Und jetzt alle gemeinsam: Verantwortlich!
PSP Case Study zur DSGVO: Praxisfall 16

DSGVO: Praktischer Fall

Eine Gruppe unabhängiger Lebensmittelgroßhändler möchte eine gemeinsame Tochtergesellschaft gründen, die regelmäßig („live“) Daten über die belieferten Lebensmitteleinzelhändler (Kunden) und deren Bedarf von den angeschlossenen Großhandelsunternehmen erhält und mit „big data“-Algorithmen statistisch auswertet. Es soll u. a. untersucht werden, welche Korrelationen in Bezug auf Produkte bestehen, etwa „Wer viel Salzstangen bestellt, bestellt auch viel Zitronenlimonade“. Die sich aus derartigen Auswertungen ergebenden Erkenntnisse sollen sowohl (in aggregierter Form) an interessierte Dritte verkauft als auch zu konkreten Empfehlungen der gemeinsamen Tochtergesellschaft an die angeschlossenen Lebensmittelgroßhändler über erfolgversprechende „Kombinationswerbungen“ gegenüber einzelnen Kunden führen.

In der datenschutzrechtlichen Theorie gibt es drei Sorten von „Kooperationen“ von Stellen, die personenbezogene Daten verarbeiten. Wann eine Auftragsverarbeitung (Art. 28 DSGVO) vorliegt, ist im Detail offen (s. Fall 7). Das entstehende Konstrukt lässt sich aber datenschutzrechtlich als eine Beziehung zwischen einem „Herrn der Daten“ (Verantwortlicher) und einem „Knecht der Daten“ (Auftragsverarbeiter) darstellen. Prototyp dieser Fallgestaltung ist ein Rechenzentrumsbetreiber (Auftragnehmer), der für einen Kunden (Auftraggeber) „dessen“ Daten verarbeitet.

Sind hingegen beide Stellen „Herren der Daten“ und legen gemeinsam die Zwecke und die Mittel der Datenverarbeitung fest, so sind sie gemeinsam Verantwortliche (Art. 26 DSGVO). Prototyp dieser Fallgestaltung ist das gemeinsame Betreiben einer Adressdatenbank durch zwei Unternehmen.

Verfolgt hingegen jede Stelle bei einem Datenaustausch ihre eigenen Zwecke und legt ihre eigenen Mittel fest, so handelt es sich um unabhängige Verantwortliche, die sich gegenseitig Daten übermitteln (s. Fall 12). Prototyp dieser Fallgestaltung ist das Unternehmen, das lohnsteuerrelevante personenbezogene Daten seiner Arbeitnehmer an das Finanzamt weitergibt. Mit diesen schönen Definitionen lehnt sich so mancher Jurist, der das Thema beschreibt, zufrieden zurück: Das klingt doch alles begrifflich sehr sauber, oder?

Rechtsfolgen falscher „Selbsteinschätzung“

Wie so oft beugt sich die Realität dieser Begriffsstruktur nicht ohne Weiteres. Zunächst aber noch ein kurzer Blick auf die Rechtsfolgen der Einordnung: Bei einer Auftragsverarbeitungssituation muss der Verantwortliche einen Auftragsverarbeitungsvertrag mit dem Auftragsverarbeiter abschließen, der den Kriterien des Art. 28 DSGVO genügt. Außerdem muss er die Vertragseinhaltung regelmäßig kontrollieren. Wer keine Auftragsverarbeitungsvereinbarung abschließt, obwohl eine Auftragsverarbeitungssituation vorliegt, verletzt die DSGVO. Wer alles richtig macht, erhält als Vorteil möglicherweise (s. Fall 7), dass er personenbezogene Daten an den Auftragsverarbeiter übertragen darf, ohne dass dafür eine eigene datenschutzrechtliche Legitimationsgrundlage gegeben sein muss (auch wenn der Auftragsverarbeiter als „Empfänger“ in Pflichthinweisen des Verantwortlichen gegenüber dem Betroffenen anzugeben ist). Denn datenschutzrechtlich werden Verantwortlicher und Auftragsverarbeiter als Einheit angesehen.

Bei einer Konstellation als „gemeinsam Verantwortliche“ muss eine Innenvereinbarung über die Verantwortlichkeitsabgrenzung abgeschlossen werden. Deren Eckdaten müssen dem Betroffenen gegenüber transparent gemacht werden, auch wenn das letztlich in der Sache völlig irrelevant ist, weil der Betroffene seine Rechte ohnehin „bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen“ kann (Art. 26 Abs. 3 DSGVO). Wer aber keine solche Vereinbarung abschließt bzw. transparent macht, obwohl eine Situation gemeinsamer Verantwortlichkeit vorliegt, verletzt die DSGVO. Wer alles richtig macht, erhält als Vorteil – nichts. Denn jede Datenübermittlung zwischen den gemeinsam Verantwortlichen bedarf einer datenschutzrechtlichen Grundlage, d. h. solche „Innenübertragungen“ sind datenschutzrechtlich nicht privilegiert. Immerhin hat das Amtsgericht Mannheim in einem Urteil vom September 2019 über einen Fall entschieden, in dem gemeinsam Verantwortliche – also ein Fall des Art. 26 DSGVO – vorlag, die aber ihr Verhältnis rechtlich falsch eingeordnet hatten und stattdessen eine Auftragsverarbeitungsvereinbarung – also eine Vereinbarung nach Art. 28 DSGVO – abgeschlossen hatten. Das Amtsgericht Mannheim war der Ansicht, dass nicht gegen Art. 26 DSGVO verstoßen wird, wenn gemeinsam Verantwortliche mit der „falschen“ Vereinbarung (insbesondere mit Regelungen zur internen Verantwortungsverteilung) nicht nur die Anforderungen des Art. 26 DSGVO, sondern darüber hinaus auch die (in dieser Konstellation irrelevanten) Erfordernisse des Art. 28 DSGVO einhalten. Das ist nicht wirklich verwunderlich, da Art. 28 DSGVO höhere Anforderungen an den Inhalt der Vereinbarung stellt, sodass in Zweifelsfällen die Einhaltung des höchsten „Standards“ ein praktikabler Weg sein könnte, um Rechtssicherheit zu erlangen.

Bei einer „gestaffelten“ Verantwortlichkeit ist hingegen zunächst nur jeder Verantwortliche für seine eigenen Verarbeitungshandlungen verantwortlich. Da aber den Empfänger von Daten ebenso Prüfpflichten hinsichtlich der „datenschutzrechtlich korrekten“ Herkunft als auch den Übermittelnden Mitteilungspflichten gegenüber dem Übermittlungsempfänger hinsichtlich bestehender (Zweck-) Einschränkungen treffen (s. Fall 12), werden die Verantwortlichen in der Praxis in vielen Fällen parallel bzw. gesamtschuldnerisch haften. Man darf gespannt sein, wie sich in der Praxis beispielsweise Unternehmen und Behörden, die gesamtschuldnerisch für Fehler der Verarbeitungshandlungen in Datenketten in Anspruch genommen werden, fühlen werden.

Voraussetzungen gemeinsamer Verantwortlichkeit

Zurück zu den „gemeinsam Verantwortlichen“. Diese Konstruktion taucht in der DSGVO an zwei Stellen auf. Einmal wird schon der „Verantwortliche“ als solcher – wie auch schon in der EU-Datenschutzrichtlinie – definiert als jemand, der „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Kurios ist, dass dieses „und“ von Aufsichtsbehörden immer schon als „oder“ verstanden wurde: Solange irgendeine Überschneidung bei der Festlegung des Zwecks oder (!) der Mittel vorlag, wurde eine gemeinsame Verantwortung angenommen. Schon diese, 2010 entwickelte Sichtweise schloss nur solche Fälle aus dem Begriff der „gemeinsam Verantwortlichen“ aus, in denen die Verantwortlichen jeweils „in ihrer eigenen Welt“ leben – wie ein Arbeitgeber, der Angestellte beschäftigt, und ein Finanzamt, das Steuern erhebt.

In den Entscheidungen des EuGH vom Juni 2018 (Facebook-Fanpages) und vom Juli 2019 (Like-Button) wurde gemeinsame Verantwortung sogar noch weiter definiert: Solange irgendjemandes Handeln für eine nachgelagerte Datenverarbeitung auch nur „mitursächlich“ ist, selbst wenn er selbst die Zwecke oder Mittel der Verarbeitung gar nicht (mit) festlegt, ist dieser „jemand“ im Sinne einer gemeinsamen Verantwortung mit verantwortlich (s. auch Fall 13). Man muss das gar nicht ironisch auf das Elektrizitätswerk überspitzen, das auch „ursächlich“ für die Datenverarbeitung bei Facebook ist, um die Tragweite dieses Gedankens herauszustellen. Insbesondere kann auf Basis dieser niedrigen Voraussetzungen eine gemeinsame Verantwortung bestehen zwischen einer Privatperson (Lockvogel, auch in Form des sog. „Youtubers“), die „irgendwie“ personenbezogene Daten Dritter „herbeischafft“, und einem Unternehmen, das diese Daten dann „irgendwie“ speichert oder sonst verarbeitet. Eine gemeinsame Verantwortung könnte auch bestehen bei Nutzung eines unternehmenseigenen Smartphones durch einen Beschäftigten, der auf dem Gerät auch private Kontakte speichert und sich mit ihnen austauscht. Die „Zeugen Jehovas“-Entscheidung des EuGH vom Juli 2018 – auch noch zur EU-Datenschutzrichtlinie – vertieft diese Grundgedanken anhand von zwei Klarstellungen: Die Entscheidung über die Zwecke und Mittel der Verarbeitung muss nicht schriftlich fixiert sein, damit eine gemeinsame Verantwortlichkeit vorliegt. Und selbst eine Person, die aus Eigeninteresse auf die Verarbeitung durch andere Einfluss nimmt („Ermunterung“), selbst aber dann keinen Zugriff auf die personenbezogenen Daten hat, „kann“ als (gemeinsam) Verantwortlicher angesehen werden.

Gemeinsame Haftung

In der den genannten Entscheidungen des EuGH noch zugrunde liegenden EU-Datenschutzrichtlinie gab es daneben keine ausdrückliche Regelung für die Folgen der gemeinsamen Verantwortung, insbesondere also für das Innenverhältnis. In der Sache war aber bereits klar – und der EuGH sah sich nicht einmal veranlasst, das noch einmal „herzuleiten“ –: Die gemeinsam Verantwortlichen haften (verschuldensunabhängig) in der Phase der gemeinsamen Verantwortlichkeit für Datenschutzverstöße des/der jeweils anderen Verantwortlichen. Wenn also Verantwortlicher A etwas „falsch“ macht, kann man vom Verantwortlichen „B“ verlangen, das zu unterlassen. Die ausdrückliche Regelung hierzu hat mittlerweile die DSGVO in ihrer zweiten Textstelle zur gemeinsamen Verantwortlichkeit nachgeholt (Art. 26 DSGVO). Zuvor wird aber, da die Definition des gemeinsam Verantwortlichen (s. o.) nicht genug zu sein schien, noch einmal unmissverständlich ausgeführt: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“ Die weiteren Regelungen zur gemeinsamen Verantwortlichkeit, die Art. 26 DSGVO anordnet und die bereits oben kurz wiedergegeben wurden, fokussieren sich dann auf die Innenvereinbarung zur Verantwortlichkeitsverteilung. Das Fehlen dieser Vereinbarung ist hart sanktioniert, ihr Zweck bleibt aber überwiegend im Dunkeln (Zwang zur Regelung zivilrechtlicher Innenausgleichsansprüche zwischen „datenschutzrechtlichen Gesamtschuldnern“?), da datenschutzrechtlich ohnehin „alle für alles haften“.

Wenn man sich nun vor Augen hält, wer da alles so gemeinsam Verantwortlicher ist, müssen wohl noch einige Innenvereinbarungen zur Ausgestaltung der gemeinsamen Verantwortlichkeit abgeschlossen werden. Viele „betroffene Verantwortliche“ werden noch gar nichts von ihrem Glück wissen, aber dennoch wird man die Situation „von außen“ erkennen können (was das Risiko eines Vorgehens durch Betroffene erhöht). Besonders die Vereinbarungen zwischen Arbeitnehmern und Arbeitgebern als „gemeinsam Verantwortliche“ – Stichwort „gemischt genutzte Endgeräte“ – dürften den Arbeitsrechtlern noch viel Freude bereiten.

Beispiel: Das „page controller addendum“ von Facebook

Auch die AGB-Rechtler stehen bei den anstehenden „Massenvereinbarungen“ (Facebook etc.) bereits in den Startlöchern und analysieren die zivilrechtliche Wirksamkeit solcher formularmäßiger Klauselwerke. Natürlich sind derartige Vereinbarungen auch nach zivilrechtlichem Maßstab zu messen. Doch das ist bislang nur ein Nebenkriegsschauplatz: Facebook veröffentlichte im September 2018 als Reaktion auf das Fanpages-Urteil des Europäischen Gerichtshofs die sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“. Die Reaktion der Datenschutzkonferenz im April 2019 lautete allerdings, dass diese nicht die Anforderungen des Art. 26 DSGVO erfülle. Es stehe – neben mangelnder Transparenz – nicht im Einklang mit Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen wolle.

Diese Beanstandung steht in gewissem Widerspruch zur Auffassung der Datenschutzbehörden, dass „irgendeine“ Überschneidung von Zweck oder Mitteln ausreicht, um eine gemeinsame Verantwortlichkeit zu begründen: Es könnte also auch einer der Verantwortlichen nur sehr wenig außerhalb der (kleinen) Verantwortlichkeits-„Schnittmenge“ mit den Daten anstellen (wollen). Mit anderen Worten würde nach der Auffassung der Datenschutzkonferenz sogar eine (kleine) Schnittmenge zwangsläufig zu einer Verpflichtung führen, der anderen Partei seine eigenen Verarbeitungshandlungen in dieser Phase transparent zu machen und ihr Mitspracherechte in Bezug auf diese Verarbeitungshandlungen einzuräumen. Eine solche Offenlegungspflicht mag zwar in einer Situation gegenüber dem „Riesen“ Facebook sympathisch klingen, lässt sich aber Art. 26 DSGVO nicht entnehmen, wonach die gemeinsam Verantwortlichen lediglich „in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt“.

Auch aus der Entscheidung des EuGH zum Facebook-Like-Button, in der zwischen den einzelnen Verarbeitungsphasen abgeschichtet wird, lässt sich keine Notwendigkeit herauslesen, dass beide Verantwortlichen im Innenverhältnis irgendeine Entscheidungsmacht behalten müssen. Dies war im Übrigen auch im Sachverhalt der Zeugen-Jehovas-Entscheidung des EuGH nicht so. Und selbst die vom Landesdatenschutzbeauftragten von Baden-Württemberg im Juni 2019 veröffentlichten Muster für eine Vereinbarung zwischen gemeinsam Verantwortlichen und für Informationen gegenüber Betroffenen scheinen solche Offenlegungspflichten nicht zu enthalten oder vorauszusetzen. Im Gegenteil: Diese Muster folgen im Grundsatz eher dem Schema „Im Innenverhältnis jeder für sich, im Außenverhältnis gemeinsamer Auftritt“

Wie auch immer: Facebook hat im Oktober 2019 eine neue Fassung der „Ergänzung“ veröffentlicht, die die beanstandete alleinige Verfügungsmacht von Facebook nicht mehr erwähnt. Aber machen wir uns nichts vor: Die Streichung ändert an den tatsächlichen Verhältnissen – Stichwort „code as law“ – gar nichts.

Wenn man all dies zusammen nimmt, muss man wohl sagen: Die Fälle der gemeinsamen Verantwortung sind genauso ufer- wie konturenlos. Wenn das Finanzamt personenbezogene Daten der Mitarbeiter nur deshalb verarbeiten kann, weil der Arbeitgeber diese erhoben und an das Finanzamt übermittelt hat, sind nun auch diese beiden gemeinsam Verantwortliche? Im Fallbeispiel oben dürfte die Sache hingegen einigermaßen klar sein.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden