Joint Controllership & AV: Was ist was, und was bedeutet das?
Nach dem Konzept der Datenschutz-Grundverordnung (DSGVO) ist es unmöglich, dass es eine Datenverarbeitung ohne wenigstens einen Verantwortlichen gibt.
Die Rollen der beteiligten Akteure
Die Grundverordnung kennt im Kern zwei Datenverarbeiter:
- den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und
- den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO).
Verantwortlicher
Dreh- und Angelpunkt für die Rolle des Verantwortlichen ist Art. 4 Nr. 7 DSGVO:
Verantwortlicher ist danach, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
Treffen zwei oder mehr Verarbeiter die Entscheidung jeweils für sich, sind sie jeweils eigenständig Verantwortliche.
Treffen zwei oder mehr die Entscheidung aber gemeinsam(!), sind sie bereits kraft Art. 4 Nr. 7 DSGVO gemeinsam Verantwortliche.
Auftragsverarbeiter
Der Auftragsverarbeiter unterscheidet sich vom Verantwortlichen dadurch, dass er „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4 Nr. 8 DSGVO). Er entscheidet also nicht über Zweck und Mittel, sondern tut, was ihm der Verantwortliche als Auftraggeber vorgibt.
Die DSGVO geht aber nicht davon aus, dass, sobald zwei Datenverarbeiter beteiligt sind, entweder eine Auftragsverarbeitung oder eine Joint Controllership vorliegen muss. Die DSGVO kennt auch die Übermittlung von Daten zwischen zwei (Allein-)Verantwortlichen. Das ergibt sich eindeutig aus Art. 4 Nr. 7 DSGVO.
Gibt ein Vermieter einem Handwerker den Auftrag, bei einem Mieter etwas zu reparieren, tauschen sie personenbezogene Daten aus, ohne dass sie eine Auftragsverarbeitung oder eine Joint Controllership begründen. Dasselbe gilt für den Auftrag eines Möbelhauses an den Hersteller, direkt an einen Kunden zu liefern. Oder für den Auftrag des Kunden einer Content-Plattform an den Plattformbetreiber, bestimmte Nutzer einzurichten.
Die Unterscheidung hat grundlegende Auswirkungen, insbesondere auf die Vertragsgestaltung, die Informationspflichten gegenüber den betroffenen Personen sowie die Haftung und Bußgelder. Allein schon deshalb muss Klarheit herrschen! Es können sich vier verschiedene Kombinationen ergeben:
Allein-Verantwortliche, Joint Controllership oder Auftragsverarbeitung?
Von zwei Allein-Verantwortlichen, die Daten untereinander übermitteln, lässt sich ausgehen, wenn jeder mit den personenbezogenen Daten seine eigenen Zwecke verfolgt und seine Mittel selbst festlegt. Stellt ein Unternehmen einem anderen Adressdaten zu dessen eigener Briefpostwerbung zur Verfügung, entscheidet jeder für sich über Mittel und Zweck.
Entscheiden hingegen zwei Unternehmen gemeinsam über Zweck (Warum?) und Mittel (Wie?), dann sind sie bereits nach Art. 4 Nr. 7 DSGVO gemeinsam Verantwortliche.
Joint Controllership: Vertrag = Pflicht aus der gemeinsamen Entscheidung
Für diese Einordnung kommt es nicht darauf an, ob die Beteiligten eine Vereinbarung nach Maßgabe von Art. 26 DSGVO getroffen haben. Denn sie ist die Pflicht, die aus der gemeinsamen Entscheidung folgt.
Nach überwiegender Ansicht ist Art. 26 DSGVO auch keine Rechtsgrundlage für den Datenaustausch zwischen den Verantwortlichen. Es bleibt bei den Zulässigkeitsregelungen von Art. 6 DSGVO.
Auftragsverarbeitung: Vertrag = Voraussetzung für Verarbeitung
Entscheidet hingegen der eine Datenverarbeiter über Zweck und Mittel und verarbeitet der andere Datenverarbeiter demgemäß die personenbezogenen Daten, lässt sich das als Auftragsverarbeitung ausgestalten.
Voraussetzung für eine Auftragsverarbeitung ist eine Vereinbarung nach Art. 28 DSGVO. Ihr Kernelement ist die Weisungsgebundenheit des Auftragnehmers. Dann bedarf es nach überwiegender Meinung keiner Zulässigkeit nach Art. 6 DSGVO mehr, um den Auftragsverarbeiter in die Verarbeitung einzubinden. Fehlt diese Vereinbarung, liegt auch keine Auftragsverarbeitung vor.
PRAXIS-TIPP: Den „Guidelines on the concept of controller and processors in the GDPR“ (Diskussionsentwurf vom 02.09.2020, https://ogy.de/edpb-controller-processor) des EU-Datenschutzausschusses sowie den FAQ des LfDI Baden-Württemberg hierzu (https://ogy.de/faq-bw-controller-processor) lässt sich entnehmen, dass sich zwar aus einem Vertrag die Anhaltspunkte für die Ausgestaltung der Zusammenarbeit ergeben können.
Aber die Vertragsparteien können nicht bestimmen, wie die Regelungen der DSGVO anzuwenden sind. Mit anderen Worten: Ist es nach Maßgabe von Art. 4 Nr. 7 DSGVO eine Joint Controllership, dann können Vertragsparteien das nicht wirksam anders festlegen.
Beispiel Google Analytics
Der Unterschied lässt sich am Beschluss der Datenschutzkonferenz (DSK) vom 12.05.2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ verdeutlichen.
Nach Auffassung der Aufsichtsbehörden ist die Verarbeitung im Zusammenhang mit Google Analytics keine Auftragsverarbeitung gemäß Art. 28 DSGVO. Wer Google Analytics einsetzt, bestimme als Website-Betreiber nicht allein über die Zwecke und Mittel der Datenverarbeitung. Diese würde z.T. ausschließlich Google vorgeben, sodass Google insoweit selbst verantwortlich sei.
Hieran ändert sich nach Ansicht der DSK auch nichts, wenn die Parteien eine Vereinbarung über die Auftragsverarbeitung geschlossen hätten. Unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH) seien Google und der Google-Analytics-Anwender gemeinsam für die Datenverarbeitung verantwortlich. Daher müssten sie einen Vertrag nach Art. 26 DSGVO schließen.
Auftragsverarbeitung
Die Auftragsverarbeitung ist geprägt durch die Vereinbarung mit dem Inhalt von Art. 28 DSGVO und der Weisungsgebundenheit nach Art. 29 DSGVO in Bezug auf Zweck und Mittel der Datenverarbeitung. Fällt der Auftragsverarbeiter „aus seiner Rolle“ und trifft in Bezug auf Zweck und Mittel eine eigenständige Entscheidung, wird er selbst zum Verantwortlichen in Bezug auf diese konkrete Verarbeitung.
Die Mittel
Wo liegen aber nun die Grenzen zur eigenständigen Entscheidung? Überlässt der Auftraggeber dem Dienstleister die Entscheidung über technisch-organisatorische Fragen, sieht die DSK darin noch keine Einschränkung der alleinigen Verantwortlichkeit des Auftraggebers (siehe https://ogy.de/dsk-kpnr-13).
Der Diskussionsentwurf der erwähnten „Guidelines“ des EU-Datenschutzausschusses unterscheidet nach wesentlichen Mitteln, die dem Auftraggeber vorbehalten sind, und nicht wesentlichen Mitteln, die er dem Auftragsverarbeiter zur Entscheidung überlassen darf:
- Die „wesentlichen Mittel“ stehen in engem Zusammenhang mit Zweck und Umfang der Verarbeitung. Das betrifft z.B. die Art der personenbezogenen Daten, die Dauer der Verarbeitung, die Kategorien der Empfänger und die Kategorien der betroffenen Personen.
- Die „nicht wesentlichen Mittel“ beziehen sich eher auf die praktische Durchführung wie die Wahl einer bestimmten Hard- oder Software.
Detaillierte Sicherheitsmaßnahmen („detailed security“) sollen ebenfalls zu den nicht wesentlichen Mitteln gehören. Das sollte aber nicht so verstanden werden, dass der Auftraggeber die Festlegung nach Art. 32 DSGVO vollständig an den Auftragsverarbeiter delegiert – allein schon deshalb, weil er bei Fehlern haftet.
Die Zwecke
Mit Blick auf den Zweck gibt es immer wieder Abgrenzungsprobleme zu zwei Allein-Verantwortlichen. Denn auch wenn ein Datenempfänger personenbezogene Daten erhält, um einen Auftrag auszuführen, muss das nicht stets eine Auftragsverarbeitung sein.
Für die Abgrenzung ist entscheidend, ob die weisungsgebundene Verarbeitung der eigentliche Auftrag ist oder ob der eigentliche Auftrag darin besteht, Möbel an Endkunden auszuliefern oder eine tropfende Heizung zu reparieren.
Joint Controllership
Wann eine Joint Controllership vorliegt, ist stark durch drei Entscheidungen des EuGH geprägt. Während die EuGH-Entscheidungen „Facebook-Fanpage“ (Urteil vom 05.06.2018, C-210/16) und „Zeugen Jehovas“ (Urteil vom 10.07.2018, C-25/17) der Joint Controllership den Weg bereiteten, hat der EuGH in der Entscheidung „Fashion ID“ (Urteil vom 29.07.2019, C-40/17) die Anforderungen und Kriterien deutlicher konturiert sowie die Reichweite begrenzt.
Eine gemeinsame Entscheidung über den Zweck will der EuGH bereits dann annehmen, wenn jeder Beteiligte ein Eigeninteresse an der Verarbeitung hat. Das ist keine hohe Anforderung. Allein das Vergütungsinteresse bei einer Datenverarbeitung im Fremdinteresse wie bei der Auftragsverarbeitung reicht hingegen nicht.
Für die gemeinsame Entscheidung in Bezug auf das Mittel ist nach der EuGH-Rechtsprechung keine echte gemeinsame Entscheidungsfindung Voraussetzung. Ein Verursachungsbeitrag kann schon genügen. Hier muss jedoch vorhersehbar sein, dass das Tun beiträgt. Der EuGH hat dies in der Fashion-ID-Entscheidung für das Facebook-Plug-in und die DSK für die Einbindung von Google Analytics auf Internetseiten bejaht.
Keine Voraussetzung ist nach Ansicht des EuGH, dass alle Beteiligten Zugang zu den Daten haben. Der EuGH hat auch klargestellt, dass keine gleiche Entscheidungsmacht oder Gleichrangigkeit in Bezug auf die Entscheidung erforderlich ist.
Eine der wichtigsten Aussagen des EuGH in der Entscheidung „Fashion ID“ ist, dass in Bezug auf die gemeinsame Entscheidung eine Unterscheidung nach Verarbeitungsschritten erfolgen kann. Das bedeutet, dass es Verarbeitungen geben kann, die einer Joint Controllership vor- und nachgelagert sind und bei denen nur einer der Beteiligten Allein-Verantwortlicher ist. Hier lässt sich z.B. unterscheiden zwischen Erhebung und Übermittlung sowie der weiteren Verarbeitung.
Haftung und Geldbußen
Eine Fehleinschätzung der Konstellation führt zunächst dazu, dass die Verarbeitung nicht DSGVO-konform ist. Das kann zu Geldbußen führen, wenn die Beteiligten dies schuldhaft – weil beispielsweise zu grobschlächtig – falsch bewerten.
Eine falsche Einordnung kann zudem zu unerkannten Haftungslagen führen: Ist eine Joint Controllership doch eine Auftragsverarbeitung, kommt der Dienstleister nicht in den Genuss der Haftungserleichterung des Auftragsverarbeiters (Art. 82 Abs. 2 Satz 2 DSGVO).
Umgekehrt bei einer unzutreffend bejahten Auftragsverarbeitung statt einer Allein-Verantwortlichkeit: Die Schadenersatzhaftung des Verantwortlichen erstreckt sich dann auch auf den vermeintlichen Auftragsverarbeiter (Art. 82 Abs. 4 DSGVO und § 278 BGB).
Fazit: klarer, aber weiter komplex
Die Abgrenzung ist durch die EuGH-Rechtsprechung und die zu erwartenden Guidelines des EU-Datenschutzausschusses klarer, aber nicht weniger komplex geworden. Wer die Abgrenzung strukturiert und differenziert angeht, kann sie allerdings bereits jetzt recht gut vornehmen.