Begriff der gemeinsamen Verantwortlichkeit erhält durch EuGH-Urteile schärfere Konturen
Das Urteil des EuGH vom 5. Juni 2018 – Az.: C-210/16 – betraf die Facebook-Fanpages: Ein Unternehmen errichtet eine Facebook-Fanpage. Facebook sammelt Daten über den Zugriff auf die Webseite und stellt den Unternehmen diese Daten in aggregierter Form zur Verfügung. Das Unternehmen hat keinen Zugriff auf die Daten und kann diese Datenverarbeitung auch nicht beeinflussen.
Der EuGH hat eine gemeinsame Verantwortlichkeit des Betreibers der Webseite und von Facebook für die vorgenommenen Datenverarbeitungen angenommen, da eine gemeinsame Entscheidung über die vorgesehene Datenverarbeitung getroffen wurde. Eine gemeinsame Entscheidung setze eine rechtliche oder tatsächliche Einflussnahme auf eine Datenverarbeitung eines anderen Unternehmens voraus. Für die Annahme einer tatsächlichen Einflussnahme genügte es, wenn ein Unternehmen Einfluss auf die Erstellung von Zielgruppen nehmen kann oder sonstige Parameter für eine Werbekampagne festlegen kann. Es sei nicht erforderlich, dass das Unternehmen tatsächlich Zugriff auf die personenbezogenen Daten nehmen kann. Es genüge die mittelbare Möglichkeit zur Entscheidung über die Datenverarbeitung. Dazu reichte es bereits im konkreten Fall, anonymisierte Reports von Facebook über die Zugriffe auf die Fanpage anzufordern zu können.
In dem Urteil vom 10. Juli 2018 – C-25/17 – hat sich der EuGH u. a. mit der gemeinsamen Verantwortlichkeit der Gemeinschaft der Zeugen Jehovas und ihrer Mitglieder bei der Verkündungstätigkeit befasst und festgestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine Gleichwertigkeit der Verantwortlichkeit voraussetzt. Ferner sei nicht Voraussetzung, dass jeder der Verantwortlichen auch Zugang zu den betreffenden personenbezogenen Daten hat.
Diese Entscheidungen geben allgemein Anlass, Vertragsgestaltungen im Hinblick auf die Notwendigkeit von Regelungen zur gemeinsamen Verantwortlichkeit zu prüfen.
Für die Betreiber einer Facebook-Fanpage ist zu ergänzen, dass Facebook auf Druck der Aufsichtsbehörden zwar am 11. September 2018 ergänzende Bestimmungen („Insights-Ergänzung“) und Informationen („Insights-Informationen“) veröffentlicht hat, mit denen der Verantwortliche seinen Verpflichtungen aus Art. 26 DSGVO nachkommen solle.