Begriff der gemeinsamen Verantwortlichkeit erhält durch EuGH-Urteile schärfere Konturen
Das Urteil des EuGH vom 5. Juni 2018 – Az.: C-210/16 – betraf
die Facebook-Fanpages: Ein Unternehmen errichtet eine Facebook-Fanpage.
Facebook sammelt Daten über den Zugriff auf die Webseite und stellt den
Unternehmen diese Daten in aggregierter Form zur Verfügung. Das Unternehmen hat
keinen Zugriff auf die Daten und kann diese Datenverarbeitung auch nicht
beeinflussen.
Der EuGH hat eine gemeinsame Verantwortlichkeit des
Betreibers der Webseite und von Facebook für die vorgenommenen
Datenverarbeitungen angenommen, da eine gemeinsame Entscheidung über die
vorgesehene Datenverarbeitung getroffen wurde. Eine gemeinsame Entscheidung setze
eine rechtliche oder tatsächliche Einflussnahme auf eine Datenverarbeitung
eines anderen Unternehmens voraus. Für die Annahme einer tatsächlichen
Einflussnahme genügte es, wenn ein Unternehmen Einfluss auf die Erstellung von
Zielgruppen nehmen kann oder sonstige Parameter für eine Werbekampagne
festlegen kann. Es sei nicht erforderlich, dass das Unternehmen
tatsächlich Zugriff auf die personenbezogenen Daten nehmen kann. Es genüge die
mittelbare Möglichkeit zur Entscheidung über die Datenverarbeitung. Dazu
reichte es bereits im konkreten Fall, anonymisierte Reports von Facebook über
die Zugriffe auf die Fanpage anzufordern zu können.
In dem Urteil vom 10. Juli 2018 – C-25/17 – hat sich der
EuGH u. a. mit der gemeinsamen Verantwortlichkeit der Gemeinschaft der Zeugen
Jehovas und ihrer Mitglieder bei der Verkündungstätigkeit befasst und festgestellt,
dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine Gleichwertigkeit
der Verantwortlichkeit voraussetzt. Ferner sei nicht Voraussetzung, dass jeder
der Verantwortlichen auch Zugang zu den betreffenden personenbezogenen Daten
hat.
Diese Entscheidungen geben allgemein Anlass, Vertragsgestaltungen
im Hinblick auf die Notwendigkeit von Regelungen zur gemeinsamen Verantwortlichkeit
zu prüfen.
Für die Betreiber einer Facebook-Fanpage ist zu ergänzen, dass Facebook auf Druck der Aufsichtsbehörden zwar am 11. September 2018 ergänzende Bestimmungen („Insights-Ergänzung“) und Informationen („Insights-Informationen“) veröffentlicht hat, mit denen der Verantwortliche seinen Verpflichtungen aus Art. 26 DSGVO nachkommen solle.
Ihr Ansprechpartner im Datenschutzrecht: Dr. Stefan
Drewes, Tel.: 0228‑90248070,
E-Mail: drewes@privacy-advice.com