Gemeinsame Verantwortung beim Lettershopverfahren – praktische Konsequenzen der EUGH-Rechtsprechung zu den „Fanpages“ und „Zeugen Jehovas“
Einleitung
Mit der „Fanpage“-Entscheidung (Urteil vom 05.06.2018 – C-210/16) und der „Zeugen Jehovas“-Entscheidung (Urteil vom 10.07.2018 – C-25/17) hat der EuGH 2018 richtungsweisende Entscheidungen zum Datenschutz getroffen. Der vorliegende Beitrag untersucht, welche allgemeingültigen Aussagen sich aus den beiden Entscheidungen ableiten lassen und welche Konsequenzen sich daraus für die Datenschutzpraxis in Unternehmen ergeben.
„Fanpage“-Entscheidung des EuGH
In seiner „Fanpage“-Entscheidung befasste sich der EuGH mit der praxisrelevanten Frage, wann eine Stelle als Verantwortlicher im Sinne des Datenschutzrechts anzusehen ist. Die Entscheidung des EuGH, die noch auf der Datenschutzrichtlinie 95/46/EG basierte, lässt sich auch auf die aktuelle Rechtslage unter der DS-GVO übertragen. Der Begriff des „für die Verarbeitung Verantwortlichen“ wurde weit gefasst, sodass jede Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, als Verantwortlicher gilt. Dies schließt auch den Betreiber einer Facebook-Fanpage ein, der durch die Parametrierung seiner Seite an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt ist. Dabei ist es unerheblich, ob alle beteiligten Stellen Zugang zu den betreffenden personenbezogenen Daten haben. Die Verantwortung kann unterschiedlich stark ausgeprägt sein und ist unter Berücksichtigung der Umstände des Einzelfalls zu beurteilen.
„Zeugen Jehovas“-Entscheidung des EuGH
Auch in der „Zeugen Jehovas“-Entscheidung des EuGH wurde das Thema der gemeinsamen Verantwortung aufgegriffen. Der EuGH entschied, dass eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung personenbezogener Daten verantwortlich ist, die im Rahmen der Verkündigungstätigkeit von Tür zu Tür erhoben werden. Die Verantwortung der Gemeinschaft besteht, obwohl die Verarbeitung nicht direkt von ihr durchgeführt wird, da sie die Tätigkeit organisiert, koordiniert und dazu ermuntert. Auch hier wird keine schriftliche Anleitung zur Verarbeitung vorausgesetzt, sondern es genügt der Einfluss der Gemeinschaft auf die Zwecke und Mittel der Verarbeitung. Darüber hinaus stellte der EuGH klar, dass der Begriff der „Datei“ auch dann erfüllt ist, wenn personenbezogene Daten so strukturiert sind, dass sie leicht wiederauffindbar sind, unabhängig davon, ob sie in spezifischen Ordnungssystemen wie Kartotheken organisiert sind.
Fazit
Die EuGH-Entscheidungen könnten in der Praxis zu einer Ausweitung der Fälle führen, in denen eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO anzunehmen ist. Bereits geringe Beiträge zu einer fremden Datenverarbeitung können eine solche Verantwortung begründen. Für Unternehmen bedeutet dies, dass auch Konstellationen, in denen unternehmenseigene personenbezogene Daten für Werbemaßnahmen anderer genutzt werden, unter Art. 26 DS-GVO fallen können. Praktisch müssen Unternehmen in solchen Fällen Vereinbarungen nach Art. 26 DS-GVO treffen, um klar festzulegen, wer welche Verpflichtungen übernimmt, insbesondere hinsichtlich Betroffenenrechte und Informationspflichten. Auch die Aussagen des EuGH zum sachlichen Anwendungsbereich der DS-GVO machen deutlich, dass selbst bei minimaler Strukturierung personenbezogener Daten diese unter die Verordnung fallen können. Dies ist insbesondere in gut organisierten Unternehmen relevant, wo fast jede Form der Datenverarbeitung den Anforderungen der DS-GVO unterliegt.