Spätestens seit einem Urteil des EuGH zur Fanpage auf Facebook ist die Möglichkeit der „gemeinsamen Verantwortlichkeit“ nach der Datenschutz-Grundverordnung (DSGVO) in den Fokus gerückt. Der EuGH hat darin entschieden, dass der Betreiber einer Fanpage auf Facebook gemeinsam mit Facebook Verantwortlicher für die Datenverarbeitung ist.
Das Urteil macht deutlich, dass bei einer Zusammenarbeit mit Dritten eine Auftragsverarbeitung nicht immer die beste oder einzige Lösung ist. Sobald ein Unternehmen nicht nur weisungsgebunden personenbezogene Daten im Zusammenspiel mit einem anderen Unternehmen verarbeitet, sondern eigenen Einfluss auf die Verarbeitung der Daten nimmt, scheidet eine Auftragsverarbeitung aus.
In Betracht kommt in diesem Fall eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Hiervon ist auszugehen, sofern zwei oder mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Eine bloße Zusammenarbeit, ohne Mitbestimmung, begründet jedoch noch keine gemeinsame Verantwortlichkeit. Gleiches gilt für den bloßen Datenaustausch. Die gemeinsamen Verantwortlichen entscheiden jeweils miteinander und nicht bloß nacheinander.
Eine gemeinsame Verantwortlichkeit bietet die Chance, mit einem anderen Verantwortlichen gleichberechtigt gemeinsam personenbezogene Daten zu verarbeiten. Im Gegensatz zur weisungsgebundenen Auftragsverarbeitung können beide Parteien eigenständig die Daten verarbeiten und erhalten somit mehr Rechte.
Bei Vorliegen einer gemeinsamen Verantwortlichkeit ist eine Vereinbarung zwischen beiden Verantwortlichen insbesondere zu Abgrenzung der jeweiligen Verantwortungsbereiche abzuschließen und die betroffenen Personen sind entsprechend zu informieren.
Gerne unterstützen wir Sie dabei auszuloten, ob im konkreten Einzelfall diese Gestaltungsform für Ihr Unternehmen sinnvoll ist.