Was Facebook mit Kooperationen zu tun hat – gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO
Gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (auch Joint Controllership genannt) bedeutet, dass bei einer Zusammenarbeit mehrerer Stellen diese gemeinsam für die Datenverarbeitung verantwortlich sein können. Die genannte rechtliche Grundlage der Datenschutzgrundverordnung verlangt u.a. den Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit und bestimmt, dass die von der Datenverarbeitung betroffenen Personen ihre Rechte nach der Verordnung jedem einzelnen der Verantwortlichen gegenüber geltend machen können. Die Rechtsfigur der gemeinsamen Verantwortlichkeit wirft zahlreiche praxisrelevante Fragen auf. Es bedarf z.B. der Abgrenzung zur Auftragsverarbeitung nach Art. 28 DS-GVO einerseits und zur alleinigen Verantwortlichkeit andererseits. Im jeweiligen Einzelfall ist zu klären wie weit die gemeinsame Verantwortlichkeit reicht, wie die Transparenz gegenüber der betroffenen Person im Außenverhältnis gewährleistet wird, und wie die notwendigen Inhalte der gesetzlich geforderten Vereinbarung im Innenverhältnis ausgestaltet werden. Auch stellt sich die Frage nach haftungsrechtlichen Konsequenzen, wenn Daten in gemeinsamer Verantwortung verarbeitet werden. Insbesondere durch die jüngere Rechtsprechung des Europäischen Gerichtshofs (EuGH) hat das Thema neue Bedeutung erlangt: Gemeinsame Verantwortlichkeit setzt danach nicht voraus, dass jeder der Beteiligten hinsichtlich der Verarbeitung der Daten identische Handlungsoptionen hat. Gemeinsame Verantwortlichkeit ist also nicht im Sinne einer gleichwertigen Verantwortlichkeit zu verstehen und setzt auch nicht voraus, dass alle Verantwortlichen gegenüber der betroffenen Person in Erscheinung treten. (EuGH, Urteil vom 05.06.2018 – C-210/16 (Facebook-Fanpages); EuGH, Urteil vom 10.07.2018 – C-25/17 (Zeugen Jehovas)) Auch der tatsächliche Zugang zu den Daten ist kein maßgebliches Kriterium. Es genügt, dass ein Beteiligter die Verarbeitung eines anderen Beteiligten veranlasst und von dessen Ergebnissen profitiert. Für vor- oder nachgelagerte Vorgänge in einer Verarbeitungskette, an der ein Beteiligter keinen Einfluss in Form von Festlegung der Zwecke oder Mittel hat, soll dieser dann auch nicht verantwortlich sein. (EuGH, Urteil vom 29.07.2019 – C-40/17 (Fashion ID)) Aufgrund dieses, durch den EuGH sehr weit gefassten Anwendungsbereichs ist in der Regel davon auszugehen, dass das Betreiben eines Social Media Accounts zu einer gemeinsamen Verantwortlichkeit führt: durch das Einrichten wird dem Anbieter des sozialen Netzwerks die Möglichkeit verschafft, z.B. durch das Setzen von Cookies, personenbezogene Daten einzelner Nutzer zu erheben und weiter zu verarbeiten, auf die er andernfalls keinen Zugriff hätte. Die Anbieter haben darauf teilweise reagiert, indem sie ihre Nutzungsbedingungen um eine Vereinbarung i.S.d. Art. 26 DS-GVO ergänzt haben. Ob diese den rechtlichen Anforderungen genügt, ist nach Ansicht der Aufsichtsbehörden mehr als fraglich. Auch die Einbindung von Social Media PlugIns in eine Webseite führt nach den Urteilen des EuGH zu einer gemeinsamen Verantwortlichkeit mit dem Anbieter des sozialen Netzwerks, soweit es um Vorgänge geht, bei denen gemeinsam über Zwecke und Mittel entschieden wird. Hierfür stellen die Anbieter bislang noch keine Zusatzvereinbarungen zur Verfügung. Bei Fragen steht Ihnen das Büro des Datenschutzbeauftragten selbstverständlich gern zur Verfügung.