AVV, JCA oder beides?
Seit Dezember 2023 hat der EuGH in gleich drei Entscheidungen zur gemeinsamen Verantwortlichkeit (Joint Control = „JC“) von mehreren datenverarbeitenden Akteuren Stellung genommen und uns damit die neue Formel „3 + 3“ beschert. Die Praxis steht weiterhin vor der Herausforderung, die datenschutzrechtliche Rollenverteilung zwischen mehreren an einer Datenverarbeitung beteiligten Akteuren zutreffend zu bestimmen, da der Nicht-Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Control Agreement = „JCA“) beziehungsweise eines Auftragsverarbeitungsvertrags („AVV“) bußgeldbewehrt ist undSchadensersatzansprüche Betroffener auslösen kann.
Der vorliegende Beitrag beleuchtet die neue Rechtsprechung des EuGH und mögliche Lösungsansätze.
I. Basics und Bußgelder
Art. 26 Abs. 1 S. 1 DSGVO beschreibt die Voraussetzungen der gemeinsamen Verantwortlichkeit wie folgt: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“ Diese gemeinsame Verantwortlichkeit bedingt nach S. 2 die Pflicht zum Abschluss „einer Vereinbarung in transparenter Form“ in der die Parteien festlegen müssen, „wer von ihnen welche Verpflichtungen gemäß dieser Verordnung erfüllt“.
Gemeinsam Verantwortlicher kann nur sein, wer für sich genommen bereits verantwortlich für eine Datenverarbeitung ist, also nach Art. 4 Nr. 7 DSGVO die Zwecke und Mittel der Verarbeitung (mit-)bestimmt. Diese Zweck– und Mittelfestlegung ist Kern der Abgrenzung zur Auftragsverarbeitung. Auch nach dem für die Auftragsverarbeitung einschlägigen Art. 28 Abs. 3 DSGVO ist ein Vertrag abzuschließen.
Wurde ein solcher Auftragsverarbeitungsvertrag nicht abgeschlossen, drohen Bußgelder. Ein Bußgeld droht auch für den Fall, dass kein Vertrag über die gemeinsame Verantwortlichkeit abgeschlossen wurde. Es ist also relevant, nicht nur irgendeinen Vertrag – oder aus Gewohnheit einen AVV abzuschließen – sondern die im konkreten Fall zutreffende Konstellation abzubilden, da damit jeweils eigenständige Pflichtenkatalogeeinhergehen.
Nach Art. 83 Abs. 4 lit. a DSGVO können alle gemeinsam Verantwortlichen für die Missachtung der in Art. 26 DSGVO genannten Voraussetzungen belangt werden. Dies gilt insbesondere für den Fall, dass das erforderliche JCA nicht vorliegt. Auch Schadensersatzansprüche Betroffener können die Folge sein. Die Frage des Abschlusses des „richtigen“ Vertrages ist damit insbesondere für Unternehmen eine ganz wesentliche.
Konkrete Beispiele der jüngsten Zeit aus einer Vielzahl gleichgelagerter Fälle sind ein Bußgeld in Höhe von 50.000 Euro durch den LDA Brandenburg gegen ein Unternehmen, welches für die Erteilung einer Auskunft nach Art. 15 DSGVO einen Dienstleister einsetzte und mit diesem keinen AVV abgeschlossen hatte. Der Hamburgische BfDI verhängte zuletzt ein Bußgeld in Höhe von 13.000 Euro aufgrund des Nichtvorhandenseins eines JCA zwischen mehreren, rechtlich selbstständigen Gruppenunternehmen, welche eine gemeinsame Kundendatenbank betrieben.
Hinzuweisen ist in diesem Zusammenhang zudem darauf, dass mit dem derzeit in Planung befindlichen § 40a BDSG-RefE 2023 eine einheitliche und innerdeutsche Zuständigkeit einer einzelnen Aufsichtsbehörde auf Antrag bei dem umsatzstärkeren Unternehmen der gemeinsam Verantwortlichen ermöglicht werden soll.
II. Blinder Fleck: JC?
Die gemeinsame Verantwortlichkeit fristete in Deutschland bis zum Inkrafttreten der DSGVO ein Schattendasein. Das BDSG a.F. kannte diesen Begriff schlichtweg nicht, was daran lag, dass das Gesetz nicht an die Vorgaben der DSRL angepasst wurde. Die gemeinsame Verantwortlichkeit war damit ein weitestgehend blinder Fleck im deutschen rechtswissenschaftlichen Diskurs, muss jedoch allerspätestens im Hinblick auf die aktuelle Rechtsprechung des EuGH verstärkt in den Blick genommen werden.
III. Shed light: 3+3 Entscheidungen
Die Entscheidungen des EuGH zur gemeinsamen Verantwortlichkeit lassen sich in zwei Phasen einteilen. Eine frühe Phase, deren Entscheidungen noch auf der Grundlage der alten DSRL, aber bereits zur Zeit der Geltung der DSGVO ergangen sind, und drei sehr aktuelle Entscheidungen, in die der EuGH bereits einen Teil der DSGVO-Praxis hat einfließen lassen. Oder hätte einfließen lassen müssen.
IV. Die frühen 3
Wirtschaftsakademie („Facebook-Fanpages“; EuGH Urt. v. 5.6.2018 – C-210/16): Danach genügt für die Annahme einer gemeinsamen Verantwortlichkeit die kausale Ermöglichung der Datenverarbeitung durch einen Akteur. Die Beteiligung an der Entscheidung eines anderen über die Zwecke sowie Mittel der Datenverarbeitung sei bereits beim Zulassen einer Parametrierung (z.B. in Form der Modifizierung von Einstellungen zu bestimmten Zielgruppen) gegeben. Dabei ist nicht erforderlich, dass alle Verantwortlichen überhaupt Zugang zu den personenbezogenen Daten haben.
Zeugen Jehovas (EuGH Urt. v. 10.7.2018 – C-25/17): Es ist nicht erforderlich, dass alle Verantwortlichen in gleicher Weise und gleichem Umfang Beiträge zur fraglichen Datenverarbeitung leisten. Es reicht bereits ein Eigeninteresse an der Mitwirkung an der konkreten Verarbeitung aus. Es bedarf auch keiner Anleitung oder Anweisung, um einen derartigen Einfluss auf die Verarbeitung anzunehmen, der eine gemeinsame Verantwortung begründet.
Fashion ID (EuGH Urt. v. 29.7.2019 – C-40/17): Zunächst bestätigt der EuGH die beiden vorgenannten Entscheidungen dahingehend, dass es für eine gemeinsame Verantwortlichkeit ausreicht, wenn ein gewisser Einfluss auf und eine gewisse Mitwirkung an der Entscheidung über die Zwecke oder Mittel der Datenverarbeitung bejaht werden kann und bei der Datenverarbeitung übereinstimmende eigene Interessen verfolgt werden. Ein Zugriff auf die Daten ist dann nicht mehr erforderlich und die Beiträge können dann auch in unterschiedlichen Phasen erfolgen und müssen nicht gleichwertig sein.
In Anlehnung an die Definition der Verarbeitung in Art. 2 lit. b DSRL, die weitgehend Art. 4 Nr. 2 DSGVO entspricht, wird darauf abgestellt, dass ein einheitlicher Lebensvorgang aus einer Reihe von Verarbeitungsvorgängen bestehen kann. Eine Stelle ist danach nur für diejenigen Vorgänge als gemeinsam Verantwortlicher anzusehen, für die sie an der Entscheidung beteiligt ist.
V. Die neuen 3
Die drei „alten“ Urteile prägten Diskussion und Praxis im datenschutzrechtlichen Diskurs maßgeblich, nun sind innerhalb kürzester Zeit drei neue Urteile zum Thema aus Luxemburg gekommen, die künftig bei der Frage, ob ein Fall der gemeinsamen Verantwortlichkeit im Sinne von Art. 26 DSGVO vorliegt, in die Überlegungen einzubeziehen sind.
Nacionalinis visuomenės sveikatos centras (“Fashion ID 2.0”; EuGH Urt. v. 5.12.2023 – C-683/21): Eine Akteur, der ein Unternehmen mit der Entwicklung einer mobilen IT-Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der mittels der Anwendung erfolgenden Verarbeitung personenbezogener Daten mitgewirkt hat, kann als für die Verarbeitung Verantwortlicher angesehen werden, auch wenn der beauftragende Akteur selbst keine Verarbeitung personenbezogener Daten vornimmt, keine ausdrückliche Einwilligung in die Durchführung der konkreten Verarbeitungsvorgänge oder in die Bereitstellung der mobilen Anwendung für die Öffentlichkeit erteilt und die mobile Anwendung nicht erworben hat.
Danach genügt also bereits die rein tatsächliche Veranlassung eines anderen Akteurs zur Datenverarbeitung, um einen Beitrag zur Entscheidung über die Zwecke und Mittel zu bejahen. Ganz zentral ist darüber hinaus die Aussage des EuGH, dass „die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind“. Sprich: datenschutzrechtliche Vertragswerke, egal ob AVV oder JCA, wirken nicht konstitutiv – entscheidend sind immer die tatsächlichen Umstände der Datenverarbeitung, die allein maßgeblich für die datenschutzrechtliche Rollenkonstellation sind.
Moniteur belge (EuGH Urt. v. 11.1.2024 – C-231/22): In dem Urteil führt der EuGH aus, unter welchen Voraussetzungen ein Datenverarbeiter, der nicht selbst über die Mittel und Zwecke der von ihm vorgenommenen Datenverarbeitung entscheiden kann, aufgrund einer Vorgabe der Zwecke und Mittel dieser Datenverarbeitung durch nationales Recht (dennoch) als insoweit Verantwortlicher im Sinne des Art. 4 Nr. 7 2. Hs DSGVO anzusehen ist. Spannend an der Entscheidung ist, dass der EuGH seine Rechtsprechung zur privatautonomen Zweck/Mittelfestlegung auf die gesetzliche Vorzeichnung von Zweck und Mittel überträgt.
IAB Europe (EuGH Urt. v. 7.3.2024 – C-604/22): Neben Äußerungen zum Personenbezug des streitgegenständlichen „Transparency & Consent Framework“ (TCF) stellt der EuGH in seinem Urteil fest, dass das TCF ein Rahmen für die Mitglieder des IAB Europe (ein Verband in Belgien, der die digitale Werbeindustrie auf europäischer Ebene vertritt) und technische Spezifikationen vorgebe, die das Einholen einer Einwilligung und die Erhebung und Bearbeitung weiterer Daten beeinflusse. Daher sei davon auszugehen, dass IAB Europe aus Eigeninteresse auf die Verarbeitung Einfluss nehme und damit gemeinsam mit seinen Mitgliedern auch die Mittel festlege – also von gemeinsamer Verantwortlichkeit im Sinne des Art. 26 DSGVO. Zudem bestätigt der EuGH neuerlich, dass jeder einzelne der Verantwortlichen für sich genommen die Definition des “Verantwortlichen” erfüllen muss, dabei ist ein Zugang zu den personenbezogenen Daten jedoch nicht erforderlich ist, solange sich die Entscheidungen der zusammenwirkenden Akteure jeweils auf die Zwecke und Mittel der Verarbeitung auswirken.
VI. 3+3: Zusammenfassung
Der EuGH fasst den Begriff der gemeinsamen Verantwortlichkeit damit sehr weit. Ob sich der EuGH bei der Auslegung der Figur der geschäftsähnlichen Handlung bedient, bleibt offen; jedoch nähert er sich in seiner Rechtsprechung stark diesem Konstrukt an. Letztlich ist das auch nicht verwunderlich, wenn hierin doch eine allen mitgliedstaatlichen Rechtsordnungen immanente Form rechtserheblichen Handelns liegt, wie ein Blick in Art. 1:107 Principles of European Contract Law und Art. 10 Abs. 1 S. 2 Vorschlag für ein Gemeinsames Europäisches Kaufrecht nahelegt.
Sobald mehrere (d.h. mindestens zwei) Akteure an einer Datenverarbeitung beteiligt sind, ist eine saubere Abgrenzung zur Auftragsverarbeitung vorzunehmen. Eine gemeinsame Verantwortung im Sinne des Art. 26 DSGVO ist im Regelfall anzunehmen, wenn die folgenden Voraussetzungen vorliegen.
• Jeder Akteur erfüllt für sich genommen die Definition des “Verantwortlichen” nach Art. 4 Nr. 7 DSGVO
• Jeder Akteur hat einen gewissen Einfluss auf und Mitwirkung an der Entscheidung über Zwecke oder Mittel der Datenverarbeitung
• Entscheidend sind die tatsächlichen Umstände der Datenverarbeitung – der Abschluss eines JCA oder einer AVV wirken nicht konstitutiv
• Die kausale Ermöglichung der Datenverarbeitung durch den jeweils anderen Akteur ist für die Entwicklung der Verantwortlichkeit des anderen Akteurs hin zu einer gemeinsamen Verantwortlichkeit ausreichend
• Nicht erforderlich ist, dass alle Akteure Zugriff auf die personenbezogenen Daten haben
• Nicht erforderlich ist, dass alle Verantwortlichen in gleicher Weise und gleichem Umfang Beiträge zur fraglichen Datenverarbeitung leisten
• Diese Aussagen sind auf die gemeinsame Verantwortlichkeit, die sich mittelbar aus Gesetz ergeben kann, übertragbar.
VII. Data Sharing Agreements
Ein Instrument, das im angelsächsischen Raum bereits zum Standard gehört, kann insbesondere bei komplexen Datenverarbeitungskooperationen mit unterschiedlichen Rollenaufgaben und aufeinanderfolgenden Tätigkeiten helfen, die Problematik zu entschärfen: Das Data Sharing Agreement.
Gerade in Fällen mehrerer Verarbeitungstätigkeiten, denen unter Umständen auch unterschiedliche Phasen mit differenzierenden tatsächlichen Einwirkungsbeiträgen der Akteure innewohnt, ist für jede einzelne zu bewerten, unter welche der beiden Rollen ein Akteur fällt. Das kann für Unternehmen schmerzhaft werden, wenn sie ihre datenschutzrechtliche Rolle fälschlich als Auftragsverarbeiter oder als gemeinsame Verantwortlichkeit eingestuft haben. Hier drohen nach Art. 83 Abs. 4 in Verbindung mit Art. 26 bzw. 28 DSGVO empfindliche Bußgelder. Bestehen also mehrere Verarbeitungstätigkeiten, die unterschiedliche Bewertungen der datenschutzrechtlichen Rollen zulassen, ist für jede einzelne ein Vertrag abzuschließen, um nicht haftbar zu sein. Wird ein Fehler hierbei gemacht, besteht kein bzw. nicht der richtige Vertrag.
Data Sharing Agreements, die sämtliche Verarbeitungstätigkeiten – sei es als Auftragsverarbeiter oder Verantwortlicher – zwischen den gleichen Unternehmen abbilden, können helfen dieses Risiko abzufedern. Mittels eines allgemeinen Teils für gleichartige Pflichten aus Artt. 26 und 28 DSGVO und einen jeweils speziellen Teil für die jeweilige JC- bzw. AV-Konstellation werden die Pflichtinhalte in einem Rahmendokument abgebildet. Die einzelnen Verarbeitungstätigkeiten können sodann in einem Anhang aufgelistet werden.
Der Vorteil: Die datenschutzrechtlichen Grundpflichten bleiben vertraglich festgehalten. Sollte etwa eine Aufsichtsbehörde zu dem Ergebnis gelangen, dass eine Datenverarbeitung fälschlich als AV oder JC klassifiziert wurde, kann dies durch eine einfache Änderung korrigiert werden – die Betroffenenrechte bleiben aufgrund des Regelungsumfangs des Vertragswerkes gewahrt. Da zwischen den Unternehmen bereits beide Strukturen (AV und JC) bestehen, dürfte es auch keinen erheblichen Verwaltungsaufwand darstellen, die Dokumentation umzustellen. Gleichzeitig kann der Aufsichtsbehörde ein schnelles Mitwirken bescheinigt werden, wobei die Schwere des Verstoßes ohnehin schon als geringer einzustufen sein dürfte, da die Pflichten bereits – wenn auch falsch zugeordnet – vertraglich festgehalten sind.
Sprechen Sie uns gerne an, so Sie diesbezüglich Beratungsbedarf haben unter lewald@haerting.de!