Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO scheint neben der wesentlich bekannteren Auftragsverarbeitung (Art. 28 DS-GVO) ein Schattendasein zu fristen. Dabei ergeben sich in der Praxis einige Konstellationen, die regelmäßig für eine gemeinsame Verantwortlichkeit anstatt einer Auftragsverarbeitung sprechen. Der nachfolgende Beitrag beleuchtet den Inhalt sowie die Abgrenzung dieser datenschutzrechtlichen Konstellation, zeigt Praxisbeispiele auf und weist auf aktuelle Rechtsprechung hin.
Verantwortlicher, Auftragsverarbeiter, gemeinsam VErantwortliche
Zur Klärung der Frage, in welchen konkreten Fällen eine gemeinsame Verantwortlichkeit vorliegt, sind zunächst die Begrifflichkeiten des Verantwortlichen, des Auftragsverarbeiters sowie der gemeinsam Verantwortlichen anhand der Definitionen in der Datenschutz-Grundverordnung aufzugreifen. Eine saubere Unterscheidung dieser Begrifflichkeiten hat in der Praxis eine große Bedeutung, da je nach Konstellation unterschiedliche Vertragswerke zugrunde zu legen sind und sich auch die Haftungsregelungen unterscheiden können.
Bei einem Verantwortlichen handelt es sich gemäß Art. 4 Nr. 7 DS-GVO um jede „natürliche oder juristische Person, Behörde, Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ In Abgrenzung hierzu, handelt es sich gemäß Art. 4 Nr. 8 DS-GVO bei einem Auftragsverarbeiter um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche definiert sich somit insbesondere dadurch, dass dieser stets die Zwecke und Mittel der Datenverarbeitung festlegt, also über das „ob“ und „wie“ der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter eben diese Datenverarbeitung lediglich auf Weisung umsetzt.
Legt ein Verantwortlicher mit einem oder mehreren weiteren Verantwortlichen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, handelt es sich gemäß Art. 26 Abs. 1 Satz 1 DS-GVO um gemeinsam Verantwortliche.
Gemeinsames Festlegen von Zwecken und Mittel
Wann ein gemeinsames Festlegen der Zwecke und Mittel einer Datenverarbeitung konkret vorliegt, wird durch die DS-GVO nicht näher definiert. Jedoch ergeben sich durch die bisherige Rechtsprechung des Europäischen Gerichtshofes (EuGH, z.B. C-210/16, C-25/17, C-40/17 sowie anhand der Leitlinien 07/2020 des Europäischen Datenschutzausschusses einige Anhaltspunkte.
So ist zunächst festzuhalten, dass nach der Rechtsprechung des EuGH von einem weiten Verständnis für eine gemeinsame Verantwortlichkeit auszugehen ist. Begründet wird dies mit einem möglichst umfassenden Schutz für die Rechte und Freiheiten betroffener Personen. Dementsprechend ist es nach Ansicht des EuGH auch nicht erforderlich, dass die Verantwortlichen in einem gleichen Maß die Zwecke und Mittel der Datenverarbeitung festlegen, vielmehr wird ein geringes Maß an Mitbestimmung einer weiteren Partei als ausreichend anzusehen sein. Auch bedarf es keiner vertraglichen Fixierung, dass gemeinsame Zwecke verfolgt werden.
Weiterhin kann ein gemeinsames Festlegen von Zwecken auch dann vorliegen, wenn die beteiligten Verantwortlichen eigene Verarbeitungszwecke verfolgen, dies von den weiteren Beteiligten jedoch zumindest akzeptiert wird. Ausschlaggebend ist ausschließlich, dass die gemeinsamen Verantwortlichen durch die Datenverarbeitung in ihrer Gesamtheit einen beiderseitigen Nutzen erzielen und die jeweiligen Verarbeitungsvorgänge miteinander untrennbar verbunden sind. Auch ein tatsächlicher Zugriff auf sämtliche der zu verarbeitenden personenbezogenen Daten muss nicht durch sämtliche Verantwortliche gegeben sein. Ausreichen kann hierbei beispielsweise die gemeinsame Nutzung der IT-Infrastruktur eines an der Verarbeitung Beteiligten.
Zudem genügt es auch, dass ausschließlich einer der an der Verarbeitung Beteiligten die Mittel der Datenverarbeitung bereitstellt, welche durch die weiteren Beteiligten genutzt werden. Denn bereits die Entscheidung, ausschließlich die Mittel einer anderen Partei zu nutzen, kann eine Festlegung der Mittel einer Datenverarbeitung darstellen. Dieser Aspekt kann insbesondere im Rahmen einer cloudbasierten Nutzung standardisierter Anwendungen zu beachten sein, sofern der Diensteanbieter ebenfalls Verarbeitungen personenbezogener Daten (auch) zu eigenen Zwecken durchführt.
Hervorzuheben ist jedoch auch, dass nicht jeder der angeführten Aspekte bereits für sich eine gemeinsame Verantwortlichkeit begründet. Ausschlaggebend ist stets die Zusammenschau der dargestellten Aspekte im Rahmen der konkret durchgeführten Datenverarbeitungen. Wie so oft bedarf es damit einer Entscheidung im Einzelfall, wobei unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO die Argumentation für oder gegen die Annahme einer gemeinsamen Verantwortlichkeit stets nachvollziehbar dokumentiert werden sollte.
Aktuelle Rechtsprechung
Im Rahmen eines aktuellen Urteils des EuGH (Urt. v. 5.12.2023 – Az.: C-683/21) wurden die zuvor dargestellten Aspekte noch einmal bekräftigt. Der EuGH führt dabei beispielsweise an, dass
- „eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.“
- „die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.“
Praxisbeispiele
Im Rahmen der benannten Leitlinien des Europäischen Datenschutzausschusses werden eine Reihe von Praxisbeispielen benannt, in denen regelmäßig eine gemeinsame Verantwortlichkeit anzunehmen ist:
- Durchführung eines gemeinsamen Forschungsprojektes durch mehrere Forschungsinstitute, wobei jedes Forschungsinstitut in seinem Besitz befindliche personenbezogene Daten in die bestehende Plattform eines der Forschungsinstitute eingibt.
- Gemeinsame Veranstaltung zweier Unternehmen unter gemeinschaftlicher Nutzung der jeweiligen Kundendatenbanken. Die Modalitäten für die Versendung der Einladungen, die Umsetzung der Rückmeldungen sowie anschließende Vermarktungsmaßnahmen werden ebenfalls gemeinsam festgelegt.
- Unterstützung eines Unternehmens bezüglich der Einstellung von Beschäftigten, wobei das unterstützende Unternehmen personenbezogene Daten aus einer eigenen Datenbank sowie aus den vom anderen Unternehmen bereitgestellten Lebensläufen nutzt.
Auch das Führen einer gemeinsamen Kundendatenbank durch mehrere, rechtlich selbständige Unternehmen begründet eine gemeinsame Verantwortlichkeit (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2020, S. 119). Das Fehlen einer Vereinbarung zur gemeinsamen Verantwortlichkeit hat im vorliegenden Fall zu einem Bußgeld in Höhe von 13.000 Euro geführt.
Regelmäßig liegt beispielsweise keine gemeinsame Verantwortlichkeit vor, sofern Unternehmen Arbeitnehmerdaten an die Steuerbehörden übermitteln, mehrere Unternehmen einer Unternehmensgruppe eine gemeinsame Datenbank nutzen, wobei jedes Unternehmen ausschließlich Daten des eigenen Unternehmens einsehen kann sowie in Fällen, in denen mehrere Behörden gesetzlich dazu verpflichtet sind, ein bestimmtes System einer anderen Behörde zur Dateneingabe zu nutzen.
Vertrag und Informationspflichten
Liegt eine gemeinsame Verantwortlichkeit vor, ist gemäß Art. 26 Abs. 1 Satz 2 DS-GVO zwischen den Beteiligten eine Vereinbarung abzuschließen, die in transparenter Form die jeweiligen Pflichten der Vertragsparteien festlegt. Dies betrifft insbesondere die Gewährleistung der Rechte betroffener Personen, die Bereitstellung von Informationspflichten sowie gegebenenfalls Kontaktpersonen. Weiterhin muss die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der Beteiligten widerspiegeln. Ergänzend zu den Angaben aus Art. 13 und Art. 14 DS-GVO, sind den betroffenen Personen gemäß Art. 26 Abs. 2 Satz 2 DS-GVO die wesentlichen Inhalte der Vereinbarung zur Verfügung zu stellen.
Fazit
In der Praxis sind eigene Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit klar voneinander zu trennen. Hierbei können sich in der Praxis jedoch Schwierigkeiten ergeben, da die Zusammenschau unterschiedlicher Aspekte teilweise einen gewissen Interpretationsspielraum ermöglicht. Unter Berücksichtigung der Rechenschaftspflicht sollten Verantwortliche in jedem Fall die Entscheidung für oder gegen die Annahme einer gemeinsamen Verantwortlichkeit dokumentieren. Wir das Vorliegen einer gemeinsamen Verantwortlichkeit angenommen, ist ein entsprechender Vertrag gemäß den Anforderungen des Art. 26 DS-GVO abzuschließen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
