Stichwort des Monats: Joint Controllers
Regel und Ausnahme Werden personenbezogene Daten von mehr als einem Unternehmen verarbeitet, ist dieser Tage eine Diskussion um „Joint Controllership“ kaum zu vermeiden. Dass die gemeinsame Verantwortlichkeit unter der DSGVO eine massive Aufwertung erfahren hat, ist nicht neu. Mit etwas Verzögerung macht sich diese Erkenntnis zunehmend auch in der Praxis bemerkbar. Während die gemeinsame Verantwortlichkeit unter alter Rechtslage noch ein Nischendasein fristete, scheint sich langsam aber sicher Regel- und Ausnahmeverhältnis umzukehren. Als besonders schwierig erweist sich dabei in der Praxis die Abgrenzung zwischen gemeinsamer und unabhängiger Verantwortlichkeit: Wann legen zwei Stellen gemeinsam Zweck und Mittel der Datenverarbeitung fest und wann unabhängig voneinander? Eine Positivabgrenzung ist schwierig. Artikel-29-Datenschutzgruppe und Europäischer Gerichtshof haben zur alten Rechtslage vor allem Negativabgrenzungen vorgenommen: Ein gemeinsamer Zugriff auf die Daten ist nicht erforderlich (EuGH Wirtschaftsakademie Schleswig-Holstein/Fanpages und Zeugen Jehovas). Auch deckungsgleiche Zwecke sind nicht notwendig – schon eine gemeinsame „Infrastruktur“ soll ausreichen können, auch wenn die Zwecke der Nutzung nicht gleich sind (Artikel-29-Datenschutzgruppe WP 169). Die Datenschutzkonferenz hat diese Tradition aufgegriffen und die Kriterien in einem Kurzpapier aus März 2018 kurzerhand auf die DSGVO übertragen. Auch der Generalanwalt scheint in den Schlussanträgen in Sachen Planet49 keine Differenzierung zwischen alter und neuer Rechtslage für notwendig zu erachten. Vom Aussterben bedroht Für die Praxis sind diese Kriterien kaum brauchbar. Rechtsanwalt und Mandant, Bürger und Datenschutzbehörde, Postdienstleister und Paketversender: Zumindest überschneidende Zwecke der Verarbeitung werden bei jeder Form des Datenaustauschs bestehen (Anspruchsdurchsetzung, Sicherung von Betroffenenrechten, Paketzustellung). Andernfalls müssten die Daten nicht ausgetauscht werden. Auch eine „gemeinsame Infrastruktur“ wird für nahezu jede Form des Datenaustauschs notwendig sein – ohne eine gemeinsame Kommunikationsform oder zumindest eine gemeinsame Bestimmung des Kommunikationswegs ist ein Austausch nicht möglich. Der Datenaustausch zwischen unabhängig voneinander Verantwortlichen ist bei einem solch weiten Verständnis des „Joint Controllers“ vom Aussterben bedroht. Dabei war es ersichtlich nicht die Idee des Verordnungsgebers jede Form des Datenaustauschs mit einer Gesamtschuld zu belasten. Mehr oder weniger inoffiziell hört man von zahlreichen Datenschutzbehörden dazu Beschwichtigungen: So streng werde man das nicht sehen. Solange den Beschwichtigungen jedoch keine klaren Abgrenzungskriterien folgen, hilft auch das in der Praxis nicht weiter.