ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
190
Nicht jede Zusammenarbeit mit Dritten bei der Verarbeitung von personenbezogenen Daten führt jedoch zu einer gemeinsamen Verantwortlichkeit. Insofern können sich derartige Kooperationen datenschutzrechtlich auch in der Weise darstellen (bzw. darstellen lassen), dass beide Unternehmen als eigenständig Verantwortliche agieren, sie also jeweils selbst und unabhängig voneinander für die Rechtmäßigkeit ihrer jeweiligen Datenverarbeitungen bzw. der von ihnen jeweils kontrollierten Abschnitte einer Datenverarbeitung einzustehen haben. Dies ist etwa dann der Fall, wenn sich die Einfluss- und damit Verantwortungsbereiche eines Datenverarbeitungsvorgangs eindeutig voneinander abgrenzen lassen, ohne dass die Akteure wechselseitig den Verarbeitungsabschnitt des jeweils anderen Akteurs nach Maßgabe der nachfolgenden Ausführungen beeinflussen können oder die Verarbeitungsanteile der Akteure untrennbar miteinander verwoben sind.398
a) Voraussetzungen einer gemeinsamen Verantwortlichkeit
aa) Grundsätzliches
191
Mehrere Parteien verarbeiten personenbezogene Daten in gemeinsamer Verantwortlichkeit, sofern sie die Zwecke und die wesentlichen Elemente der Mittel gemeinsam festlegen.399 Die Bewertung, ob eine gemeinsame Verantwortlichkeit vorliegt, erfolgt generell wie bei der alleinigen Kontrolle, wobei bei der gemeinsamen Verantwortlichkeit der Schwerpunkt darauf zu legen ist, dass mehr als eine Partei über die Zwecke (das „Warum“) und Mittel (das „Wie“) entscheidet.400 Demgemäß ist auch im Falle einer gemeinsamen Verantwortlichkeit erforderlich, dass ein Beteiligter über Zwecke und Mittel eines bestimmten Datenverarbeitungsverfahrens jedenfalls (mit-)bestimmen kann, mithin ihm faktische oder rechtliche Einflussmöglichkeiten zustehen.
192
Unproblematisch liegt eine gemeinsame Verantwortlichkeit vor, wenn mehrere Akteure über alle Zwecke und Mittel der Verarbeitungstätigkeiten gemeinsam entscheiden und gemeinsame Mittel für die Erreichung gemeinsamer Zwecke einsetzen.401 Möglich ist es aber auch, dass die Beteiligungen der Parteien an den gemeinsamen Entscheidungen verschiedene Formen aufweisen und nicht gleichmäßig verteilt sind; auch der Grad an Entscheidungsgewalt kann variieren.402 Insofern kann sich eine gemeinsame Verantwortlichkeit auch nur auf bestimmte Verarbeitungsschritte oder lediglich gewisse Aspekte eines Datenverarbeitungsverfahrens erstrecken.
193
Ferner sind auch Konstellationen denkbar, in denen die gemeinsam Verantwortlichen individuelle Zwecke der Datenverarbeitung verfolgen, dies jedoch auf Grundlage von gemeinsam festgelegten und betriebenen Mitteln, etwa einer bestimmten Vorgehensweise oder Infrastruktur. Die gemeinsame Verantwortlichkeit kann sich in solchen Fällen logischerweise dann allenfalls auf die Mittel der Datenverarbeitung beziehen (wobei eine gemeinsame Bestimmung wesentlicher Mittel in der Regel mit einer gemeinsamen Bestimmung der Verarbeitungszwecke einhergeht, vgl. oben).403
194
Der Abschluss eines Vertrags nach Art. 26 DSGVO hat hingegen keine konstitutive Wirkung.404 Vielmehr führt die (faktische) Vorlage einer gemeinsamen Verantwortlichkeit dazu, dass die gemeinsam Verantwortlichen einen Vertrag nach Maßgabe von Art. 26 DSGVO abschließen müssen. Gleichwohl sind vertragliche Abreden im Hinblick auf tatsächliche und/oder rechtliche Einflussmöglichkeiten auf ein Datenverarbeitungsverfahren zwischen den Akteuren bei der Bewertung einer möglichen gemeinsamen Verantwortlichkeit angemessen zu würdigen.405
195
Eine gemeinsame Verantwortlichkeit liegt nicht (mehr) vor, wenn eine Partei auf die Verarbeitung in einer bestimmten Phase keinen faktischen Einfluss mehr nehmen kann und die konkrete Verarbeitungsphase auch nicht aus Eigeninteresse akzeptiert wird (etwa weil daraus kein eigenständiger Nutzen für die jeweilige Partei erwächst).406 Wird etwa über eine Schnittstelle auf Daten durch Partei A zugegriffen, die im Verantwortungsbereich von Partei B gespeichert sind, und werden diese Daten infolge des Zugriffs durch Partei A der Kontrolle von Partei B entzogen, so ist auch nur Partei A als Alleinverantwortliche hinsichtlich der durch sie durchgeführten Verarbeitung dieser Daten anzusehen.407 Eine Grenzziehung zwischen Einfluss- und somit Verantwortlichkeitsbereichen kann mitunter schwierig sein. Zur Zerteilung und anschließenden Segmentierung einer Verarbeitungssequenz kann dabei auf die in der Definition der Verarbeitung in Art. 4 Nr. 2 DSGVO vorgesehenen, unterschiedlichen Verarbeitungsformen rekurriert werden.408
196
Nicht ausreichend ist ferner, wenn mehrere Akteure bei einer Datenverarbeitung lediglich zusammenarbeiten, ohne jedoch im Hinblick auf dieses Datenverarbeitungsverfahren gemeinsam Zwecke und/oder wesentliche Mittel festzulegen bzw. gemeinsam beeinflussen zu können. Hierbei kann es sich sowohl um eine sequenzielle (derselbe Datensatz wird nacheinander von verschiedenen Stellen verarbeitet) als auch um eine sternförmige (verschiedene Stellen speisen unabhängig voneinander Daten in ein System ein) Zusammenarbeit handeln. So ist in beiden Konstellationen durchaus denkbar, dass jede beteiligte Stelle – separat – nur für die auch von ihr aktiv durchgeführte Verarbeitung (etwa die Einspeisung ihrer Daten) verantwortlich ist, da es – am Beispiel einer sternförmigen Zusammenarbeit – an einer gemeinsamen Bestimmung der Zwecke und Mittel hinsichtlich der Gesamtheit der Daten im jeweiligen System fehlen kann, sofern die zentrale Stelle nicht gemeinsam betrieben wird bzw. dort keine gemeinsame Zweckfestsetzung erfolgt.409 Entsprechendes gilt bei gemeinsam genutzten Infrastrukturen oder Datenbanken, wenn jede teilnehmende Stelle diese Infrastruktur bzw. Datenbank nutzt, um ihre eigenen personenbezogenen Daten zu verarbeiten (ohne auf die Datenverarbeitung der anderen Beteiligten Einfluss nehmen zu können).410
bb) Bisherige EuGH-Rechtsprechung
197
Die zuvor dargestellten grundsätzlichen Erwägungen müssen dabei im Lichte der bisher zur gemeinsamen Verantwortlichkeit ergangenen EuGH-Rechtsprechung bewertet und angewandt werden. Insofern verfolgt der EuGH bei der Bejahung einer gemeinsamen Verantwortlichkeit einen sehr niedrigschwelligen Ansatz. Zusammengefasst genügt es nach Ansicht des Gerichtshofs bereits, dass ein Beteiligter – auch ohne die relevanten Daten selbst zu verarbeiten – von der Datenverarbeitung eines anderen profitiert und diese (in welcher Form auch immer) veranlasst oder ermutigt hat oder sich mit dieser (konkludent) einverstanden erklärt, und beide dabei gleiche Interessen verfolgen (wobei der EuGH dieses Interesse im konkreten Fall denkbar abstrakt als „wirtschaftlich“ bestimmt).411
198
Der EuGH hat bislang für folgende Verarbeitungsszenarien eine gemeinsame Verantwortlichkeit bejaht:
(i) Facebook-Fanpages
199
Die erste diesbezüglich ergangen Entscheidung des EuGH betraf sog. Facebook-Fanpages, mithin Unterseiten auf der Facebook Plattform, die von Nutzern erstellt und administriert werden.412 Nach Ansicht des Gerichtshofs ist der Betreiber einer Fanpage zusammen mit dem Plattform-Betreiber (im konkreten Fall also Facebook) gemeinsamer Verantwortlicher; dies jedenfalls in Bezug auf die seitens Facebook durchgeführte Analyse des Nutzerverhaltens auf der jeweiligen Fanpage.
200
Der EuGH begründet seine Ansicht in erster Linie damit, dass die Betreiber der Fanpages zu der Verarbeitung von personenbezogenen Daten beitragen, indem sie (entsprechend den von