Gemeinsam Verantwortliche: Mitgehangen, mitgefangen?

Dr. Carlo Piltz
Chefredakteur
Datenschutz-Berater

Keine Entscheidung hat die gemeinsame Verantwortlichkeit bei der Verarbeitung personenbezogener Daten mehr geprägt als die Facebook Fanpage-Entscheidung des Europäischen Gerichtshofs (EuGH). Am 5. Juni 2018, also vor einem Jahr, entschied der EuGH, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Ein Raunen ging durch die Reihen von Datenschutz-Experten. Wie soll eine rechtmäßige Verarbeitung von dem Betreiber gewährleistet werden können? Der nächste Knall zur gemeinsamen Verantwortlichkeit aus Luxemburg war die Zeugen Jehovas-Entscheidung vom 10. Juli 2018: Die Religionsgemeinschaft ist gemeinsam mit ihren als Verkündiger tätigen Mitarbeiter für die Verarbeitung der personenbezogenen Daten verantwortlich, die im Rahmen einer von Tür zu Tür durchgeführten Verkündigungstätigkeit erhoben werden. Unabhängig davon, ob die Gemeinschaft Zugriff auf die Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu dieser Datenverarbeitung gegeben hat.

Nun – ein Jahr später – besteht immer noch keine Sicherheit in der Abgrenzung, wann und wie eine gemeinsame Verantwortlichkeit vorliegt und was dabei vertraglich und „DSGVO-konform“ zu regeln ist. Nicht einmal insoweit, dass die eigene Haftung, zum Beispiel bei Datenschutzverletzungen, realistisch eingeschätzt werden kann. Die DSK rät aktuell gänzlich von dem Betrieb einer Fanpage ab: „Solange diesen [Rechenschafts-] Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich“.

Dass die Praxis auch bezüglich der Gestaltung der anderen datenschutzrechtlichen Zusammenarbeit – nämlich der Auftragsverarbeitung – kontrovers diskutiert, zeigt Christopher Jahn in seinem Artikel „Die Auftragsverarbeitung in der Vertragsgestaltung“ in der aktuellen Ausgabe ab Seite 131. Er selbst nennt es „eine[n] echten Nebenkriegsschauplatz vieler Dienstleistungsverträge“. Eine Übertreibung ist das bei Wahrem nicht. Spätestens, wenn es um die Haftung im Innenverhältnis geht, beginnt das Feilschen zwischen den Vertragsparteien.

Dass auch ein unzureichender bzw. fehlender Auftragsverarbeitungsvertrag zu einem Bußgeld führen kann, offenbarte ein bekannt gewordenes Vorgehen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Eher bekannt unter dem Adressaten des Bußgeldbescheids – „Kolibri Image“. Das Versand-Unternehmen soll zum Zeitpunkt der Bekanntmachung des Bescheides mit einem Logistik-Unternehmen in Hessen ohne eine Auftragsverarbeitungsvereinbarung zusammengearbeitet haben. Der Protest war groß, denn Kolibri-Image hatte zuvor bei der Hessischen Behörde um Rat wegen der fehlenden Vereinbarung gebeten und dann noch vor dem Bescheid die Zusammenarbeit eingestellt. Nach dem öffentlichen Druck und einer gründlichen Recherche des HmbBfDI hat dieser den Bescheid dann zurückgenommen.

Dies war allerdings nur eines von vielen Bußgeldern. Philipp Quiel und Dr. Johanna M. Hofmann haben die verschiedenen Berichte der Aufsichtsbehörden unter die Lupe genommen und bisher 100 Bußgelder im ersten Jahr der DSGVO feststellen können. Ihr Resümee können Sie auf Seite 139 lesen. Dabei ist neben der Höhe der Bußgelder auch ihre Auflistung der bisher bußgeldbewehrten Verhaltensweisen für die Praxis besonders interessant.

Es bleibt also weiter spannend im Datenschutzrecht. In diesem Sinne wünsche ich Ihnen eine anregende und für Ihre Praxis wertvolle Lektüre.

Ihr

Dr. Carlo Piltz