Joint Control

  • Art. 26 DSGVO regelt die Verarbeitung personenbezogener Daten durch mehrere gemeinsam Verantwortliche

    1 Einführung


    Bei bestimmten Konstellationen kann eine gemeinsame Verarbeitung personenbezogener Daten durch mehrere Organisationen zur Erreichung eines einheitlichen Zieles sinnvoll sein oder bereits stattfinden.


    Art. 26 DSGVO regelt diese Verarbeitung durch mehrere Verantwortliche. Dieses neue Rechtsinstitut liegt vor, wenn zwei oder mehr Verantwortliche Zweck und Mittel der Verarbeitung bestimmen. Dann gelten Sie als gemeinsam verantwortlich und haftbar.


    Dadurch ist es möglich, dass mehrere Verantwortliche arbeitsteilig zusammenarbeiten, zusammenwirken.


    Die gemeinsame Verantwortlichkeit wird auch als Joint Control bezeichnet.


    2 Anforderungen

    Die gemeinsam Verantwortlichen sind verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung nach DSGVO erfüllt, unter anderem was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 DSGVO und Art. 14 DSGVO nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften bereits festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die Betroffenen angegeben werden. Betroffene können gem. Art. 26 Abs. 3 DSGVO ihre Rechte in jedem Fall gegenüber jedem der gemeinsamen Verantwortlichen geltend machen.


    3 Gemeinsame faktische Nutzung


    Die gemeinsame Verantwortlichkeit entsteht nicht erst durch den Abschluss einer Vereinbarung gem. Art. 26 DSGVO, sondern bereits durch die faktische Zusammenarbeit. Der EUGH hat in seiner Entscheidung zur Wirtschaftsakademie Schleswig-Holstein eine gemeinsame Verantwortlichkeit des Betreibers einer Fanpage bei Facebook und dem sozialen Netzwerk angenommen, ohne dass eine entsprechende Vereinbarung (Joint Controll Contract) geschlossen war.


    Der EuGH geht in einem ersten Schritt von der Annahme aus, dass es bei mehreren Akteuren einen für die Verarbeitung Verantwortlichen gibt: Es ist festzustellen, dass Facebook ... über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Fanpage Besucher entscheidet und somit „für die Verarbeitung Verantwortlicher“ ... ist.


    Sodann ist zu prüfen, ob und inwieweit der Betreiber einer Fanpage im Rahmen dieser gemeinsam mit Facebook einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher leistet und somit ebenfalls als „für die Verarbeitung Verantwortlicher“ angesehen werden kann.


    Dazu betrachtet das Gericht das Verhältnis zwischen dem Verantwortlichen Facebook und dem Betreiber der Fanpage und kommt zu dem Schluss, dass es ein Vertragsverhältnis als Grundlage einer Zusammenarbeit gibt: Insoweit schließt offenbar jede Person, die eine Fanpage einrichten möchte, mit Facebook einen speziellen Vertrag über die Eröffnung einer solchen Seite und unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie ... .


    Im nächsten Schritt setzt sich der EuGH mit den Hintergründen der Verarbeitung auseinander, arbeitet den Zweck der Verarbeitung bei den beiden Akteuren heraus und sucht nach Zielen oder der Förderung einer Tätigkeit bei den Akteuren:


    Die in Rede stehende Datenverarbeitung erfolgt ... in der Weise, dass Facebook auf dem ... Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen ... bezwecken und für die Dauer von zwei Jahren wirksam bleiben.... Außerdem empfängt ... und verarbeitet Facebook die in den Cookies gespeicherten Informationen, insbesondere wenn eine Person Facebook aufruft. Außerdem können andere ... Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.

    Diese Verarbeitungen sollen ... Facebook ermöglichen, sein System der Werbung zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche ... erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von ... Besuchern zu verlangen, die seine Fanpage schätzen ..., um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.


    Der EuGH hält es bereits ausreichend ausreichend, dass der eine Akteur dem anderen Akteur ermöglicht, an Daten eines Betroffenen zu gelangen: Auch wenn der bloße Umstand der Nutzung von Facebook für sich genommen einen ... Nutzer nicht für die ... vorgenommene Verarbeitung ... mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer ... Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem ... Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.


    Der EuGH arbeitet sodann den Zweck der Datenverarbeitung (Erstellung und Auswertung von Statistiken) anhand der Ziele des Akteurs heraus: Die Einrichtung einer Fanpage impliziert eine Parametrierung u. a. entsprechend den Zielen des Betreibers oder Förderung seiner Tätigkeiten, die sich auf die Verarbeitung zum Zweck der Erstellung von ... Statistiken auswirkt. Mit Hilfe von ... Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten ... ausgewertet werden. Folglich trägt der Betreiber einer ... Fanpage zur Verarbeitung der Besucherdaten seiner Seite bei. Der andere Verantwortliche bestimmt damit unabhängig von Facebook den Zweck der Verarbeitung.


    Zwar werden die ... erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem ... Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Es ist nicht notwendig, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.


    Unter diesen Umständen ist festzustellen, dass der Betreiber ... durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber ... gemeinsam mit Facebook als für diese Verarbeitung Verantwortlicher einzustufen.


    Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.


    Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.


    Ein bloßer administrativer oder technischer Vorgang kann bereits eine gemeinsame Verantwortlichkeit auslösen. Unter Berücksichtigung der oben beannten Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit dazu bei, einen umfassenderen Schutz der Rechte von Fanpage Besuchern sicherzustellen.


    Sobald ein Akteur dem anderen ermöglicht, an die personenbezogenen Daten betroffener Personen zu gelangen und dieser von einer Verarbeitung profitiert um eigene Ziele oder die Förderung seiner Tätigkeit zu erreichen, ist von einer gemeinsamen Verantwortlichkeit auszugehen. Daher reicht bereits die gemeinsame Datennutzung aus, damit Art. 26 DSGVO Anwendung findet.


    Das Bestehen einer gemeinsamen Verantwortlichkeit hat nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge, die von einer Verarbeitung betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

    4 Verhältnis zur Verarbeitung im Auftrag

    Zu unterscheiden ist das Joint Controllership von der Auftragsverarbeitung und der Zusammenarbeit zweier getrennter Verantwortlicher. Bei der Auftragsverarbeitung ist allein der Verantwortliche derjenige, welcher im Bezug auf die Verarbeitung Zweck und Mittel bestimmt. Der Auftragsverarbeiter hat sich an die Vorgaben des Verantortlichen zu halten und keinen eigenen Entscheidungsspielraum bezogen auf die Anweisungen des Verantwortlichen. Wesentliches Abgrenzungsmerkmal ist damit die Weisungsgebundenheit des Auftragsverarbeiters.

    Die Auftragsverarbeitung stellt eine Previligierung des Auftraggebers (als Verantwortlicher) dar, da dieser ohne Rechtsgrundlage i.S.d. Art. 6 Abs. 1 DSGVO personenbezogene Daten an einen Dritten (Auftragsverarbeiter) zur Verarbeitung übermitteln darf. Der Auftragsverarbeiter ist jedoch durch den AVV den Weisungen und Kontrollpflichten des Verantwortlichen streng unterworfen.


    Dem gegenüber haben bei einer gemeinsamen Verarbeitung beide Verantwortliche Entscheidungsspielräume bezogen auf Mittel und Zweck der Verarbeitung. Beide Beteiligte haben jeweils einen steuernden und einen kontrollierenden Einfluss auf die Verarbeitung.


    Wegen der Kontrollpflichten des Verantwortlichen kommt eine Auftragsverarbeitung nur dann in Betracht, wenn der Auftragsverarbeiter nur solche personenbezogenen Daten verarbeitet, für die der Verantwortliche selbst eine Befugnis zur Verarbeitung hat. Die Befugnis ergibt sich aus einer Rechtsgrundlage und bindet den Zweck der Verarbeitung. Sollen insoweit Berufsgeheimnisträger i.S.v. § 203 StGB als Auftragsverarbeiter dienen, darf die Auftragsverarbeitung nicht dazu führen, dass der Auftragsverarbeiter oder seine Mitarbeiter (Berufsträger) im Rahmen von Kontrollen des Verantwortlichen Informationen offenbaren, für die der Verantwortliche keine Befugnisse zur Offenbarung hat. Soweit ein Verantwortlicher zu dem bestimmten Verarbeitungszweck berechtigt mehr Daten erheben oder verarbeiten darf, als der beteiligte Partner seinerseits berechtigt zur Kenntnis nehmen darf, ist eine Auftragsverarbeitung faktisch ausgeschlossen. Die Übermittlung von Sozialdaten ist nur soweit zulässig, wie die Berufsgeheimnisträger übermitteln dürfen § 76 Abs. 1 SGB X. Die Kontrollpflichten des Verantwortlichen i.S.d. Art. 28 Abs. 3 DSGVO dürfen nicht auf Seiten des "Auftragsverarbeiters" zum Gesetzesbruch führen. Hier kann durch das Joint Controllership eine vertragliche Grenze gezogen werden, die den Anforderungen des Art. 26 Abs. 2 DSGVO i.V.m. § 203 StGB erfüllt.


    Vor einer gemeinsamen Verarbeitung kann ausgegangen werden, wenn die Beteiligten einen tatsächlichen Einfluss auf die Verarbeitung haben. Die gemeinsame Verantwortlichkeit zieht aber nicht notwendig nach sich, dass die Betreiligten auch gleichrangig verantwortlich sind. Daher ist auf die entsprechenden Grenzen in den Vereinbarungen zu achten.


    5 Verhältnis zu getrennt Verantwortlichen


    Zweck und Mittel sind auch die Grenze zu getrennt Verantwortlichen, die Daten austauschen. Anders als beim Joint Control werden Mittel und Zweck nicht zusammen bestimmt. Es fehlt bei getrennt Verantwortlichen an der Weisungsgebundenheit i.S.d Auftragsdatenverarbeitung und jeweils am steuernden sowie am kontrollierenden Einfluss auf die Verarbeitung i.S.d. Joint Control.


    6 Rechtsgrundlage für Verantwortliche


    Die DSK geht davon aus, dass jeder Verantwortliche eine eigene Rechtsgrundlage für die gemeinsam Verarbeitung benötigt, die sich aus Art. 6 Abs. 1 DSGVO oder Art. 9 DSGVO zu ergeben hat. Andererseits kann aber auch eine gemeinsame Rechtsgrundlage der Verantwortlichen für die Verarbeitung ausreichend sein. Die strenge Auslegung sieht den Schutz der Freiheitsrechte des Betroffenen im Vordergrund. Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung bedarf es einer klaren Zuteilung der Verantwortlichkeiten, insbesondere wenn ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt. (Erwägungsgrund 079)


    7 Beispiele

    Beispiele für gemeinsame Datenverarbeitung (Quelle Kurzpapier der DSK):

    • klinischen Arzneimittelstudien
    • gemeinsamer Verwaltung bestimmter Datenkategorien für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
    • gemeinsame Errichtung einer Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen
    • E-Government-Portale, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen
    • Personalvermittlungs-Dienstleister, der für einen Arbeitgeber X Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber X gerichtet sind
    • gemeinsamer Informationspool/Warndatei mehrerer Verantwortlicher (z.B. Banken) über säumige Schuldner


    Die Mittel der Verarbeitung beziehen sich auf die technischen und organisatorischen Mittel der Verarbeitung und nicht auf finanzielle Mittel, mit denen die Verarbeitung finanziert wird.


    8 Haftung


    Gemeinsam Verantwortliche haften gegenüber dem Betroffenen als Gesamtschuldner. Die Vereinbarung sollte daher Regelungen aufstellen, unter welchen Bedingungen die Haftung im Innenverhältnis auszugleichen ist. Ansatz für die Haftungsregeln ist jeweils das Risiko für die Grundrechte und Freiheiten des geschädigten Betroffenen.



    9 Bußgelder

    Entspricht die Vertragsgestaltung nicht den Anforderungen des Art. 26 DSGVO kann die Aufsichtsbehörde ein Bußgeld gem. Art. 83 Abs. 4 DSGVO verhängen. Da auch bei


    10 Erwägungsgründe

    Erwägungsgrund 92, Erwägungsgrund 79

Teilen