucher zugestimmt habe.

Die Frage, wie eine vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten sei, hat seit Bekanntwerden des Art. 26 DSGVO bei vielen Verantwortlichen Verunsicherung ausgelöst. Lediglich das Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO“ der Datenschutzkonferenz unternahm den Versuch, den Begriff und die mit dem Thema zusammenhängenden Abgrenzungsfragen aufzuarbeiten. Die noch weiterhin bestehenden Unsicherheiten rund um diese Rechtsfigur versucht nun der LfDI BW auszuräumen und stellt ein Vertragsmuster zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zur Verfügung. Dieses Muster wurde auf Grundlage gemeinsamer Überlegungen mit einer Reihe von Unternehmen und öffentlichen Stellen entwickelt.

Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München