Nicht mehr ganz neu im Datenschutz, aber weiter kompliziert: Joint Controller vs. Auftragsverarbeitung

Das Prinzip der „gemeinsamen Verantwortlichkeit“ war zwar schon in der Richtlinie 95/46/EG aus dem Jahr 1995 vorhanden, hat aber in Deutschland erst mit EU-Datenschutzgrundverordnung (DSGVO) praktische Relevanz bekommen. Ziel ist es, für die betreffende Person, also zum Beispiel für den Verbraucher, transparent zu machen, wer für die Datenverarbeitung verantwortlich ist, auch wenn es mehrere Akteure gibt. Wörtlich heißt es in Artikel 26 der DSGVO:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt […].“

Jeder der beteiligten Verantwortlichen hat einen „bestimmenden tatsächlichen Einfluss“ auf die Datenverarbeitung, er übt also auch Kontrolle darüber aus. Abzugrenzen ist die „gemeinsame Verantwortlichkeit“ unter anderem von der Auftragsdatenverarbeitung. Der wesentliche Unterschied liegt im gestaltenden Einfluss auf die Mittel und Zwecke, also die Art und Weise und die Ziele der Datenverarbeitung. Ein Auftragsdatenverarbeiter arbeitet im übertragenen Sinne als „verlängerter Arm“ des Auftraggebers, ist ihm aber weisungsgebunden und hat kein eigenes Interesse an den Daten oder dem Ergebnis der Verarbeitung. Klassische Beispiele sind die Digitalisierung des Archivs oder auch gemeinsame Kundendatenbanken in Konzernen.

Gemeinsame Verantwortlichkeit bedeutet nicht automatisch gleichwertige Verantwortlichkeit. Bereits relativ geringe Beiträge zu einer vermeintlich fremden Datenverarbeitung können zur gemeinsamen Verantwortlichkeit führen. Praktische Beispiele sind die „Gefällt mir“-Buttons von Facebook, die auf Webseiten von Unternehmen eingebunden werden können. Der Europäische Gerichtshof hat in einem Rechtsstreit zwischen der Verbraucherzentrale und einem Online-Händler vor dem Landgericht Düsseldorf klargestellt, dass Facebook und Unternehmen, die „Gefällt mir“-Buttons auf ihrer Webseite einbinden, für die Erhebung und Übermittlung personenbezogener Daten gemeinsam verantwortlich sind. Es mache auch keinen Unterschied, dass das Unternehmen keinen direkten Zugriff auf die von Facebook erhobenen Daten habe. Entscheidend ist, dass beide mit der Verarbeitung eigene Zwecke und Ziele verfolgen. Facebook stellt den Unternehmen mit den sogenannten „Insights“ zwar Daten der Nutzer zur Verfügung, nutzt diese aber auch selbst in größerem Umfang.

„In der Praxis ist es wichtig zu erkennen, ob eine gemeinsame Verantwortlichkeit vorliegen könnte. Dann sollten mit dem jeweiligen Partner die Zuständigkeiten geregelt und den betreffenden Personen transparent gemacht werden.“ rät der Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. UIMC hat eigene Checklisten im Rahmen einer Praxishilfe entwickelt, um die einzelnen Rechtskonstrukte voneinander abzugrenzen und klar zu erkennen. Diese kann über http://praxishilfen.uimcollege.de kostenfrei abgerufen werden.

„Die „gemeinsame Verantwortlichkeit“ ist nach wie vor ein Thema mit viel Bewegung und wir beobachten gerichtliche Entscheidungen und Veröffentlichungen der Aufsichtsbehörden genau.“ Im Zweifel rät Dr. Voßbein betroffenen Unternehmen, sich professionell beraten zu lassen um eventuelle Bußgelder und Haftungsrisiken zu vermeiden.