Die Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Betreiben Sie gemeinsam mit anderen eine Internetplattform? Gehört Ihr Unternehmen zu einem Konzern? Dann sind Sie vielleicht „Gemeinsame Verantwortliche“ und damit Gegenstand der derzeit wohl meistdiskutierten Vorschrift der DSGVO. Art. 26 DSGVO regelt, welche Pflichten entstehen, wenn die Verarbeitung personenbezogener Daten durch mehrere Verantwortliche gemeinsam erfolgt. Diese Rechtsfigur nennt man auch „Joint Control“.
Regelungsziel des Art. 26 DSGVO ist: Wer faktisch Einfluss auf Zwecke und Mittel der Verarbeitung hat, den soll man bei Rechtsverstößen auch zur Verantwortung ziehen können. Der Betroffene soll seine Rechte gegenüber den Verantwortlichen leichter durchsetzen können, und zwar auch dann, wenn mehrere Verantwortliche arbeitsteilig zusammenwirken. Wer an einer Datenverarbeitung mitwirkt, muss sich deshalb – jedenfalls gegenüber dem Betroffenen – ein etwaiges Fehlverhalten des anderen Verantwortlichen zurechnen lassen. Er kann also nicht mit dem Finger auf andere Beteiligte zeigen, wenn Betroffene ihre Rechte geltend machen, sondern muss sich selbst darum kümmern.
„Joint Control“ in der Systematik der DSGVO
Die DSGVO grenzt drei verschiedene Konstellationen arbeitsteiliger Datenverarbeitung voneinander ab. Neben der hier beschriebenen „Gemeinsamen Verantwortlichkeit“ gibt es die sog. Auftragsverarbeitung (Art. 28 DSGVO). In diesen Fällen erhebt, verarbeitet oder nutzt ein Auftragsverarbeiter gemäß Weisungen eines Verantwortlichen personenbezogene Daten.
Außerdem kann ein Verantwortlicher Daten auch einfach so an einen anderen Verantwortlichen weiterleiten – also eine ganz „normale“ Übermittlung.
Wann liegt eine „Joint Control“ vor?
Art. 26 Abs. 1 S. 1 beschreibt, wann ein oder mehrere verarbeitende Stellen „gemeinsame Verantwortliche“ sind:
(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. […]
(Hervorhebungen hinzugefügt)
Das heißt, mit anderen Worten: Voraussetzung der „Joint Control“ ist, dass mehrere Verantwortliche gemeinsam bestimmen, was Zweck und Mittel der Verarbeitung ist. Zweck ist dabei ein erwartetes Ereignis, das beabsichtigt ist oder die geplanten Aktionen leitet. Mittel ist die Art und Weise, wie ein Ergebnis erzielt wird.
Für die Gemeinsame Verantwortlichkeit spielt es keine Rolle, ob die beteiligten Parteien ihr Verhältnis auch als solche bezeichnen, beispielsweise indem sie eine vertragliche „Joint Control”-Vereinbarung treffen. Eine gemeinsame Verantwortlichkeit kann auch dann vorliegen, wenn die Parteien beispielsweise von einer Auftragsverarbeitung ausgehen. Entscheidend sind die tatsächlichen Gegebenheiten.
Ob sie „gemeinsame Verantwortliche“ sind, müssen die Beteiligten deshalb im Rahmen ihrer datenschutzrechtlichen Compliance selbst prüfen. Das kann im Einzelfall sehr kompliziert werden. In der Praxis ist deshalb häufig unklar, in welchen Fällen genau eine solche gemeinsame Festlegung der Mittel und Zwecke vorliegt.
Rechtsprechung und Spruchpraxis
Die Datenschutzbehörden haben einige Äußerungen zu „Joint Control” veröffentlicht, und auch vom EuGH gibt es bereits einige Entscheidungen. Auch wenn diese Entscheidungen noch auf Basis der alten Datenschutzrichtlinie ergangen sind, lässt sich daraus auch für den heutigen Art. 26 DSGVO einiges ableiten. Die alte Datenschutzrichtlinie kannte zwar bereits die „gemeinsame Verantwortlichkeit“, hatte allerdings nicht so spezielle Rechtsfolgen vorgesehen wie heute Art. 26 DSGVO.
Die wohl wichtigste Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit stammt aus dem Juni 2018 und betrifft Facebook-„Fanpages“ (Rs. C-210/16). In dieser Entscheidung stellte der EuGH fest, dass die Betreiber von sog. „Fanpages“ auf Facebook und die Facebook Inc. gemeinsame Verantwortliche sind. Begründung des EuGH: Auch die Fanpage-Betreiber bestimmen über die Zwecke der Verarbeitung mit. Denn sie können Einstellungen vornehmen, um ihr Angebot auf konkrete Zielgruppen auszurichten.
In einer zweiten Entscheidung von Juli 2018 (Rs. C-25/17) ist der EuGH dann davonausgegangen, dass auch die Gemeinschaft der Zeugen Jehovas und ihre jeweiligen Mitglieder „Gemeinsame Verantwortliche“ sind. Bei sog. Tür-zu-Tür-Verkündungen sammeln die Mitglieder personenbezogene Daten. Für diese Datenverarbeitung ist auch die Religionsgemeinschaft verantwortlich, entschied der EuGH: Denn die Gemeinschaft der Zeugen Jehovas veranlasst, organisiert und koordiniert diese Datenerhebung. Deswegen wirkt sie an der Entscheidung über Zwecke und Mittel mit, selbst wenn sie auf die eigentlichen Daten gar keinen Zugriff hat.
Hinweise der Datenschutzbehörden
Auch die (damals) in der Art. 29-Datenschutzgruppe zusammengeschlossenen EU-Datenschutzbehörden haben in ihrem „169. Working Paper” einen „funktionellen“ Ansatz verfolgt, um gemeinsame Verantwortlichkeit zu definieren. Demnach soll jeder Verarbeitungsschritt daran gemessen werden, welche faktischen Einflussmöglichkeiten die Akteure auf Zwecke und Mittel haben. „Gemeinsam“ solle nicht im Sinne einer gleichwertigen und gleichberechtigten Kontrolle jedes einzelnen Verarbeitungsschrittes verstanden werden. Vielmehr könnten die Parteien unterschiedlich stark und in unterschiedlicher Weise in Entscheidungen eingebunden sein.
Hilfreich sind auch die Hinweise der Datenschutzkonferenz (DSK), d.h. der deutschen Datenschutzbehörden. In ihrem Kurzpapier Nr. 16 nennt sie die folgenden Beispiele für „Joint Control”:
• Gemeinsame Verwaltung bestimmter Datenkategorien, z.B. Adressdaten, für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
• Gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen, z.B. gemeinsames Betreiben einer internetgestützten Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft
• Klinische Arzneimittelstudien, wenn mehrere Mitwirkende, z.B. Sponsor, Studienzentren/Ärzte, jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
• E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen: Der Betreiber des Portals und die jeweilige Behörde sind gemeinsam Verantwortliche (Working Paper 169 der Artikel-29-Gruppe, Bsp. Nr. 11)
• Personalvermittlungs-Dienstleister, der für einen Arbeitgeber Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber gerichtet sind (Working Paper 169 der Artikel-29-Gruppe, Bsp. Nr. 6)
• Je nach Gestaltung gegebenenfalls gemeinsamer Informationspool/Warndatei mehrerer Verantwortlicher (z.B. Banken) über säumige Schuldner (Working Paper, Bsp. Nr. 13)
Zusammengefasst heißt das: Eine „Gemeinsame Verantwortlichkeit“ kann bei ganz unterschiedlichen Fallkonstellationen vorliegen.
Welche Pflichten haben „Gemeinsam Verantwortliche“?
Die „gemeinsame Verantwortlichkeit“ der Verarbeitenden löst nach Art. 26 Abs. 1 DSGVO zunächst die Pflicht aus, eine Vereinbarung zu schließen. Diese Vereinbarung muss folgende Anforderungen erfüllen:
Art. 26 DSGVO Gemeinsam Verantwortliche
(1) […] Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festlegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
(2) Die Vereinbarung […] muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
[…]
(Hervorhebungen hinzugefügt)
Das heißt: In erster Linie müssen die Verantwortlichen in der Vereinbarung ihre Pflichten untereinander verteilen. Die Vereinbarung muss außerdem in transparenter Form vorliegen. Das heißt, sie muss präzise, leicht zugänglich, verständlich sowie in klarer Sprache abgefasst sein. Den Verantwortlichen ist es außerdem freigestellt, eine gemeinsame Anlaufstelle für Betroffene einzurichten. Betroffene müssen in der Lage sein, ihre Rechte auf möglichst einfachem Wege wahrzunehmen. Der wesentliche Inhalt der Vereinbarung muss ihnen deshalb „zur Verfügung gestellt” werden.
Welche Mindestangaben in den Betroffenenhinweisen zu „Joint Control“ enthalten sein müssen, lässt sich der Vorschrift nicht entnehmen. Umfasst sind wohl jedenfalls:
• Klare und konkrete Angaben darüber, welche Stellen beteiligt sind.
• Auch Verarbeitungszwecke und Organisation der Verarbeitung gehören wohl dazu.
• Beschrieben werden sollte außerdem, wem welche Pflicht letztendlich obliegt.
Die gemeinsame Verpflichtung auf Betroffenenrechte
Die wichtigste Konsequenz der „Joint Control“ für jeden der Verantwortlichen folgt aus Art. 26 Abs. 3 DSGVO: Kein Verantwortlicher kann sich darauf zurückziehen, für die Ansprüche des jeweils von der Datenverarbeitung Betroffenen gar nicht zuständig zu sein.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
Wie sie intern ihre Pflichten verteilt haben, spielt also nur im Verhältnis zwischen den Verantwortlichen eine Rolle. Der Betroffene kann seine Rechte aber gegenüber jedem der Beteiligten geltend machen. Mit den Einzelheiten der Vereinbarung muss er sich dazu nicht auseinandersetzen.
Wie kann eine „Joint Control“-Vereinbarung in der Praxis aussehen?
In ihrer Vereinbarung müssen die „Gemeinsam Verantwortlichen“ festhalten, wer welche Pflichten aus der DSGVO erfüllt. Insbesondere betrifft das die Informationspflichten nach Art. 13 und 14 DSGVO: Wer informiert die Betroffenen?
Wie die Verantwortlichen dabei ihre Pflichten aufteilen, steht ihnen grundsätzlich frei. Das gilt allerdings nicht, wenn Recht der EU oder nationales Recht eine bestimmte Aufteilung vorschreibt.
Neben dem in Art. 26 Abs. 1 DSGVO vorgegebenen Mindestinhalt ist es ratsam, in die Vereinbarung auch Regelungen zu etwaigen Ausgleichsansprüchen im Innenverhältnis aufzunehmen. Insbesondere betrifft dies Fälle, in denen es zu einer Haftung oder zu Bußgeldern kommen könnte. Die Vereinbarung kann jedenfalls einzelfallabhängig ausgestaltet werden und sich die bestehende Flexibilität der Gestaltungsmöglichkeiten optimal zu Nutze machen.
Braucht die Übermittlung zwischen „Gemeinsam Verantwortlichen“ eine Rechtsgrundlage?
Umstritten ist, ob ein Austausch von gemeinsam erhobenen Daten noch eine eigene Rechtsgrundlage braucht. Denn einige Stimmen in der juristischen Literatur vertreten die Auffassung, für die Übermittlung von Daten zwischen gemeinsam Verantwortlichen sei keine eigene Rechtsgrundlage notwendig. Begründung: Wer Daten weitergebe, brauche nur dann eine Rechtsgrundlage, wenn der Empfänger „Dritter“ iSd DSGVO sei. Wer das ist, definiert Art. 4 Nr. 10 DSGVO:
Art. 4 DSGVO Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
[…]
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
[…]
(Hervorhebungen hinzugefügt)
Die Vorschrift sagt also: Dritter ist gerade nicht der Verantwortliche. Daraus lässt sich schließen, dass auch mehrere gemeinsam Verantwortliche nicht „Dritte“ iSd Art. 4 Nr. 10 DSGVO sind. Der Vorgang der Datenverarbeitung wird hier teilweise nicht als Übermittlung, sondern lediglich als „Umspeicherung“ verstanden. Eine Umspeicherung berührt nach dieser Ansicht das Selbstbestimmungsrecht der Betroffenen weniger als eine Übermittlung. Demnach könnten gemeinsame Verantwortliche ohne gesonderte Rechtsgrundlage agieren.
Andere Stimmen in der juristischen Literatur und wohl auch die Datenschutzbehörden sind gegenteiliger Auffassung. Sie sagen: Gemeinsame Verantwortliche brauchen eine Rechtsgrundlage für ihren Austausch gemeinsam erhobener Daten. Für jede Übermittlung ist demnach etwa Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) heranzuziehen und zu prüfen. Zentrales Argument: Es wäre eine Privilegierung der gemeinsam Verantwortlichen, wenn sie für den Austausch von Daten untereinander keine Rechtsgrundlage mehr bräuchten. Praktisch würde das bei der Datenübermittlung innerhalb von Unternehmensgruppen zu einer Art „Konzernprivileg“ führen. Das habe der Gesetzgeber der DSGVO jedoch nicht gewollt.
Welche der Ansichten sich letztlich durchsetzen wird, ist derzeit noch nicht abzusehen.
Art. 26 betrifft weder Schadensersatz noch Bußgelder
Was wichtig ist, aber häufig übersehen wird: Art. 26 DSGVO gilt nicht für die Geltendmachung von Schadensersatzansprüchen. Zu den „Rechten der betroffenen Person“ iSv Art. 26 DSGVO gehören zwar die Artikel 15 bis 22 DSGVO. Schadensersatzansprüche sind allerdings gesondert in Art. 82 DSGVO geregelt. Und Art. 82 enthält eine differenzierende Regelung:
Art. 82 DSGVO Haftung und Recht auf Schadensersatz
[…]
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
(4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
[…]
(Hervorhebungen hinzugefügt)
Somit ist zwar in Art. 82 DSGVO eine gesamtschuldnerische Haftung angelegt. Diese hängt jedoch nicht von der „Gemeinsamen Verantwortlichkeit“ nach Art. 26 DSGVO ab, sondern nur davon, welche Verantwortlichen an einer Datenverarbeitung „beteiligt“ sind (Art. 82 Abs. 2 und Abs. 4 DSGVO). Unter hohen Voraussetzungen ermöglicht Art. 82 Abs. 3 DSGVO außerdem jedem Verantwortlichen einen individuellen Entlastungsbeweis. Auch dieser hängt nicht davon ab, ob ein Fall der „Joint Control” vorliegt.
Joint Bußgelder?
Und auch bei den Bußgeldern gibt es keine „gemeinsame“ Bußgeldhaftung, die sich auf Art. 26 DSGVO ergibt. Nach der DSGVO verhängt die Datenschutzbehörde ein Bußgeld immer gegen denjenigen, der auch selbst (bzw. zurechenbar) die DSGVO verletzt hat. Es gelten die allgemeinen Zurechnungsregeln des Ordnungswidrigkeitenrechts.
Wichtig ist allerdings: Auch ein Verstoß gegen Art. 26 DSGVO selbst ist nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt. Unterlassen es zwei Verantwortliche, eine „Joint Control“-Vereinbarung abzuschließen, liegt somit ein Ordnungswidrigkeitentatbestand vor.
Working Paper der Art. 29-Datenschutzgruppe.
Kurzpapier der Datenschutzkonferenz.
Dieser Artikel entstand im Rahmen der Zusatzausbildung „Recht und Kommunikation”, die gemeinsam von Bird&Bird und Telemedicus angeboten wird. Wollen Sie sich im Rahmen eines Praktikums oder einer Referendarstation als Teilnehmer*in an der Ausbildungsreihe bewerben? Hier gibt es weitere Informationen.
