EU-DSGVO
LfDI-BW-Vertragsmuster formuliert gemeinsame Verantwortlichkeit

© Wilm Ihlenfeld – Fotolia

Neben der Auftrags­verarbeitung sieht die Daten­schutz-Grund­verordnung (DSGVO) auch Regelungen für den Fall vor, dass mehrere Akteure gemein­sam für Ver­arbeitungen im Zu­sammen­hang mit per­sonen­bezogenen Daten ver­antwort­lich sind („Joint Con­troller­ship“). Diese Ver­antwortung ver­trag­lich zu fixieren, ist aller­dings nicht ganz leicht.

Gemäß Art. 26 Abs. 1 DSGVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Der „Verantwortliche“ wird in Art. 4 Nr. 7 DSGVO definiert. In diesem Sinne bedingt eine gemeinsame Verantwortlichkeit, dass zwei oder mehrere Verantwortliche gemeinsam personenbezogene Daten verarbeiten.

Die Aufsichtsbehörden haben sich bisher nur in wenigen Veröffentlichungen mit diesem Thema beschäftigt, obwohl die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ schon in richtungs­weisenden Gerichts­entscheidungen jüngerer Zeit eine zentrale Rolle gespielt hat. So entschied der Europäische Gerichtshof (Urteil vom 29.07.2019, Az. C-40/17), dass die Seitenbetreiber für Erhebung und Übermittlung von Daten durch Facebooks Like-Button mitverantwortlich sind. Der EuGH argumentiert, die Einbindung des Buttons erlaube es dem Beklagten, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werde. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID „zumindest stillschweigend“ der Erhebung personenbezogener Daten der Website-Besucher zugestimmt habe.

Die Frage, wie eine vertragliche Vereinbarung zwischen den beteiligten Verantwortlichen eigentlich auszugestalten sei, hat seit Bekanntwerden des Art. 26 DSGVO bei vielen Verantwortlichen Verunsicherung ausgelöst. Lediglich das Kurzpapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO“ der Datenschutz­konferenz unternahm den Versuch, den Begriff und die mit dem Thema zusammen­hängenden Abgrenzungsfragen aufzuarbeiten. Die noch weiterhin bestehenden Unsicherheiten rund um diese Rechtsfigur versucht der LfDI BW auszuräumen und stellt ein Vertrags­muster zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zur Verfügung. Dieses Muster wurde auf Grundlage gemeinsamer Überlegungen mit einer Reihe von Unternehmen und öffentlichen Stellen entwickelt.

Von Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München