Einführung

Art. 26 Abs. 1 S. 1 Datenschutz-Grundverordnung (DS-GVO) kodifiziert das Rechtsinstitut der gemeinsamen Verantwortlichkeit. Dies ist notwendig, da viele Datenverarbeitungen nicht isoliert von einem Verantwortlichen vorgenommen werden, sondern durch Arbeitsteilung mehrere Stellen mit den betroffenen Daten in Berührung kommen. So soll die betroffene Person, deren personenbezogene Daten verarbeitet werden, jedem Verantwortlichen gegenüber ihre Rechte ausüben können. Eine vergleichbare, unmittelbar geltende europäische Norm existierte bislang nicht. Zwar sah die Datenschutzrichtlinie 95/46/EG eine gemeinsame Verantwortlichkeit in Teilen vor, allerdings benannte sie keine rechtlichen Konsequenzen dieser Verantwortlichkeit. Im BDSG a.F. gab es keinerlei Vorschriften zur gemeinsamen Verantwortlichkeit.

Prominentes Beispiel für die Anwendung von Art. 26 DS-GVO ist die Entscheidung des EuGH C-210/16, wonach der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Begründet wurde dies damit, dass der Betreiber durch die von ihm vorgegebenen Informationen für sein Zielpublikum an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Zum Beispiel kann der Betreiber Informationen über das Alter, Geschlecht,  Beziehungsstatus und berufliche Situation, Lebensstil und Interessen seiner Zielgruppe einholen.

Tatbestandsvoraussetzungen

Eine gemeinsame Verantwortlichkeit liegt nach Art. 26 Abs. 1 S. 1 DS-GVO vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Datenverarbeitung festlegen. Das heißt, sie müssen tatsächlich Einfluss auf die Entscheidung nehmen können. Inhaltlich geht es um die Entscheidung über den Zweck, also das erwartete oder beabsichtigte Ergebnis, und das Mittel, also die Art und Weise der Zielerreichung, so die Art. 29-Datenschutzgruppe.

Dabei ist es notwendig, dass alle Beteiligten der Datenverarbeitung wesentlich an der Entscheidung über das „Warum“ und das „Wie“ der Datenverarbeitung beteiligt sind und die Zusammenarbeit von den Beteiligten gewollt und ihnen bewusst ist. Das bedeutet, dass eine zufällige Zusammenarbeit der Beteiligten für eine gemeinsame Verantwortlichkeit nicht ausreicht. Maßgeblich ist also die kooperative Determinierung des Ziels der Datenverarbeitung und der Instrumente für diese Verarbeitung der Daten. Dabei ist zu berücksichtigen, dass die Beteiligten sich nicht gleichermaßen an der Entscheidung beteiligen müssen, sondern der Tatbeitrag durchaus unterschiedlich gestaltet sein kann. Das bedeutet, dass das Gesetz den Verantwortlichen verschiedene Möglichkeiten der Zusammenarbeit eröffnet. Die Formulierung „gemeinsam“ bedeutet also nicht gleichermaßen, sondern „zusammen mit“ oder „nicht alleine“.

Abgrenzung von der Auftragsverarbeitung

Die gemeinsame Verantwortlichkeit ist von der Auftragsverarbeitung abzugrenzen. Die Auftragsverarbeitung ist in Art. 28 Abs. 1 DS-GVO geregelt und zeichnet sich dadurch aus, dass es nur aufgrund eines Auftrags vom Verantwortlichen zu einer Datenverarbeitung kommt. Im Unterschied zur gemeinsamen Verantwortlichkeit, bei der alle Beteiligten einen Entscheidungsspielraum haben, kann der Auftragnehmer keinen eigenen Einfluss auf die Datenverarbeitung nehmen. Charakteristisch für die Auftragsverarbeitung ist die Weisungsgebundenheit des Auftragnehmers.

Rechtsfolgen einer gemeinsamen Verantwortlichkeit

Art. 26 Abs. 1 S. 2 DS-GVO normiert die Rechtsfolgen einer gemeinsamen Verantwortlichkeit. Danach müssen die an der Datenverarbeitung Beteiligten eine Vereinbarung treffen, in der sie bestimmen, wer von ihnen welche Verpflichtungen aus der DS-GVO erfüllt. Insbesondere haben sie sich über die Wahrung der Rechte von Betroffenen zu einigen und über die Erfüllung ihrer Informationspflichten aus Art. 13 und 14 DS-GVO.

Besonders hervorzuheben ist Art. 26 Abs. 3 DS-GVO. Die von der Datenverarbeitung betroffene Person kann ihre Rechte gegenüber jedem Verantwortlichen geltend machen. In Art. 82 Abs. 4 DS-GVO hat der Gesetzgeber ausdrücklich eine gesamtschuldnerische Haftung der gemeinsam Verantwortlichen normiert, um die Rechte des Betroffenen zu stärken. Damit kann ein nach der DS-GVO Verantwortlicher sich im Außenverhältnis nicht der Haftung entziehen. Wenn der Betroffene mehreren Verantwortlichen ausgesetzt ist, soll er seine Rechte auch gegenüber allen Verantwortlichen geltend machen können. Steht ein Verantwortlicher nach Art. 82 Abs. 4 DS-GVO für den gesamten Schadensersatz ein, kann er die anderen Verantwortlichen nach Art. 82 Abs. 5 DS-GVO in Regress nehmen.

Unterliegen die an der Datenverarbeitung Beteiligten der gemeinsamen Verantwortung, erfüllen ihre Pflichten aus der DS-GVO aber nicht, so drohen ihnen nach Art. 83 Abs. 4 lit. a DS-GVO Bußgelder bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten unternehmerisch erzielten Jahresumsatzes.

Abgrenzung der gemeinsamen Verantwortlichkeit von der alleinigen Verantwortlichkeit

Während die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung an recht eindeutigen Kriterien abgegrenzt werden kann, ist die Abgrenzung der gemeinsamen Verantwortlichkeit (Joint Controller) von der alleinigen Verantwortlichkeit etwas kniffliger.

Die Art. 29-Datenschutzgruppe gab eine Einschätzung zur Rechtslage unter der Datenschutz-Richtlinie ab, die jedoch heute teilweise weiter vertreten wird. Diese Auffassung basiert auf einem funktionellen Ansatz. Sehr weit gefasst bedarf es keiner gleichwertigen Beteiligung jedes Verantwortlichen, sondern die Einbindung jedes Beteiligten kann unterschiedlich ausfallen. Des Weiteren reicht nach Ansicht der Art. 29-Datenschutzgruppe auch das alternative Vorliegen von entweder einer gemeinsamen Entscheidung über Zweck oder Mittel der Datenverarbeitung von den an der Verarbeitung Beteiligten zum Bejahen einer gemeinsamen Verantwortlichkeit. Diese Ansicht verstößt aber schon gegen den Wortlaut des Art. 26 Abs. 1 S. 1 DS-GVO. Das Gesetz fordert ausdrücklich die kumulative Entscheidung über den Zweck und die Mittel zur Datenverarbeitung und lässt somit wenig Interpretationsspielraum. Aus diesem Grund überzeugt die sehr weit gefasste Ansicht nicht.

Aus diesem Grund fordert die Gegenseite für die Bejahung einer gemeinsamen Verantwortlichkeit sowohl das gemeinsame Bestimmen eines Zweck und der Mittel. Das kann sowohl aus Art. 26 Abs. 1 S. 1 DS-GVO, als auch aus Erwägungsgrund 79 der DS-GVO abgeleitet werden. Diese insgesamt doch engere Auslegung entspricht auch der effektiven Umsetzung der DS-GVO. Für eine eindeutige Rechtsklarheit muss die Grenze zwischen der gemeinsamen und der einzelnen Verantwortlichkeit deutlich sein. Eine recht weite Auslegung würde jedoch dazu führen, dass die Grenze verschwimmt, was wiederum zu einer Rechtsunsicherheit führen würde. Damit müssen die Beteiligten sowohl über Zweck als auch Mittel entschieden haben. Der Telos, der in erster Linie der umfassende Schutz der betroffenen Person ist, wird sowohl bei einer gemeinsamen als auch bei einer alleinigen Verantwortlichkeit durch die DS-GVO umfassend gewahrt und damit nicht ausschlaggebend ist.

Fazit

Damit ist festzuhalten, dass zunächst die Eigenschaft als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO zu prüfen ist. Kann diese bejaht werden, so muss nach Art. 26 Abs. 1 S. 1 DS-GVO die Beziehung der an der Datenverarbeitung Beteiligten und damit die gemeinsame Verantwortlichkeit nachvollzogen und überprüft werden.