Es gibt in der DSGVO eine Art „faktische gemeinsame Verantwortung,“ die durch konkludentes Handeln entstehen kann. Dieser Begriff bezieht sich auf Situationen, in denen zwei oder mehr Parteien gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, ohne dies explizit in einer formalen Vereinbarung festzuhalten. Stattdessen ergibt sich die gemeinsame Verantwortung aus der tatsächlichen Zusammenarbeit und den gemeinsam getroffenen Entscheidungen.
Das ist nach meiner Erfahrung insbesondere dann sehr oft der Fall, wenn Internet-Agenturen als Auftragsverarbeiter für Unternehmen das Web-Marketing übernehmen!
Rechtsgrundlagen:
Die gemeinsame Verantwortung ist in Art. 26 DSGVO geregelt. Nach diesem Artikel sind zwei oder mehr Verantwortliche, die gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen, als gemeinsam Verantwortliche anzusehen.
Diese gemeinsame Verantwortlichkeit entsteht durch das faktische Verhalten der Parteien und nicht unbedingt durch eine explizit festgelegte Vereinbarung. Das bedeutet, dass auch ohne schriftliche Vereinbarung oder formalen Vertrag eine gemeinsame Verantwortung entstehen kann, wenn aus dem Handeln der Beteiligten eine gemeinsame Steuerung der Datenverarbeitung erkennbar ist.
Konkludentes Handeln:
Konkludentes Handeln bedeutet, dass eine gemeinsame Verantwortlichkeit auch entstehen kann, wenn die Parteien in der Praxis Entscheidungen über die Datenverarbeitung gemeinsam treffen oder wenn ihre Zusammenarbeit darauf abzielt, die Verarbeitung personenbezogener Daten in einem gemeinsamen Kontext zu steuern. Dies könnte beispielsweise der Fall sein bei:
- Gemeinsamen Plattformen oder Dienstleistungen, bei denen beide Parteien Einfluss auf die Verarbeitung von Nutzerdaten haben, auch wenn sie dies nicht explizit vertraglich geregelt haben.
- Kooperationen zwischen Unternehmen, die die Datenverarbeitung gemeinsam organisieren und steuern, obwohl keine formelle Vereinbarung über die gemeinsame Verantwortung besteht.
Gerichtsurteile und Entscheidungen:
Gerichte und Aufsichtsbehörden haben bereits entschieden, dass eine gemeinsame Verantwortung auch durch die tatsächlichen Gegebenheiten und das konkludente Handeln entstehen kann. Ein bekanntes Beispiel ist die Facebook-Fanpage-Entscheidung des Europäischen Gerichtshofs (EuGH, C-210/16), in der der EuGH entschied, dass Betreiber von Facebook-Fanpages und Facebook selbst gemeinsam verantwortlich sind, da beide über die Mittel und Zwecke der Datenverarbeitung entscheiden.
Konsequenzen:
Wenn eine gemeinsame Verantwortung festgestellt wird, sind die beteiligten Parteien verpflichtet, in einer transparenten Vereinbarung festzulegen, wie ihre jeweiligen Verantwortlichkeiten verteilt sind (Art. 26 Abs. 1 DSGVO). Diese Vereinbarung muss die wesentlichen Aspekte der Datenverarbeitung abdecken und den betroffenen Personen zur Verfügung gestellt werden. Dies gilt auch, wenn die Verantwortung faktisch und nicht formell besteht.
Fazit:
Eine „faktische gemeinsame Verantwortung“ kann also durch konkludentes Handeln entstehen, wenn mehrere Parteien gemeinsam die Mittel und Zwecke der Verarbeitung personenbezogener Daten bestimmen, selbst wenn keine formelle Vereinbarung vorliegt. Damit das für die Verantwortlichen und für die Betroffenen nicht zum Nachteil wird, sollte die Gemeinsame Verantwortung sorgfältig geregelt werden.