216
Der singuläre Umstand, dass eine Datenverarbeitung einen Nutzen für mehrere Akteure entfaltet, genügt für sich alleine jedoch in der Regel nicht, um eine gemeinsame Verantwortlichkeit zu begründen.440 Insbesondere muss das Eigeninteresse über die bloße Erfüllung der Verarbeitungsleistung für einen anderen hinausgehen. Vielmehr muss für den Verarbeitenden aus der konkreten Datenverarbeitung unmittelbar ein Nutzen hervorgehen, der über die etwaige Zahlung eines entsprechenden Entgelts hinausgeht (insbesondere relevant für die Abgrenzung zur Auftragsverarbeitung).441
b) Übertragbarkeit auf andere Konstellationen/Abgrenzung zur bloßen Zusammenarbeit
217
Eine gemeinsame Verantwortlichkeit ist von solchen Konstellationen abzugrenzen, in denen mehrere Parteien bei der Verarbeitung von personenbezogenen Daten lediglich zusammenarbeiten, ihre Verarbeitungsvorgänge jedoch jeweils in eigenen, abtrennbaren Verantwortungsbereichen durchführen.442 In solchen Fällen liegt eine einfache Datenweitergabe zwischen zwei getrennt Verantwortlichen vor.443 Die Abgrenzung zwischen getrennter und gemeinsamer Verantwortlicher ist durch die voran dargestellte EuGH-Rechtsprechung erheblich verkompliziert worden. In diesem Zusammenhang stellt sich insbesondere die Frage, welchen Einfluss die vom EuGH aufgestellten Kriterien über die in den relevanten Urteilen bewerteten, spezifischen Sachverhalte auf die Bewertung anderer Konstellationen entfalten.
218
Zu beachten bleibt dabei, dass auch der EuGH betont, dass nicht die bloße Existenz singulärer Umstände zur Vorlage einer gemeinsamen Verantwortung führe, sondern dies vielmehr stets im Rahmen einer wertenden, holistischen Betrachtung unter Berücksichtigung aller Umstände des konkreten Einzelfalls zu bewerten sei.444 Demgemäß dienen die oben genannten Faktoren in erster Linie als Startpunkt einer entsprechenden Prüfung. Eine Übertragbarkeit der EuGH-Rechtsprechung auf ähnliche Konstellationen bzw. Kollaborationen im Rahmen einer Datenverarbeitung im Allgemeinen ist dabei stets sorgfältig zu prüfen. So gilt es im Einzelfall zu eruieren, ob die Einflussmöglichkeit der beteiligten Akteure im Rahmen einer umfassenden und wertenden Betrachtung die Annahme einer gemeinsamen Verantwortlichkeit rechtfertigt.
219
Insofern sind auch durchaus die jeweiligen Besonderheiten der den Urteilen jeweils zugrunde liegenden Sachverhalte zu berücksichtigen. So ist etwa mit Blick auf die Facebook-Fanpages-Entscheidung zu beachten, dass die Verantwortungsbereiche von Facebook und den Fanpage-Betreibern quasi untrennbar miteinander verwoben sind, da der Besuch einer Facebook-Fanpage zwangsläufig und untrennbar mit einem gleichzeitigen Besuch der allgemeinen Facebook-Plattform und damit mit einer Verarbeitung der personenbezogenen Daten des jeweiligen Besuchers durch Facebook verbunden ist.445 In anderen Fällen können sich die Einfluss- und Verantwortungsbereiche (sowie die jeweils verfolgten Interessen) der an einer Datenverarbeitung beteiligten Akteure demgegenüber durchaus trennscharf voneinander abgrenzen lassen.
220
Eine solche abgegrenzte Betrachtung der Verantwortungsbereiche erscheint etwa auch bei der Einbindung von Plugins auf Internetseiten grundsätzlich denkbar.446 So ist auch in solchen Fällen stets zu prüfen, welche Zwecke von den Beteiligten verfolgt werden, ob eine wechselseitige Zustimmung in den Zweck des jeweils anderen erfolgt und ob letztlich auch ein gleichgelagertes Interesse verfolgt wird. So ist die Verteilung und gegebenenfalls Überschneidung von Verantwortungsbereichen maßgeblich auch durch die konkrete technische Gestaltung eines Plugins sowie des jeweils erhobenen Datenumfangs und den vertraglichen Abreden zwischen den Beteiligten bestimmt.447 Diese Prüfung kann durchaus in dem Ergebnis enden, dass den Plugin-Anbieter erst ab dem Zeitpunkt eine Verantwortung trifft, an dem er die vom jeweiligen Plugin erhobenen Daten vom Webseiten-Betreiber erhält. Vice versa kann jedoch auch eine weiterreichende gemeinsame Verantwortlichkeit als im Fashion ID-Urteil gegeben sein, etwa wenn eine Möglichkeit zur Einflussnahme seitens des Webseiten-Betreibers auf die sich anschließende Datenverarbeitung durch den Plugin-Anbieter besteht (z.B. im Rahmen einer beeinflussbaren Nutzungsanalyse).448
221
Ferner können sich auch Konstellationen ergeben, in denen die Beteiligten zwar bei der Datenverarbeitung zusammenarbeiten, dabei jedoch gegenläufige Interessen verfolgen. Dies kann etwa der Fall sein, wenn sich die Beteiligten in einer Verhandlungssituation befinden, etwa da sie um die Abtretung einer Forderung verhandeln. Wertend betrachtet können solche Fälle daher durchaus als getrennte Verantwortlichkeit zu klassifizieren sein, auch wenn die oben aufgeschlüsselten Voraussetzungen an eine gemeinsame Verantwortlichkeit (formal) vorliegen können.
c) Rechtsfolgen gemeinsamer Verantwortlichkeit
222
Sofern zwei oder mehrere Stellen eine Datenverarbeitung gemeinsam verantworten, stellt die Regelung von Art. 26 Abs. 3 DSGVO klar, dass jeder der gemeinsam Verantwortlichen nach außen jeweils voll für die Einhaltung aller Vorgaben der DSGVO einzustehen hat.449 Dies gilt im Außenverhältnis in der Regel ungeachtet dessen, zu welchem Grad eine Einflussmöglichkeit der beteiligten Akteure besteht. Etwaige Gefälle oder Zuständigkeitsvereinbarungen zwischen den Akteuren wirken sich grundsätzlich lediglich im Innenverhältnis aus.450 Denkbar verbleibt aber, dass die Verantwortlichkeiten zwischen den Parteien so klar und eindeutig vertraglich separiert sind, dass – im Zusammenhang mit einem konkreten Datenschutzverstoß – sich die jeweils hierfür nicht verantwortliche Partei unmittelbar von einem Vertretenmüssen befreien kann (etwa gemäß Art. 82 Abs. 3 oder Art. 83 Abs. 2 S. 2 lit. d DSGVO).451 Zweideutig sind insoweit die Aussagen des EuGH, dass das Bestehen einer gemeinsamen Verantwortlichkeit „[...] nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, [...]“.452 An anderer Stelle heißt es wiederum, dass bei Vorlage einer gemeinsamen Verantwortlichkeit, „[...] jeder von ihnen [den Verantwortlichen] den Datenschutzvorschriften unterliegt“.453 Insofern wird nicht klar, ob der EuGH es grundsätzlich für möglich erachtet, dass ein beteiligter Akteur lediglich graduelle, datenschutzrechtliche Verantwortung tragen könne, mit der Folge, dass er nur gewisse (jedoch nicht alle) datenschutzrechtlichen Vorgaben einzuhalten habe. Zu beachten ist hingegen, dass diese Äußerungen noch auf Grundlage der DSRl erfolgten, die unter Umständen einer solchen, graduellen Verantwortlichkeit grundsätzlich zugänglich gewesen wäre.454 Jegliche Formen einer abgeschichteten Verantwortung kann es in diesem Sinne aber (außer in sich aus Verstößen ergebenden Haftungs- und Sanktionsfragen, vgl. oben) unter der DSGVO nicht geben.455 Die Möglichkeit zur Einflussnahme eines Beteiligten sollte daher in jedem Fall so ausgeprägt sein, um eine auch umfassende Verantwortlichkeitszuweisung gerechtfertigt erscheinen zu lassen.456
5. Delegation datenschutzrechtlicher Verantwortlichkeiten
223
Datenschutzrechtliche Verantwortung kann sowohl zwischen verschiedenen Stellen als auch innerhalb einer Stelle (an deren Mitarbeiter) delegiert werden. Die Zuweisung an eine andere Stelle kann dazu führen, dass die abtretende Stelle ihre Stellung als Verantwortlicher (im Umfang der Übertragung) verliert. Die (personelle) Delegation an Mitarbeiter innerhalb einer Stelle führt hingegen nicht dazu, dass die Stelle von ihrer datenschutzrechtlichen Verantwortung i.S.v. Art. 4 Nr. 7 DSGVO frei wird.457 Der Aufbau einer solchen Datenschutz-Organisation kann vielmehr ein integraler Bestandteil der vom Verantwortlichen nach Art. 24 DSGVO zu ergreifenden technischen und organisatorischen Datenschutzmaßnahmen sein458 und überdies (im Umfang der Delegation) zur „Enthaftung“ der jeweiligen