Alexander Golland

Gemeinsam einsam: Ein "Like" für die gemeinsame Verantwortlichkeit?


Dr. Alexander Golland ist Rechtsanwalt in der Datenschutzpraxis von PwC Legal in Düsseldorf.

ZD 2019, 381   Am 29.7.2019 hat sich der EuGH mit seiner Entscheidung zu „Fashion ID“ (C-40/17; erscheint in ZD 10/2019 m. Anm. Hanloser) erneut zur gemeinsamen Verantwortlichkeit geäußert. Nach den Entscheidungen in Rechtssachen „Wirtschaftsakademie Schleswig-Holstein“ (ZD 2018, 357 m. Anm. Marosi/Matthé und m. Anm. Schulz) und „Jehovan todistajat“ (ZD 2018, 469 m. Anm. Hoeren) ist es die dritte Entscheidung zu dieser Rechtsfigur. Mit dem paukenschlagartigen Urteil im Juni 2018 konstatierte das Gericht eine „Gemeinsame Verantwortlichkeit“ zwischen dem Betreiber einer Fanpage in einem sozialen Netzwerk und dem Netzwerkbetreiber. Auf diese Weise schuf das Gericht aus einem de facto unbeachteten Relikt der Datenschutzrichtlinie (DS-RL), versteckt in den Begriffsbestimmungen, eine datenschutzrechtliche Nemesis. Dieses Mal blieb jedoch - wenngleich vereinzelt anders kolportiert - der Paukenschlag aus. Vielmehr konturierte der EuGH seine im Sommer 2018 begonnene Rechtsprechung und äußerte sich zu weiteren Vorlagefragen.

Prolog in Luxemburg

Während über viele Jahre hinweg der gemeinsamen Verantwortlichkeit keine nennenswerte Bedeutung beigemessen wurde, wurde dies mit „Wirtschaftsakademie Schleswig-Holstein“ in Frage gestellt. Der EuGH knüpfte im Juni 2018 maßgeblich an die Ermöglichung der Datenverarbeitung an und stellte einen „gemeinsamen Zweck“ zwischen den Beteiligten fest, obwohl das Gericht an anderer Stelle konstatierte, die jeweilig verfolgten Zwecke würden divergieren. Ein Zugriff auf die Daten war nicht erforderlich und „gemeinsame Mittel“ ein ohnehin vernachlässigbares Kriterium. Wo waren die Grenzen der gemeinsamen Verantwortlichkeit? Könnte nun selbst der Stromanbieter verantwortlich sein, weil er durch seine Tätigkeit die Datenverarbeitung überhaupt erst ermöglicht? Datenschutzrechtliche Verantwortlichkeit als eine Conditio-sine-qua-non?

 

Reaktionen in der Praxis

Die bisherige Rechtsprechung des EuGH legte eine umfassende Verantwortlichkeit a prima vista nah - in diese Richtung ging jedenfalls die Interpretation des Fanpage-Urteils durch die deutschen Datenschutzaufsichtsbehörden. So forderte die DSK im September 2018 Fanpage-Betreiber auf, sich ihrer Verantwortung zu stellen: Der Betreiber sei dafür verantwortlich, über die Sachlage Bescheid zu wissen, verantwortlich für die Information der Nutzer, verantwortlich für „die“ Verarbeitung. Geneigte Leser können sich hier an das literarische Schaffen Milan Kunderas erinnert fühlen, für den die Verantwortlichkeit ein zentrales Thema darstellte. Der tschechische Autor schrieb zur Zeit des Prager Frühlings: „Nur ist der Mensch verpflichtet zu wissen ... Der Mensch ist für seine Unwissenheit verantwortlich.“

Aus der gefährlichen Melange von neuen gesetzlichen Vorschriften, einer uneindeutigen EuGH-Rechtsprechung und aufsichtsbehördlicher Interpretation des Urteils resultierte auf Seiten der Unternehmen eine erhebliche Angst vor den Rechtsfolgen einer gemeinsamen Verantwortlichkeit. Die Praxis zog ihre Konsequenzen: Vielfach wurden sog. „Single-Controllership-Agreements“ abgeschlossen - Verträge, aus denen hervorgehen sollte, dass die an einer Zusammenarbeit Beteiligten, die gemeinsam Daten verarbeiten, keinesfalls „gemeinsam Verantwortliche“ seien. Verträge, die ohne wesentliche Rechtswirkung daherkommen, sondern vielmehr ein Sedativum für die beteiligten Unternehmen darstellten.

 

Die „neue“ gemeinsame Verantwortlichkeit

Es zogen 13 Monate ins Land, ehe der EuGH seine scheinbar eine uferlose Verantwortlichkeit suggerierende Rechtsprechung präzisierte. Gegenstand von „Fashion ID“ war die Frage, ob die Einbindung eines Social Plugin - des „Like“-Buttons von Facebook - durch einen Webseitenbetreiber eine gemeinsame Verantwortlichkeit mit dem Anbieter des Social Plugin begründe.

In der Zwischenzeit hatte Generalanwalt Bobek - ein Landsmann Kunderas - in pointierten Schlussanträgen geäußert, die Erfahrung aus östlichen Teilen der EU zeige, dass ein Mechanismus an Wirksamkeit verliere, wenn man jedermann verantwortlich mache. In seiner Stellungnahme, in der er offenkundig auf die gesellschaftspolitischen Umwürfe in seiner Heimat nach dem zweiten Weltkrieg rekurriert, schlug der Generalanwalt vor, den „gemeinsamen Zweck“ der Verarbeitung zwar weit auszulegen und Inkongruenzen bei den konkret verfolgten Einzelzwecken zu dulden, zugleich aber die gemeinsame Verantwortlichkeit vorgangsbezogen zu verstehen. Die gemeinsame Verantwortlichkeit sollte nicht allumfassend sein, nein, „die Lebenswirklichkeit [sollte] eine Rolle spielen“. Es gebe nicht die Pflicht, alles zu wissen und über alles zu informieren, sondern nur, soweit die Möglichkeit bestehe, Einfluss zu nehmen. Mit diesen Worten legt Bobek dem Gericht nah, die gemeinsame Verantwortlichkeit um Kriterien zu erweitern, die dem deutschen Recht als Adäquanztheorie bekannt sind.

Der EuGH folgt diesen Schlussanträgen in seiner Entscheidung „Fashion ID“ nahezu vollständig. Zwar knüpft der EuGH auch hier die (gemeinsame) Verantwortlichkeit an die Ermöglichung der Datenverarbeitung durch Einbindung des Social Plugin. Allerdings sei die gemeinsame Verantwortlichkeit vorgangsbezogen zu verstehen. Weiterhin stellt das Gericht unterschiedliche Zwecke zwischen den Parteien fest. Entscheidend für den EuGH, dennoch eine gemeinsame Verantwortlichkeit zwischen dem Webseitenbetreiber und dem Anbieter des Social Plugin anzunehmen, war der auf einer übergeordneten Ebene bestehende gemeinsame Zweck in Form der Erzeugung eines wechselseitigen wirtschaftlichen Vorteils (wobei offenbleibt, ob dies ein allgemeines Kriterium der gemeinsamen Verantwortlichkeit sein soll). In der Folge bestehe ein Joint Controllership von Seitenbetreiber und Plugin-Anbieter für die Erhebung und Übermittlung von Daten mittels des implementierten Social Plugin. Für die vor- oder nachgelagerten Vorgänge auf Seiten des Plugin-Anbieters, die außerhalb von Kenntnis und Einflussnahmemöglichkeit des Seitenbetreibers erfolgen, sei Ersterer allein verantwortlich.

Die Entscheidung erging zwar noch zur DS-RL, lässt sich allerdings, angesichts der identischen Begriffsdefinitionen, vollständig auf die DS-GVO übertragen. Insbesondere handelt es sich bei dem vorgangsbezogenen Verständnis der gemeinsamen Verantwortlichkeit um kein Novum, sondern vielmehr um eine Selbstverständlichkeit, die sich aus dem Zusammenspiel von Anwendungsbereich und Definition der Verarbeitung ergibt (Art. 2 Abs. 1 i.V.m. Art. 4 Nr. 2 und 7 DS-GVO). Ferner fordert das Gericht - wie im Schrifttum ganz überwiegend vertreten - eine Rechtsgrundlage für Datentransfers zwischen den Joint-Controllership-Beteiligten.

Die gute Nachricht lautet daher: Die neue gemeinsame Verantwortlichkeit ist die alte gemeinsame Verantwortlichkeit.

 

Rechtsgrundlage für Social Plugins, Abmahnungen und Störerhaftung: Zahlreiche offene Fragen

Der EuGH äußert sich jedoch nicht explizit zur Rechtsgrundlage des Einsatzes von Social Plugins, sondern stellt relativ abstrakt die maßgeblichen Aspekte einer Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO dar. Nach der im vergangenen März veröffentlichten „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ scheint die Datenschutzaufsicht, zumindest wenn die Datenübermittlung an den Netzwerkbetreiber ohne Zutun des Nutzers erfolgt, eine Rechtfertigung im Wege der Interessenabwägung abzulehnen. Gleichwohl lässt sich weder der Orientierungshilfe noch dem aktuellen Urteil aus Luxemburg entnehmen, dass für jeglichen Einsatz von Social Plugins stets eine Einwilligung erforderlich sei.

Eine weitere Frage betraf die aus § 8 Abs. 3 Nr. 3 UWG abgeleitete Klagebefugnis der Verbraucherzentrale Nordrhein-Westfalen. Nach Ansicht des Gerichts würden die Art. 22 bis 24 DS-RL, die ein Verbandsklagerecht nicht vorsehen, keine umfassende Harmonisierung bezwecken und daher mitgliedstaatlichen Vorschriften, die gerichtliche Rechtsbehelfe von Verbraucherschutzverbänden gegen den Verletzer von Datenschutzvorschriften vorsehen, nicht entgegenstehen. Zwar zieht das Gericht zur Begründung die DS-GVO heran - hinsichtlich der vieldiskutierten Frage, ob Mitbewerber Datenschutzverstöße nach dem UWG abmahnen können oder ob die DS-GVO abschließend ist, bleibt der vielfach erhoffte Fingerzeig jedoch aus.

Dem EuGH wurde vor dem Hintergrund des Rechtsinstituts der Störerhaftung auch die Frage vorgelegt, ob die DS-RL Haftung und Verantwortlichkeit abschließend regele. In einer Urteilspassage wird angedeutet, die Haftung werde nicht abschließend durch das Datenschutzrecht geregelt. Nun folgt aber der skurril anmutende Schachzug des Gerichts, jene Vorlagefrage ausdrücklich offen zu lassen. Angesichts des Umstands, dass der Webseitenbetreiber für nachgelagerte Vorgänge nicht verantwortlich sein soll und somit die Frage einer zivilrechtlich geprägten Haftung des Nicht-Verantwortlichen durchaus Entscheidungsrelevanz hätte, erstaunt dies doch sehr.

 

Auswirkung der Entscheidung

Durch die niedrigen Anforderungen, die der EuGH bei der gemeinsamen Entscheidung „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ anlegt, bleibt es für die Begründung einer gemeinsamen Verantwortlichkeit bei einer niedrigen Schwelle. Zugleich wird klargestellt, dass diese auf einzelne Datenverarbeitungsvorgänge begrenzt und daher eine separate Verantwortlichkeit oder Auftragsverarbeitung hinsichtlich anderer Vorgänge denkbar ist. Folge dieser Rechtsprechung ist das Entstehen zahlreicher „Micro-Joint-Controllerships“, für die jeweils Verträge nach Art. 26 Abs. 1 DS-GVO geschlossen werden müssen und bei denen eine gemeinsame Haftung für Datenschutzverstöße im Außenverhältnis droht.

In Bezug auf die weiteren Vorlagefragen bleibt der EuGH jedoch äußert vage, z.T. gar schweigsam. So lassen sich keine eindeutigen Implikationen hinsichtlich des Erfordernisses einer Einwilligung bei der Nutzung von Social Plugins ableiten. Auch die Fragen des Verhältnisses der DS-GVO zum UWG und zur Störerhaftung bleiben ungeklärt.

 

Empfehlungen für Unternehmen

Aus Unternehmenssicht empfiehlt es sich, beim Eingehen einer Kooperation eindeutig die Aufgaben der jeweiligen Beteiligten konkret zu definieren und die mit der Datenverarbeitung verfolgten Zwecke zu dokumentieren. Dabei ist es regelmäßig die größte Herausforderung, die gemeinsamen Verarbeitungsvorgänge von den übrigen Verarbeitungsvorgängen unter jeweils eigener Verantwortlichkeit voneinander abzugrenzen. Diese Abgrenzung ist zwingende Voraussetzung, um eine Joint-Controllership-Vereinbarung sachlich richtigen Umfangs mit interessengerechten Inhalten abzuschließen.

Für den Einsatz von Social Plugins empfiehlt sich eine technische Lösung, bei der Datenflüsse an den Plugin-Anbieter nicht bereits beim Aufruf der Webseite ausgelöst werden (z.B. Shariff), sodass eine vorherige Einwilligung - soweit erforderlich - eingeholt werden kann. Dieses Vorgehen bietet sich auch dann an, wenn auf Grundlage der Interessenabwägung verarbeitet wird, da das Mitwirken des Nutzers in Kenntnis der Auswirkungen die Rechtfertigung zu Gunsten des Verantwortlichen beeinflussen kann.

Zuletzt sollten sich alle Unternehmen und Datenschutzinteressierte einen Termin im Kalender eintragen: Am 1.10.2019 entscheidet der EuGH in der Rechtssache „Planet49“ zu den Rechtsgrundlagen beim Einsatz von Cookies. Es bleibt die Hoffnung, das Gericht werde in jenem Verfahren nicht mehr Fragen aufwerfen als Antworten geben.