| – | Erforderlich für die Annahme einer gemeinsamen Verantwortlichkeit ist, dass ein Verantwortlicher die Datenverarbeitung ermöglicht und die Parameter für die Verarbeitung vorgibt und diese somit beeinflusst oder dass die Datenverarbeitung zumindest im Interesse des einen Verantwortlichen erfolgt.[367] |
| – | Nicht erforderlich ist, dass alle Akteure Zugang zu den verarbeiteten personenbezogenen Daten haben, gleichwertige Beiträge erbringen oder schriftliche Anleitungen oder Anweisungen vornehmen.[368] |
| – | Jeder der gemeinsam Verantwortlichen muss sich auf einen eigenen Rechtfertigungstatbestand der DS-GVO für die Verarbeitung der personenbezogenen Daten berufen können.[369] |
| – | Bei vor- oder nachgelagerten Verarbeitungen personenbezogener Daten beschränkt sich die gemeinsame Verantwortlichkeit auf das Glied in der Verarbeitungskette, auf das der jeweilige Verantwortliche Einfluss nimmt, indem er über Zwecke und Mittel der Datenverarbeitung entscheidet.[370] |
148
Diesen Leitlinien ist auch der Europäische Datenschutzbeauftragte (EDSB) in seinen „Guidelines on the concepts of controller, processor and joint controllership und der Regulation (EU) 2018/1725“ v. 7.11.2019 gefolgt.[371]
149
Um der Komplexität der heutigen tatsächlichen Gegebenheiten der Datenverarbeitung hinreichend Rechnung zu tragen, ist der Begriff „gemeinsam“ daher nicht nur als gemeinsame Entscheidung über eine Verarbeitung und als gemeinsame Verantwortung, sondern vielmehr als „zusammen mit“ oder „nicht alleine“ in unterschiedlichen Spielarten und Fallgestaltungen auszulegen.[372] Entscheidend ist im Ausgangspunkt die Feststellung einer gemeinsamen Datenverarbeitung wobei der Bewertung ein sachbezogener und funktioneller Ansatz zugrunde zu legen ist. So ist letztlich ausschlaggebend, ob mehr als ein Akteur über Zwecke und Mittel der Verarbeitung entscheidet.[373] Dabei ist entsprechend der Rechtsprechung ein weites Begriffsverständnis zugrunde zu legen.
150
Folglich ist es im Rahmen einer zunehmenden Arbeitsteilung und komplexer Arbeits- und Geschäftsprozesse wichtig, dass Rollen und Verantwortlichkeiten im Rahmen einer klaren Organisationsstruktur durch Rechte- und Rollenkonzepte leicht zuzuordnen sind, so dass es im Falle einer gemeinsamen Verantwortlichkeit nicht zu einer Beeinträchtigung der Wirksamkeit des Datenschutzes kommt.[374] Zu den Pflichten aus Art. 26 im Einzelnen vgl. die dortige Kommentierung.
151
Schließt bspw. der Eigentümer eines Gebäudes zur Installation von Videoüberwachungskameras einen Vertrag mit einem Sicherheitsunternehmen ab, so liegt die Entscheidung über die Zwecke der Videoaufzeichnung und die Art und Weise, wie die Aufnahmen erfasst und gespeichert werden bei dem Gebäudeeigentümer. Insofern ist er als alleiniger Verantwortlicher anzusehen.[375] Demgegenüber hat das AG Mannheim entschieden, dass im Rahmen einer Wohnungseigentümergemeinschaft diese durch Bestellung eines Verwalters über das „Wie“ und „Warum“ der Datenverarbeitung entscheide.[376] Der Verwalter bestimme aber in der Folge das „Wie“ und das „Warum“ der Erhebung und Verarbeitung der personenbezogenen Daten.[377] Insofern bestehe letztlich eine gemeinsame Verantwortlichkeit.
152
Darüber hinaus ist zu beachten, dass aus der Tatsache, dass Akteure im Sinne einer Kette hinsichtlich der Verarbeitung personenbezogener Daten zusammenarbeiten und Daten übermitteln, noch nicht folgt, dass sie gemeinsam Verantwortliche sind. Dies hat der EuGH in der Rs. Fashion ID nunmehr ausdrücklich bestätigt.[378] Neben dem durch das Gericht entschiedenen Fall kommen dabei etwa folgende Fallgestaltungen in Betracht: Leitet etwa ein Reisebüro Kundendaten an eine Fluggesellschaft oder ein Hotel weiter, werden diese dadurch nicht gemeinsam Verantwortliche, sondern bleiben jeweils eigenständig als für die Datenverarbeitung Verantwortliche anzusehen.[379] Diese Beurteilung ändert sich, wenn das Reisebüro, die Fluggesellschaft und das Hotel beschließen, zur einfacheren Abwicklung der Reise eine gemeinsame Internetplattform einzurichten und insofern hinsichtlich der Datengewinnung und Auswertung – z.B. im Rahmen von gemeinsamen Werbeaktionen – zusammenarbeiten. Dadurch werden die verschiedenen Akteure zu gemeinsam für die Datenverarbeitung Verantwortlichen.[380]
c) Entscheidungsbefugnisse über Zweck und Mittel
153
War nach § 3 Abs. 7 BDSG a.F. noch die Zweckbestimmung der Datenverarbeitung das wesentliche Abgrenzungsmerkmal des Verantwortlichen, so ist dies nach Art. 4 Nr. 7 nunmehr die Entscheidung über Zweck und Mittel der Verarbeitung personenbezogener Daten. Mangels weiterer Ausführungen in der DS-GVO sowie im BDSG ist somit als Auslegungshilfe auch hier das WP 169 der Art.-29-Datenschutzgruppe sowie die Rechtsprechung des EuGH[381] heranzuziehen:[382] Danach ist der Zweck ein „erwartetes Ergebnis, das beabsichtigt ist oder die geplanten Aktionen leitet“ und das Mittel die „Art und Weise, wie ein Ergebnis oder Ziel erreicht wird“.[383] Insoweit ist im Wege einer kontextbezogenen Betrachtung zu prüfen, wer die Zwecke und Mittel der Verarbeitung, d.h. das Ob, Warum und Wie der Verarbeitung der personenbezogenen Daten festlegt.[384] Dabei ist ausschlaggebend, wie detailliert jemand über Zwecke und Mittel entscheidet und welchen Handlungsspielraum er etwa einem vom Verantwortlichen abzugrenzenden Auftragsverarbeiter[385] einräumt.[386] Dabei kann für die Bestimmung des Verantwortlichen die Entscheidung über Zweck oder Mittel jeweils unterschiedlich im Vordergrund stehen.[387] Als Abwägungskriterien können etwa das Weisungsrecht des Verantwortlichen gegenüber dem Auftragsverarbeiter, die Kontrollmöglichkeiten gegenüber dem Auftragsverarbeiter oder die Abgrenzung der verschiedenen Handlungsspielräume dienen.[388] Letztlich ist zu fragen, wer entscheidet, warum eine Verarbeitung erfolgt und dabei die Rolle und mögliche Beteiligung der jeweiligen Akteure festlegt. Die Entscheidung über die Mittel beinhaltet sowohl technische als auch organisatorische Fragen.[389]
154
Insgesamt folgt die Prüfung, wer über Zwecke und Mittel entscheidet einem kontextbezogenen und pragmatischen Ansatz. Gerade im Rahmen von Datenverarbeitungsprozessen wird etwa das beauftragende Unternehmen zwar über die Zwecke der Verarbeitung entscheiden, demgegenüber besitzt das beauftragte Unternehmen das erforderliche Spezialwissen und trifft somit die Entscheidung hinsichtlich der Mittel der Datenverarbeitung. Daraus folgt, dass die Entscheidung über die Zwecke der Datenverarbeitung stets einen aussagekräftigen Rückschluss auf die Stellung als Verantwortlicher zulässt, während die Entscheidung über die Mittel auch einem vom Verantwortlichen abzugrenzenden Auftragsverarbeiter zufallen kann.[390]
d) Abgrenzung zur Auftragsverarbeitung
155
Das weite Begriffsverständnis von Art. 4 Nr. 7, das der EuGH in seiner Rechtsprechung[391] etabliert hat, wirft die Frage auf, welcher Anwendungsbereich noch für eine Auftragsverarbeitung verbleibt und unter welchen Voraussetzungen ein Akteur als Dritter bzw. Empfänger von personenbezogenen Daten i.S.d.
