Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der nächste Frühlings-Spaziergang führt rund um Artikel 26, ein besonders schönes Gebilde: Mehrere Bäume – nein: Verantwortliche – sind hier verflochten und ineinander verwachsen. Die obligate Text-Kritik (Wie könnte die DS-GVO klar und kurz lauten?) erledigen wir zuerst und schauen dann genauer auf das Gebilde und sein ganz spezielles Problem.

Inhaltliche Kritik

Wieder einmal von hinten lesend erfahren wir in Absatz 3, dass Absätze 1 und 2 nicht sehr wichtig sind. Die Betroffenen können bei gemeinsamer Verantwortung jeden Verantwortlichen in die Pflicht nehmen. Was die Verantwortlichen (nach Absatz 1 und 2) vereinbaren und zur Verfügung stellen, ist für die Außenhaftung ganz egal. Deshalb sind Absatz 1 und 2 meines Erachtens überflüssig. Geregelt werden muss nur (Absatz 3), dass bei gemeinsamer Verantwortung alle Verantwortlichen gemeinsam für alles geradestehen. Wie sie intern ihre Pflichten verteilen und ob sie die Pflichten überhaupt verteilen – vielleicht erledigen sie ja alles gemeinsam – können sie selbst entscheiden. Sie tragen ja die Konsequenzen.

Der Gesetzgeber lässt es aber nicht bei der Vorschrift gemeinsamer Außenhaftung, sondern verlangt mehr Aufwand. Eine Vereinbarung nach Absatz 1 und 2 muss (!) erstellt werden. Mindest-Inhalt: Absatz 1 Satz 2 und Absatz 2 Satz 1. Kann-Inhalt: Absatz 1 Satz 3 – Nennung einer Anlaufstelle, die der Betroffene aber nicht anlaufen muss. Zusatz-Arbeit: Das Wesentliche – hat der Gesetzgeber versehentlich klein geschrieben und in den bisherigen Evaluierungen der DS-GVO nicht als Fehler berichtigt – wird nochmals gesondert „vertextet“ und den Betroffenen zur Verfügung gestellt. Für die Betroffenen ist es – wie Absatz 3 regelt – sowieso egal.

Vorschlag für eine präzise DS-GVO: Erster Halbsatz und letzter Halbsatz des Artikels. Alles dazwischen ist keine Kunst und kann weg. Es bliebe: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mittel der Verarbeitung fest, kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem Verantwortlichen geltend machen.“

Auswirkungen in der Praxis

Aus der eigentlich wichtigen Regelung des Artikel 26 – gemeinsame Haftung der gemeinsam Verantwortlichen füreinander – ergibt sich das eigentlich wichtige Problem der Norm: Wann besteht diese „Mithaftung“?

Nicht zufällig sind große Datenverarbeiter wie Meta und Microsoft sehr bemüht, nicht in den Status einer gemeinsamen Verantwortlichkeit mit all den vielen Verantwortlichen zu geraten, deren personenbezogene Daten sie unter anderem auch zur Weiterentwicklung des eigenen Produkts verarbeiten. Deshalb ist auch nicht zufällig, dass die wohl wichtigste Entscheidung in diesem Kontext Meta betraf: Der Europäische Gerichtshof (EuGH) entschied (Urt. v. 05. Juni 2018, Az. C-210/16, übrigens noch zur Vorgänger-Norm in der Datenschutz-Richtlinie 95/46) für Facebook-Fanpages, dass Meta und die jeweiligen Fanpage-Betreiber gemeinsam Verantwortliche sind.

Zentral an dieser Entscheidung war und ist die Aussage, dass eine gemeinsame Festlegung von Zwecken und Mitteln nicht gemeinsame Zwecke und Mittel verlangt. Es genügt auch, wenn mehrere Verantwortliche gemeinsam dieselben Daten verarbeiten und dabei jeder sein eigenes Süppchen kocht. Das ist weitgehend und eine ganz schlechte Nachricht für die großen Software-Anbieter.

So sieht es der EuGH und er darf das europäische Recht verbindlich auslegen. Aber die Frage ist erlaubt: Ist das überzeugend? Sollte es vielleicht noch einmal überdacht werden? Zumindest der eine Verantwortliche (Beispiel: der Fanpage-Betreiber) übermittelt/überlässt personenbezogene Daten dem anderen. Ist dann nicht die entscheidende Frage (nur), ob es für diese Übermittlung/Überlassung eine Rechtsgrundlage gibt? Gibt es sie nicht, liegt der Rechtsverstoß in der Übermittlung, also in der Nutzung einer vom anderen Verantwortlichen überlassenen Software im Wissen, dass der Software-Anbieter die Daten zu eigenen Zwecken nutzt.

Wie gesagt – bis der EuGH sich anders positioniert, ist die Frage für die Praxis entschieden. Wer Microsoft 365 einsetzt und Datenverarbeitungen zur Produktweiterentwicklung duldet, sitzt mit Microsoft in einem Boot. Das findet auch Microsoft nicht angenehm. Neuer Lösungsversuch von dort: Im Vertrag nach Artikel 28 erteilt der Lizenznehmer/Nutzer an Microsoft den Auftrag zur Produkt-Weiterentwicklung. Naja.

Ihnen schöne und echte Frühjahrs-Spaziergänge, gern auch mal ohne DS-GVO!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem seinerzeit noch – der – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) im Februar 2023 das Bundespresseamt anwies, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen (wir berichteten), reichte das Bundespresseamt (BPA) Klage gegen den Bescheid ein. Das zuständige Verwaltungsgericht Köln entschied nun, dass die Bundesregierung die Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterbetreiben darf.

Hintergrund des Verfahrens

Nach dem Urteil des Europäischen Gerichtshofs (Rs. C-201/16) zur gemeinsamen Verantwortlichkeit zwischen dem Plattformbetreiber Meta und dem Betreiber der jeweiligen Facebook-Fanpage sowie einer Entschließung der Datenschutzkonferenz (DSK) aus Juni 2018, richtete sich der Bundesbeauftragte im Mai 2019 in einem ersten Rundschreiben sowie im Juni 2021 in einem zweiten Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen des Bundes und wies auf die datenschutzrechtlichen Problematiken bei dem Betrieb von Facebook-Fanpages hin.

Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hatte zudem die DSK im März 2022 erneut in einem Kurzgutachten dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. Daraufhin ging der Bundesbeauftragte noch weiter und versendete entsprechende Anhörungen zu Facebook-Fanpages. Hieraus resultierte letzten Endes die Untersagungsverfügung für das Bundespresseamt.

Zur Begründung hieß es zum damaligen Zeitpunkt unter anderem: „Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“ Konkret: „Das BPA hat entgegen Artikel 26 Absatz 1 Satz 2 DSGVO keinen hinreichenden Vertrag über die gemeinsame Verantwortlichkeit mit Meta geschlossen. […] Ferner hat das BPA fahrlässig gegen § 25 Absatz 1 Satz 1 TTDSG verstoßen, da für die bei Besuch einer Fanpage ausgelöste Speicherung von [Cookies], […] keine wirksame Einwilligung eingeholt wird, obwohl dies erforderlich ist.“

Entscheidung des Gerichts

In seiner Entscheidung vom 17. Juli 2025 (Az. 13 K 1419/23) folgte das Verwaltungsgericht Köln dieser Argumentation ausdrücklich nicht. In der Pressemitteilung heißt es hierzu: „Nicht das Bundespresseamt, sondern allein Meta ist zur Einholung einer Einwilligung der Endnutzenden für die Platzierung von „Cookies“ verpflichtet. Es besteht kein ausreichender Ursachen- und Wirkungszusammenhang zwischen dem Betrieb der „Fanpage“ durch das Bundespresseamt und dem mit der Speicherung und dem Auslesen der „Cookies“ verbundenen Fernzugriff auf die Endgeräte der Nutzer.“

Und: „Auch nach der DSGVO sind Meta und das Bundespresseamt nicht gemeinsam für die beanstandeten Datenverarbeitungen verantwortlich. Der Beitrag des Bundespresseamtes zur Speicherung und zum Auslesen der „Cookies“ erschöpft sich in dem Betrieb der „Fanpage“. Insbesondere kann das Bundespresseamt keine Parameter für die Platzierung der „Cookies“ und die Auswertung der erhobenen Daten vorgeben. Die bloße Ermöglichung einer Datenverarbeitung begründet nach Auffassung der Kammer indessen nicht die notwendige gemeinsame Festlegung der Mittel der Datenverarbeitung.“

Abzuwarten bleibt, ob – zwischenzeitlich die – Bundesbeauftragte für Datenschutz und Informationsfreiheit gegen die Entscheidung Berufung einlegen wird. Offen ist auch, welche Auswirkungen das Urteil auf das laufende Verfahren der Sächsischen Datenschutz- und Transparenzbeauftragten gegen die Sächsische Staatskanzlei haben wird. In diesem Zusammenhang berichtete die sächsische Datenschutzaufsichtsbehörde zuletzt, dass Meta eine Drittanfechtungsklage gegen die Untersagungsverfügung eingereicht hat – mit der Begründung, dass allein Meta für die Datenverarbeitung verantwortlich sei und daher ausschließlich die irische Datenschutzaufsicht zuständig wäre

Fazit

Das Verwaltungsgericht Köln hat entschieden: Die Bundesregierung darf ihre Facebook-Fanpage weiter betreiben. Laut Gericht ist allein Meta – also der Plattformbetreiber – für die Einhaltung der datenschutzrechtlichen Anforderungen in Bezug auf Cookies verantwortlich, nicht das Bundespresseamt. Eine gemeinsame Verantwortung sieht das Gericht nicht, da das Bundespresseamt keinen Einfluss auf die Cookie-Nutzung hat. Ob die Bundesdatenschutzbeauftragte gegen das Urteil vorgeht, bleibt offen. Auch in ähnlichen Fällen könnten sich daraus wichtige Folgen ergeben.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO scheint neben der wesentlich bekannteren Auftragsverarbeitung (Art. 28 DS-GVO) ein Schattendasein zu fristen. Dabei ergeben sich in der Praxis einige Konstellationen, die regelmäßig für eine gemeinsame Verantwortlichkeit anstatt einer Auftragsverarbeitung sprechen. Der nachfolgende Beitrag beleuchtet den Inhalt sowie die Abgrenzung dieser datenschutzrechtlichen Konstellation, zeigt Praxisbeispiele auf und weist auf aktuelle Rechtsprechung hin.

Verantwortlicher, Auftragsverarbeiter, gemeinsam VErantwortliche

Zur Klärung der Frage, in welchen konkreten Fällen eine gemeinsame Verantwortlichkeit vorliegt, sind zunächst die Begrifflichkeiten des Verantwortlichen, des Auftragsverarbeiters sowie der gemeinsam Verantwortlichen anhand der Definitionen in der Datenschutz-Grundverordnung aufzugreifen. Eine saubere Unterscheidung dieser Begrifflichkeiten hat in der Praxis eine große Bedeutung, da je nach Konstellation unterschiedliche Vertragswerke zugrunde zu legen sind und sich auch die Haftungsregelungen unterscheiden können.

Bei einem Verantwortlichen handelt es sich gemäß Art. 4 Nr. 7 DS-GVO um jede „natürliche oder juristische Person, Behörde, Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ In Abgrenzung hierzu, handelt es sich gemäß Art. 4 Nr. 8 DS-GVO bei einem Auftragsverarbeiter um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche definiert sich somit insbesondere dadurch, dass dieser stets die Zwecke und Mittel der Datenverarbeitung festlegt, also über das „ob“ und „wie“ der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter eben diese Datenverarbeitung lediglich auf Weisung umsetzt.

Legt ein Verantwortlicher mit einem oder mehreren weiteren Verantwortlichen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, handelt es sich gemäß Art. 26 Abs. 1 Satz 1 DS-GVO um gemeinsam Verantwortliche.

Gemeinsames Festlegen von Zwecken und Mittel

Wann ein gemeinsames Festlegen der Zwecke und Mittel einer Datenverarbeitung konkret vorliegt, wird durch die DS-GVO nicht näher definiert. Jedoch ergeben sich durch die bisherige Rechtsprechung des Europäischen Gerichtshofes (EuGH, z.B. C-210/16, C-25/17, C-40/17 sowie anhand der Leitlinien 07/2020 des Europäischen Datenschutzausschusses einige Anhaltspunkte.

So ist zunächst festzuhalten, dass nach der Rechtsprechung des EuGH von einem weiten Verständnis für eine gemeinsame Verantwortlichkeit auszugehen ist. Begründet wird dies mit einem möglichst umfassenden Schutz für die Rechte und Freiheiten betroffener Personen. Dementsprechend ist es nach Ansicht des EuGH auch nicht erforderlich, dass die Verantwortlichen in einem gleichen Maß die Zwecke und Mittel der Datenverarbeitung festlegen, vielmehr wird ein geringes Maß an Mitbestimmung einer weiteren Partei als ausreichend anzusehen sein. Auch bedarf es keiner vertraglichen Fixierung, dass gemeinsame Zwecke verfolgt werden.

Weiterhin kann ein gemeinsames Festlegen von Zwecken auch dann vorliegen, wenn die beteiligten Verantwortlichen eigene Verarbeitungszwecke verfolgen, dies von den weiteren Beteiligten jedoch zumindest akzeptiert wird. Ausschlaggebend ist ausschließlich, dass die gemeinsamen Verantwortlichen durch die Datenverarbeitung in ihrer Gesamtheit einen beiderseitigen Nutzen erzielen und die jeweiligen Verarbeitungsvorgänge miteinander untrennbar verbunden sind. Auch ein tatsächlicher Zugriff auf sämtliche der zu verarbeitenden personenbezogenen Daten muss nicht durch sämtliche Verantwortliche gegeben sein. Ausreichen kann hierbei beispielsweise die gemeinsame Nutzung der IT-Infrastruktur eines an der Verarbeitung Beteiligten.

Zudem genügt es auch, dass ausschließlich einer der an der Verarbeitung Beteiligten die Mittel der Datenverarbeitung bereitstellt, welche durch die weiteren Beteiligten genutzt werden. Denn bereits die Entscheidung, ausschließlich die Mittel einer anderen Partei zu nutzen, kann eine Festlegung der Mittel einer Datenverarbeitung darstellen. Dieser Aspekt kann insbesondere im Rahmen einer cloudbasierten Nutzung standardisierter Anwendungen zu beachten sein, sofern der Diensteanbieter ebenfalls Verarbeitungen personenbezogener Daten (auch) zu eigenen Zwecken durchführt.

Hervorzuheben ist jedoch auch, dass nicht jeder der angeführten Aspekte bereits für sich eine gemeinsame Verantwortlichkeit begründet. Ausschlaggebend ist stets die Zusammenschau der dargestellten Aspekte im Rahmen der konkret durchgeführten Datenverarbeitungen. Wie so oft bedarf es damit einer Entscheidung im Einzelfall, wobei unter Berücksichtigung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO die Argumentation für oder gegen die Annahme einer gemeinsamen Verantwortlichkeit stets nachvollziehbar dokumentiert werden sollte.

Aktuelle Rechtsprechung

Im Rahmen eines aktuellen Urteils des EuGH (Urt. v. 5.12.2023 – Az.: C-683/21) wurden die zuvor dargestellten Aspekte noch einmal bekräftigt. Der EuGH führt dabei beispielsweise an, dass

• „eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.“

• „die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.“

Praxisbeispiele

Im Rahmen der benannten Leitlinien des Europäischen Datenschutzausschusses werden eine Reihe von Praxisbeispielen benannt, in denen regelmäßig eine gemeinsame Verantwortlichkeit anzunehmen ist:

• Durchführung eines gemeinsamen Forschungsprojektes durch mehrere Forschungsinstitute, wobei jedes Forschungsinstitut in seinem Besitz befindliche personenbezogene Daten in die bestehende Plattform eines der Forschungsinstitute eingibt.

• Gemeinsame Veranstaltung zweier Unternehmen unter gemeinschaftlicher Nutzung der jeweiligen Kundendatenbanken. Die Modalitäten für die Versendung der Einladungen, die Umsetzung der Rückmeldungen sowie anschließende Vermarktungsmaßnahmen werden ebenfalls gemeinsam festgelegt.

• Unterstützung eines Unternehmens bezüglich der Einstellung von Beschäftigten, wobei das unterstützende Unternehmen personenbezogene Daten aus einer eigenen Datenbank sowie aus den vom anderen Unternehmen bereitgestellten Lebensläufen nutzt.

Auch das Führen einer gemeinsamen Kundendatenbank durch mehrere, rechtlich selbständige Unternehmen begründet eine gemeinsame Verantwortlichkeit (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2020, S. 119). Das Fehlen einer Vereinbarung zur gemeinsamen Verantwortlichkeit hat im vorliegenden Fall zu einem Bußgeld in Höhe von 13.000 Euro geführt.

Regelmäßig liegt beispielsweise keine gemeinsame Verantwortlichkeit vor, sofern Unternehmen Arbeitnehmerdaten an die Steuerbehörden übermitteln, mehrere Unternehmen einer Unternehmensgruppe eine gemeinsame Datenbank nutzen, wobei jedes Unternehmen ausschließlich Daten des eigenen Unternehmens einsehen kann sowie in Fällen, in denen mehrere Behörden gesetzlich dazu verpflichtet sind, ein bestimmtes System einer anderen Behörde zur Dateneingabe zu nutzen.

Vertrag und Informationspflichten

Liegt eine gemeinsame Verantwortlichkeit vor, ist gemäß Art. 26 Abs. 1 Satz 2 DS-GVO zwischen den Beteiligten eine Vereinbarung abzuschließen, die in transparenter Form die jeweiligen Pflichten der Vertragsparteien festlegt. Dies betrifft insbesondere die Gewährleistung der Rechte betroffener Personen, die Bereitstellung von Informationspflichten sowie gegebenenfalls Kontaktpersonen. Weiterhin muss die Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der Beteiligten widerspiegeln. Ergänzend zu den Angaben aus Art. 13 und Art. 14 DS-GVO, sind den betroffenen Personen gemäß Art. 26 Abs. 2 Satz 2 DS-GVO die wesentlichen Inhalte der Vereinbarung zur Verfügung zu stellen.

Fazit

In der Praxis sind eigene Verantwortlichkeit, Auftragsverarbeitung und gemeinsame Verantwortlichkeit klar voneinander zu trennen. Hierbei können sich in der Praxis jedoch Schwierigkeiten ergeben, da die Zusammenschau unterschiedlicher Aspekte teilweise einen gewissen Interpretationsspielraum ermöglicht. Unter Berücksichtigung der Rechenschaftspflicht sollten Verantwortliche in jedem Fall die Entscheidung für oder gegen die Annahme einer gemeinsamen Verantwortlichkeit dokumentieren. Wir das Vorliegen einer gemeinsamen Verantwortlichkeit angenommen, ist ein entsprechender Vertrag gemäß den Anforderungen des Art. 26 DS-GVO abzuschließen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Durch die zunehmende Komplexität von Arbeitsprozessen und die fortschreitende Spezialisierung von Organisationen werden immer öfter auch die Verarbeitungen personenbezogener Daten an andere Stellen ausgelagert. In der Praxis ergeben sich hierbei immer öfter Schwierigkeiten in der Einschätzung des (datenschutz-)rechtlichen Verhältnisses zwischen den beteiligten Vertragsparteien. Eine bedeutende Rolle nimmt in diesem Zusammenhang die sogenannte Auftragsverarbeitung ein. Der nachfolgende Beitrag soll Anhaltspunkte liefern, in welchen Konstellationen eine Auftragsverarbeitung regelmäßig anzunehmen ist.

Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche

Zur Klärung der Frage, in welchen konkreten Fällen eine Auftragsverarbeitung vorliegt, sind zunächst die Begrifflichkeiten des Verantwortlichen, des Auftragsverarbeiters sowie der gemeinsam Verantwortlichen anhand der Definitionen in der Datenschutz-Grundverordnung aufzugreifen.

Bei einem Verantwortlichen handelt es sich gemäß Art. 4 Nr. 7 DS-GVO um jede „natürliche oder juristische Person, Behörde, Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ In Abgrenzung hierzu, handelt es sich gemäß Art. 4 Nr. 8 DS-GVO bei einem Auftragsverarbeiter um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche definiert sich somit insbesondere dadurch, dass dieser stets die Zwecke und Mittel der Datenverarbeitung festlegt, also über das „ob“ und „wie“ der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter eben diese Datenverarbeitung lediglich auf Weisung umsetzt.

Legt ein Verantwortlicher mit einem oder mehreren weiteren Verantwortlichen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, handelt es sich gemäß Art. 26 Abs. 1 Satz 1 DS-GVO um gemeinsam Verantwortliche.

Eine saubere Unterscheidung dieser Begrifflichkeiten hat in der Praxis eine große Bedeutung, da je nach Konstellation unterschiedliche Vertragswerke zugrunde zu legen sind und sich auch die Haftungsregelungen unterscheiden können. So ist unter Beachtung des Art. 82 Abs. 2 Satz 2 DS-GVO eine Haftung des Verantwortlichen für Tätigkeiten des Auftragsverarbeiter grundsätzlich nicht ausgeschlossen.

Der Europäische Datenschutzausschuss (EDSA) nennt in seinen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO zwei grundsätzliche Voraussetzungen zur Einstufung als Auftragsverarbeiter. Einerseits muss es sich bei einem Auftragsverarbeiter um eine von dem Verantwortlichen getrennten Stelle handeln, andererseits muss dieser die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten.

Das erstgenannte Kriterium bedarf keiner näheren Betrachtung, dient es insbesondere der Klarstellung, dass Fachabteilungen innerhalb eines Verantwortlichen gegenseitig keine Auftragsverarbeitungen durchführen können. Hingegen sind  Unternehmen innerhalb eines Konzernverbundes regelmäßig jeweils als eigenständige Verantwortliche einzustufen, sodass diese gegenseitig Auftragsverarbeitungen erbringen können, z.B. in Form von Shared Services.

In der Praxis liegt der Streitpunkt jedoch viel häufiger bei der Frage, ob im jeweiligen Einzelfall eine Verarbeitung personenbezogener Daten im Auftrag erfolgt. Der EDSA definiert in den Leitlinien das Handeln im Auftrag in Anlehnung an das Rechtskonzept der Delegation als Dienen im Interesse eines anderen. Im datenschutzrechtlichen Kontext bedeute dies, dass „ein Auftragsverarbeiter die Weisungen des Verantwortlichen zumindest in Beug auf den Zweck der Verarbeitung und die wesentlichen Elemente der Mittel“ umzusetzen hat. Weiterhin schließe ein Handeln im Auftrag des Verantwortlichen die Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiter aus, diesen Schluss lasse insbesondere Art. 28 Abs. 10 DS-GVO zu.

Aus den Ausführungen des EDSA ergibt sich jedoch zwangsläufig die Anschlussfrage nach den wesentlichen und den unwesentlichen Elementen der Mittel einer Datenverarbeitung. Der EDSA nimmt in den benannten Leitlinien folgende Zuweisung vor: Die Festlegung wesentlicher Elemente obliege stets dem Verantwortlichen. Dabei handele es sich um Kriterien, die in einem engen Zusammenhang mit dem Zweck und dem Umfang der Datenverarbeitung stehen, also insbesondere die Art der verarbeiteten personenbezogenen Daten, die Kategorien der betroffenen Personen, die Dauer der Verarbeitung sowie die Kategorien von Empfängern. Bei unwesentlichen Elementen handele es sich hingegen insbesondere um „praktische Aspekte der Umsetzung“ oder umzusetzende Sicherheitsmaßnahmen.

Eine Besonderheit: Die Bereitstellung von Cloud-Anwendungen

Im Kontext der seitens des EDSA aufgestellten Kriterien stellt sich nun die Frage, ob die Nutzung cloudbasierter Anwendungen dann überhaupt eine Auftragsverarbeitung darstellt. Es könnte behauptet werden, allein der Cloudanbieter sei in der Lage über die wesentlichen Elemente bezüglich der Mittel einer Datenverarbeitung zu entscheiden. Schließlich darf die Möglichkeit zur Einflussnahme des Verantwortlichen auf die Datenverarbeitung, zum Beispiel hinsichtlich der konkreten Speicherdauer oder der Übermittlung an Unter-Auftragsverarbeiter, eines weltweit agierenden Cloudanbieters ernsthaft angezweifelt werden.

Doch auch hierauf findet der EDSA eine nachvollziehbare Antwort: „Selbst wenn der Auftragsverarbeiter eine Dienstleistung anbietet, die vorab in einer bestimmten Weise definiert wurde, muss er dem Verantwortlichen eine ausführliche Beschreibung der Dienstleistung vorlegen und der Verantwortliche muss die endgültige Entscheidung treffen, die Art und Weise der Verarbeitung aktiv zu genehmigen und erforderlichenfalls Änderungen zu verlangen. Des Weiteren kann der Auftragsverarbeiter die wesentlichen Elemente der Verarbeitung zu einem späteren Zeitpunkt nicht ohne Zustimmung des Verantwortlichen ändern.“

Eine Auftragsverarbeitung kann demnach also auch dann vorliegen, wenn der Auftragnehmer wesentliche Elemente der Datenverarbeitung vorab festlegt, dem Auftraggeber jedoch zumindest die Einflussnahme hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung möglich ist. Dies gelte auch dann, wenn der Auftraggeber ausschließlich zwischen Auftragsvergabe (Datenverarbeitung findet statt) und keiner Auftragsvergabe (Datenverarbeitung bleibt aus) wählen kann.

Übrigens liegt nach Ansicht des EDSA auch dann eine Auftragsverarbeitung vor, sofern die Verarbeitung personenbezogener Daten nicht den hauptsächlichen oder vorrangigen Gegenstand der angebotenen Dienstleistung darstellt. Dies ist beispielsweise dann relevant, sofern innerhalb der Cloud-Anwendung primär keine personenbezogenen Daten gespeichert, aber zur Gewährleistung einer ordnungsgemäßen Funktionalität personenbezogene Daten in Form von IP-Adressen und Zugriffszeiten verarbeitet werden müssen.

Typische Auftragsverarbeitungen

Fernab dieses Anwendungsfalls haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) im Rahmen ihres Kurzpapier Nr. 13 bereits im Jahr 2018 eine Reihe weiterer typischer Auftragsverarbeitungen benannt. Hierzu gehören beispielsweise Datenverarbeitungen im Zusammenhang mit der Lohn- und Gehaltsabrechnung sowie der Finanzbuchhaltung; die Adressverarbeitung durch einen Lettershop; die Datenträgerentsorgung durch einen Dienstleister sowie die Prüfung und Wartung von Datenverarbeitungsanlagen, sofern dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Im Gegensatz dazu ist eine Auftragsverarbeitung jedoch regelmäßig ausgeschlossen, wenn Datenverarbeitungen durch einen Berufsgeheimnisträger (z.B. Steuerberater, Rechtsanwälte, Wirtschaftsprüfer) durchgeführt werden und die jeweilige Tätigkeit dem Berufsrecht unterliegt, das heißt grundsätzlich weisungsfrei und demnach eigenständig ausgeübt werden muss.

Fazit

Auch wenn die Einschätzung der datenschutzrechtlichen Verhältnisse zwischen den datenverarbeitenden Stellen nicht immer einfach ist, so bieten die benannten Veröffentlichungen des EDSA und der DSK sinnvolle Kriterien und Anwendungsbeispiele. Wird das Vorliegen einer Auftragsverarbeitung festgestellt, ist zwischen den beteiligten Vertragsparteien zwingend ein Vertrag zur Auftragsverarbeitung abzuschließen. Hierbei muss vorab geprüft werden, ob der Vertrag sämtliche der durch Art. 28 DS-GVO geforderte Inhalte bereithält. Auch dabei ist der Datenschutzbeauftragte Freund und Helfer.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bewirkt eine falsche Zuordnung trotz Vorliegen einer Vereinbarung zwangsläufig die Rechtswidrigkeit der Datenverarbeitung? Jede und Jeder hat es schon erlebt: Geprüft werden Datenverarbeitungen, an denen verschiedene verantwortliche Stellen beteiligt sind. Am schönsten ist es natürlich, wenn die Prüfung gesetzeskonform vor Beginn der Verarbeitungen erfolgen kann. Oft fällt es dann schwer zu entscheiden – und ist vielleicht auch zwischen den beteiligten Stellen strittig – wie die Rollen verteilt sind:

Gemeinsame Verarbeitung, weil mehrere Verantwortliche personenbezogene Daten für einen gemeinsamen Zweck verarbeiten oder jedenfalls gemeinsam personenbezogene Daten verarbeitet werden, wenn auch teils für verschiedene Zwecke? Oder doch Auftragsverarbeitung, bei der ein Dienstleister die Datenverarbeitung nach den Weisungen des Auftraggebers erledigt? In der Praxis gilt bekanntlich: Je komplexer die Dienstleistung, desto weitgehender wird die Art und Weise der Datenverarbeitung vom Dienstleister geprägt und vom Auftraggeber „nur akzeptiert“. Oder hat der Dienstleister eventuell „mehrere Hüte auf“, nämlich den des Auftragsverarbeiters, bei bestimmten Verarbeitungszwecken aber auch den der eigenverantwortlich agierenden Stelle?

Zuordnung muss dokumentiert getroffen werden

Tatsächlich lassen sich nicht alle Anwendungsfälle momentan sicher und eindeutig zuordnen. Auch die Rechtsprechung – insbesondere der Europäische Gerichtshof (EuGH) – wird in den nächsten Jahren zwar einige zweifelhafte Konstellationen klären, aber nicht umfassend jeden Zweifel ausräumen. Schon jetzt und auch in Zukunft gilt sinnvollerweise: Geschuldet ist eine sorgfältige, ergebnisoffene Prüfung und jedenfalls eine Vereinbarung in Textform zwischen den Beteiligten, welche die Datenschutzpflichten klar regelt.

Diese Vorgehensweise verträgt sich bestens mit der EuGH-Entscheidung vom 04.05.2023 (Az. C-60/22): Der EuGH hatte zu klären, ob bei unzutreffender oder fehlender Vereinbarung für eine gemeinsame Verantwortung schon dieser formale Mangel dazu führt, sämtliche zugehörige Datenverarbeitungen als rechtswidrig zu beachten. Er hat diese Frage verneint. Das heißt: Wer bei Verarbeitungen in gemeinsamer Verantwortung (nichts anderes gilt dann bei Auftragsverarbeitungen) die gesetzlich vorgeschriebene Vereinbarung in Textform gar nicht oder nur fehlerhaft erstellt, verletzt das Datenschutzrecht und begeht eine Ordnungswidrigkeit. Der formale Fehler führt aber nicht zwingend zur materiellen Rechtswidrigkeit aller zugehörigen Datenverarbeitungen. Diese sind vielmehr rechtlich nach den allgemeinen Grundsätzen, dem Vorhandensein einer Rechtsgrundlage – z.B. Einwilligung oder Gesetz –, die Einhaltung der Grundsätze der Datenverarbeitung sowie die Gewährleistung ausreichender technischer und organisatorischer Maßnahmen zu prüfen.

Umsetzung in der Praxis

Praktische Empfehlung für die eingangs genannten Zweifelsfälle also: Vereinbarung in Textform treffen und Pflichten verteilen. Ob man sich bei der Überschrift („Vereinbarung zur gemeinsamen Verarbeitung“, „Vereinbarung zur Auftragsverarbeitung“ etc.) vergriffen hat, ist weniger (weit weniger) wichtig als die Rechtsgrundlage der Verarbeitung und ausreichende Datensicherheit. Wenn der Streit über die Verarbeiter-Rollen also gar nicht formal lösbar ist, darf der Vertragstitel z.B. auch lauten „Datenschutz-Vereinbarung“. Der Folgefehler einer falschen Dokumentation (z.B. Verzeichnis der Verarbeitungstätigkeiten als Auftragsverarbeiter anstelle Verantwortlicher) führt ebenfalls nicht zu einer Rechtswidrigkeit der einzelnen Verarbeitung und auch nicht etwa zu einem Löschanspruch der betroffenen Personen.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits mit Urteil vom 5. Juni 2018 (Az.: C-201/16) hat der Europäische Gerichtshof (EuGH) den Stein in Sachen Facebook-Fanpages ins Rollen gebracht. Der EuGH entschied in diesem Urteil, dass Betreiber von sogenanneten Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind, mithin eine gemeinsame Verantwortlichkeit zwischen den Betreiberinnen und Betreibern der Facebook Fanpages und Facebook besteht. Nunmehr hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK) FAQ zu den Facebook-Fanpages veröffentlicht und somit ein weiteres Kapitel der Saga aufgeschlagen. Der nachfolgende Beitrag soll in Ergänzung zu unserem kurzen Überblick aus April 2022 die bisherige Entwicklung, den Inhalt der FAQ und mögliche Auswirkungen für die Praxis darstellen und näher beleuchten.

WIE NAHM DAS UNHEIL SEINEN LAUF?

Dem Urteil des EuGH folgte am 6. Juni 2018 die Veröffentlichung einer Entschließung der DSK unter dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“, in welcher die Datenschutzaufsichtsbehörden zu erkennen gaben, dass sie sich durch das Urteil in ihrer bisherigen Rechtsauffassung bestätigt fühlten. Dem liegt zu Grunde, dass über die Funktion „Insights“ den Fanpage-Betreiberinnen und Fanpage-Betreiber eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt wird. Unter anderem aufgrund dieser Funktion habe der EuGH festgestellt, dass für die Verarbeitung personenbezogener Daten eine gemeinsame Verantwortlichkeit im Sinne des Art. 4 Nr. 8 und Art. 26 DS-GVO zwischen Fanpage- und Plattformbetreiber besteht. Demnach ergeben sich für Betreiberinnen und Betreiber von Facebook-Fanpages zahlreiche Pflichten zu denen u.a. gehören, dass transparent und in verständlicher Form darüber informiert werden muss, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden und dass für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreiberinnen und Fanpage-Betreiber in einer (transparenten) Vereinbarung festzulegen, wer welche Verpflichtung aus der Datenschutz-Grundverordnung (DS-GVO) erfüllt. Diese Vereinbarung muss darüber hinaus in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Hierauf bezugnehmend veröffentlicht Facebook am 11. September 2019 die sog. „Seiten-Insights-Ergänzung“, um den von der DSK aufgestellten Anforderungen gerecht zu werden und insbesondere eine Vereinbarung zur Gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO zur Verfügung zu stellen. Diese Ergänzung erfüllte nach Ansicht der Datenschutzaufsichtsbehörden jedoch nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO, da insbesondere die alleinige Entscheidungsmacht seitens Facebook „hinsichtlich der Verarbeitung von Insights-Daten“ im Widerspruch zur gemeinsamen Verantwortlichkeit stehe wie die DSK in der „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ vom 1. April 2019 deutlich machte.

Am 20. Mai 2019 richtete sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen und bestärkte diese Position noch einmal. In einem zweiten Rundschreiben vom 16. Juni 2021 griff der BfDI die Thematik nochmals auf und hob insbesondere die Problematik bei der Datenübermittlung an Drittländer hervor.

Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hat die DSK in einem Kurzgutachten vom 18. März 2022 dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. In einem bisher letzten Akt geht insbesondere der BfDI noch weiter und versendet mittlerweile Anhörungen zu Facebook-Fanpages.

WORUM GEHT ES NUN IN DEN FAQ FACEBOOK-FANPAGE DER DSK?

Nach einem Problemaufriss inklusive Herausstellung des eigentlichen Knackpunktes, dass Meta Platforms als Betreiber des Dienstes Facebook die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks verarbeitet, sondern auch zu Werbezwecken. Als gemeinsam mit Meta Platforms Verantwortliche müssen Fanpage-Betreiberinnen und Fanpage-Betreiber die Vorgaben der DS-GVO einhalten und dazu – unter anderem – eine Vereinbarung über die gemeinsame Verantwortung schließen, der die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Addendum erfüllt diese Anforderungen nicht. Demnach können verantwortliche Betreiberinnen und Betreiber häufig eine rechtskonforme Verarbeitung personenbezogener Daten nicht sicherstellen. Das betrifft insbesondere die Frage, in welchem Umfang eine Übermittlung personenbezogener in datenschutzrechtliche Drittländer stattfindet, wobei in derartigen Fällen die speziellen Anforderungen der Art. 44 ff. DS-GVO einzuhalten sind.

FÜR WEN GELTEN DIE AKTUELLEN HINWEISE DER DSK UND WELCHE KONSEQUENZEN DROHEN?

Unter Ziff. 6 ff. der FAQ führt die DSK weiter aus, dass Facebook-Fanpages nur dann betrieben werden dürfen, wenn die datenschutzrechtliche Konformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die DS-GVO dar. Dies gilt sowohl für öffentliche als auch für nicht-öffentliche Stellen. Jedoch sind öffentliche Stellen in besonderem Maße gesetzlich verpflichtet, rechtskonform zu handeln. Daher und aufgrund ihrer Vorbildfunktion sollen diese durch die Datenschutzaufsichtsbehörden nun vorrangig in die Pflicht genommen werden. Dies werde auch durch das Urteil des OVG Schleswig-Holstein vom 25.11.2021 (Az. 4 LB 20/13) gestützt, welches die Deaktivierungs-Anordnung der Landesbeauftragten Schleswig-Holstein Marit Hansen gegenüber einer öffentliche Stelle bestätigte.

Die obigen Ausführungen zu Grunde gelegt kommt die DSK zu dem Ergebnis, dass Fanpage-Betreiberinnen und Fanpage-Betreiber die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können müssen, dies ihnen für den Betrieb von Facebook-Fanpages zurzeit jedoch nicht möglich ist. Datenschutzrechtlich Verantwortliche können in dieser Situation daher nach Ansicht der DSK nur eine (unverzügliche) Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DS-GVO zu erfüllen. Da die datenschutzrechtlichen Probleme bei Facebook-Fanpages weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, sieht die DSK zudem keine Lösung durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite. Nichts desto trotz ergeht der Hinweise, dass sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, dass eine datenschutzrechtliche Konformität gegeben ist, eine Facebook-Fanpage dann wieder in Betrieb genommen werden könnte. Ob und wann dies der Fall sein könnte, gleicht wohl jedoch einem Blick in die berühmte Glaskugel.

Weiterhin verweist die DSK darauf, dass viele der Erkenntnisse auch auf andere Social-Media-Auftritte (bspw. Instagram, Twitter, TikTok usw.) übertragbar sein dürften. Die Umstände seien häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.

FAZIT

Die eigentlich Rechtsproblematik für Betreiberinnen und Betreiber von Facebook-Fanpages ist nicht erst durch die neuerdings veröffentlichen FAQ der DSK zu einer Herausforderung für datenschutzrechtliche Verantwortliche erwachsen. Vielmehr schwillt der Konflikt rund um das Urteil des EuGH aus dem Jahre 2018 und die Gemeinsame Verantwortlichkeit zwischen Facebook und Betreiberinnern und Betreibern bereits seit Jahren und gleicht einem Stück in mehreren Akten, bei dem aktuell das vorläufige Ende zumindest vieler Facebook-Fanpages öffentlicher Stellen durch deren Abschaltung gekommen zu sein scheint. Allerdings wird das letzte Wort noch lange nicht gesprochen sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Zum 18. März 2022 hat die „Taskforce Facebook-Fanpages“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) ein 40-seitiges Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vorgelegt. Darin finden insbesondere die seit dem 01. Dezember 2021 geltenden Regelungen des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und dessen Auswirkungen auf die rechtliche Beurteilung der Zulässigkeit des Betriebs einer Facebook-Fanpage Berücksichtigung. Die Taskforce nimmt dabei ebenfalls Bezug auf ein aktuelles Urteil des OVG Schleswig vom 25. November 2021. Die Inhalte und Auswirkungen des Kurzgutachtens für verantwortliche Stellen soll der nachfolgende Beitrag näher beleuchten.

WOMIT BEFASST SICH DAS KURZGUTACHTEN UND WOMIT NICHT?

Das Kurzgutachten befasst sich unter Berücksichtigung des seit 01. Dezember 2021 anzuwendenden TTDSG hauptsächlich mit der Speicherung von und dem Zugriff auf Informationen (Cookies) in den Endeinrichtungen von Nutzenden. Weiterhin wird die sich daran anschließende Verarbeitung und Verknüpfung mit Nutzungsdaten zu Statistikzwecken sowie zur Profilbildung und zu Werbezwecken thematisiert.

Lediglich umrissen wird hingegen die generellen datenschutzrechtlichen Anforderungen für Betreibende von Facebook-Fanpages sowie eine weitere Positionierung zur datenschutzrechtlichen Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages. Hierzu hatte die DSK bereits im September 2018 sowie April 2019 entsprechende Stellungnahmen veröffentlicht. Bereits aus diesen ging hervor, dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann.

VEREINBARKEIT MIT DEM TTDSG

Im Rahmen des Kurzgutachtens wird zunächst eine Darstellung der beim Aufruf von Facebook-Fanpages gesetzten Cookies vorgenommen. Hierbei sind grundsätzlich Cookies zu unterscheiden, die bei nicht-registrierten Nutzenden sowie bei registrierten Nutzenden gesetzt werden.

Unstreitig ist eine Facebook-Fanpage als Telemediendienst einzustufen, an deren Bereitstellung der jeweilige Betreiber der Facebook-Fanpage mitwirkt. Dementsprechend handelt es sich bei dem Betreiber um einen „Anbieter von Telemedien“ im Sinne des § 2 Abs. 2 Nr. 1 TTDSG. Somit obliegt diesem ebenfalls die Verpflichtung zur Einhaltung der Regelungen des § 25 TTDSG. Entsprechend des § 25 TTDSG bedürfen Cookies, welche nicht zur Erbringung des jeweiligen Dienstes technisch zwingend benötigt werden, einer Einwilligung. Im Ergebnis ist somit der Betreiber einer Facebook-Fanpage neben Facebook für das Einholen einer gegebenenfalls erforderlichen wirksamen Einwilligung (mit-)verantwortlich.

Das Kurzgutachten widmet sich unter Berücksichtigung dieser Grundvoraussetzungen der Frage, ob die Bereitstellung einer Facebook-Fanpage den Anforderungen aus § 25 TTDSG nachkommen kann. In diesem Zusammenhang wird sich ausführlich mit der Frage auseinandergesetzt, ob die im Rahmen einer Facebook-Fanpage gesetzten Cookies zur Erbringung des Telemediendienstes als technisch zwingend erforderlich bezeichnet werden können. Aufgrund der untrennbaren Verknüpfung mit Verarbeitungen zu Analyse- und Werbezwecken kommt die Taskforce unter Bezugnahme auf die Ausführungen des OVG Schleswig jedoch zu dem Ergebnis, dass die gesetzten Cookies nicht (ausschließlich) zur Erbringung des Telemediendienstes erforderlich und mithin einwilligungsbedürftig sind.

Das seitens Facebook bereitgestellte Einwilligungs-Banner bietet unter Berücksichtigung der Ausführungen der Taskforce sowie des OVG Schleswig zwar grundsätzlich die Möglichkeit Cookies zu akzeptieren bzw. weiterführende Einstellungen vorzunehmen, es erfüllt inhaltlich jedoch nicht die Anforderungen, welche an eine rechtskonforme Einwilligungserklärung zu stellen sind. Das Kurzgutachten kommt dementsprechend zu dem Ergebnis, dass für das Setzen der Cookies keine wirksame Einwilligung eingeholt wird. Die im Rahmen eines Aufrufes einer Facebook-Fanpage gesetzten Cookies werden somit ohne einschlägige Rechtsgrundlage gesetzt. Der Betrieb einer Facebook-Fanpage ist demnach unter Berücksichtigung der Anforderungen des § 25 TTDSG nicht mit dem TTDSG vereinbar.

VEREINBARKEIT MIT DER DS-GVO

Zur Vereinbarkeit der Verarbeitung personenbezogenen Daten im Rahmen von Facebook-Fanpages, insbesondere bezüglich der jeweiligen Insight-Statistiken, führt das Kurzgutachten zur datenschutzrechtlichen gemeinsamen Verantwortlichkeit von Facebook und dem jeweiligen Betreiber der Facebook-Fanpage aus. Die Einstufung als gemeinsame Verantwortliche im Sinne des Art. 26 DS-GVO entstammt der Rechtsprechung des Europäischen Gerichtshofes und wurde sowohl durch das Bundesverwaltungsgericht als auch das OVG Schleswig aufgegriffen.

An dieser Stelle positiv hervorzuheben ist, dass das OVG Schleswig in der Datenverarbeitung zu Werbezwecken durch Facebook keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO sieht. Hierbei fehle es „insoweit jedenfalls an einer gemeinsamen Entscheidung über den Zweck der Datenverarbeitung.“ Dieser Ansicht folgt die Taskforce jedoch nicht. Sie sieht in der Nutzung eines werbefinanzierten Dienstes durch den Betreiber der Facebook-Fanpage durchaus ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten von Facebook. Auch wenn die Taskforce die Argumentation unter Nennung des sogenannten „Netzwerkeffektes“ stützt, kann diese im Ergebnis nicht überzeugen.

Übereinstimmend kann jedoch eine gemeinsame Verantwortlichkeit hinsichtlich der Verarbeitung personenbezogener Daten zu Insight-Statistiken angenommen werden. Das Kurzgutachten weist in diesem Zusammenhang darauf hin, dass eine jede Verarbeitung personenbezogener Daten einer einschlägigen Rechtsgrundlage bedarf. Eine solche liege jedoch für die Anfertigung von Statistiken ausdrücklich nicht vor. Die Annahme einer Einwilligung scheitere bereits aufgrund der Ausführungen zur Einwilligung hinsichtlich des Setzens von Cookies, die Durchführung einer Interessenabwägung sei bereits wegen einer unmöglich vorzunehmenden Prüfung der Rechtskonformität nicht möglich.

Abschließend verweist das Kurzgutachten auf die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 DS-GVO sowie die Verpflichtung zur Bereitstellung transparenter Informationen nach Art. 26 DS-GVO hinsichtlich der gemeinsamen Verarbeitung personenbezogener Daten durch Facebook und dem jeweiligen Betreiber der Facebook-Fanpage sowie nach Art. 13 DS-GVO hinsichtlich der jeweils eigenverantwortlichen Verarbeitung personenbezogener Daten. Beide Informationspflichten lassen sich nach Auffassung der Taskforce aufgrund unzureichender Informationsbereitstellung durch Facebook nicht im erforderlichen Rahmen bereitstellen. Im Ergebnis ist dem Kurzgutachten eine deutliche Verneinung der Vereinbarkeit mit der DS-GVO zu entnehmen.

ERGEBNIS DES KURZGUTACHTENS

Auch wenn einige Ausführungen des Kurzgutachtens äußerst komplex dargestellt werden, erfreut sich das Ergebnis einer besonders klaren Formulierung: „Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben. Darüber hinaus werden die Informationspflichten aus Art. 13 DS-GVO nicht erfüllt.“ Facebook-Fanpages lassen sich somit nicht datenschutzkonform betreiben.

FAZIT

Die Inhalte des Kurzgutachtens sind inhaltlich (weitestgehend) nicht zu beanstanden, überraschen darüber hinaus jedoch auch wenig. Im Ergebnis ist festzuhalten, dass das vorliegende Kurzgutachten durch die betreffenden verantwortlichen Stellen – wenn überhaupt – nur schulterzuckend zur Kenntnis genommen werden wird. Dass ein Betrieb von Facebook-Fanpages nicht vollständig datenschutzkonform erfolgen kann, ist bereits seit einigen Jahren Gegenstand der datenschutzrechtlichen Beratungspraxis. Eine entsprechende Sanktionierung seitens der Aufsichtsbehörden blieb bislang weitestgehend aus, sodass sich verantwortliche Stellen auch weiterhin in der Breite dieses Marketinginstrumentes bedienen werden. Daran wird auch das Veröffentlichen eines weiteren Gutachtens nichts ändern können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.