Neben der Auftragsverarbeitung sieht die Datenschutzgrundverordnung (DSGVO) auch Regelungen für den Fall vor, dass mehrere Akteure gemeinsam für Verarbeitungen im Zusammenhang mit personenbezogenen Daten verantwortlich sind („Joint Controllership“).
Gemäß Art. 26 Abs. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Der „Verantwortliche“ wird in Art. 4 Nr. 7 DSGVO definiert. In diesem Sinne bedingt eine gemeinsame Verantwortlichkeit, dass zwei oder mehrere Verantwortliche gemeinsam personenbezogene Daten verarbeiten.
Die Aufsichtsbehörden haben sich bisher nur in wenigen Veröffentlichungen mit dem Thema beschäftigt, obwohl die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ schon in richtungsweisenden Gerichtsentscheidungen jüngerer Zeit eine zentrale Rolle gespielt hat. So entschied der Europäische Gerichtshof (Urteil vom 29.07.2019, Az. C-40/17, abrufbar unter https://curia.europa.eu/juris/liste.jsf?num=C-40/17#), dass die Seitenbetreiber für Erhebung und Übermittlung von Daten durch Facebooks Like-Button mitverantwortlich sind. Der EuGH argumentiert, die Einbindung des Buttons erlaube es dem Beklagten, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werde. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID „zumindest stillschweigend“ der Erhebung personenbezogener Daten der Website-Besucher zugestimmt habe.
Die Frage, wie eine vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten sei, hat seit Bekanntwerden des Art. 26 DSGVO bei vielen Verantwortlichen Verunsicherung ausgelöst. Lediglich das Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO“ der Datenschutzkonferenz unternahm den Versuch, den Begriff und die mit dem Thema zusammenhängenden Abgrenzungsfragen aufzuarbeiten. Die noch weiterhin bestehenden Unsicherheiten rund um diese Rechtsfigur versucht nun der LfDI BW auszuräumen und stellt ein Vertragsmuster zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zur Verfügung. Dieses Muster wurde auf Grundlage gemeinsamer Überlegungen mit einer Reihe von Unternehmen und öffentlichen Stellen entwickelt.
Autor: Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München