Manchmal wirken mehrere Unternehmen bei der Verarbeitung von personenbezogenen Daten zusammen. Klassisches Beispiel: Um einen Vertrag zu erfüllen, werden Subunternehmer eingeschaltet. Wer trägt dann datenschutzrechtlich gesehen die Verantwortung für die Daten? Neue Entscheidungen des Europäischen Gerichtshofs (EuGH) führen dazu, dass Unternehmen hier genauer hinschauen müssen. Dabei stellen sich Fragen, die auf den ersten Blick merkwürdig wirken. Sie richten sich an die Fachabteilungen in den Unternehmen. Deshalb sollten Sie darauf vorbereitet sein.
Eine absurde Ausgangslage?
Ein Unternehmen hat auf bestimmte personenbezogene Daten überhaupt keinen Zugriff. Dennoch soll es datenschutzrechtlich dafür verantwortlich sein, was ein anderes Unternehmen mit diesen Daten tut. Sie meinen, das könne überhaupt nicht sein? Dann unterschätzen Sie die Kreativität des EuGH im Hinblich auf Art. 26 EU-DSGVO "Gemeinsam Verantwortliche" oder auch "Joint Controllership".
Gemeinsame Verantwortung von Unternehmen im Datenschutz - Was Sie aus den EuGH-Fällen lernen können |
Denn genau so hat er gleich in zwei Fällen entschieden. Beim ersten Fall ging es um Facebook, beim zweiten um die Zeugen Jehovas. Aus beiden Fällen lassen sich allgemeine Regeln ableiten, die in den Alltag zahlreicher Unternehmen hineinwirken.
Fanpages bei Facebook
Der erste Fall befasste sich mit dem Thema „Fanpages bei Facebook“. Dabei ging es um Folgendes: Fanpages sind Benutzerkonten, die Unternehmen (aber auch Privatpersonen) bei Facebook einrichten können. Dazu muss sich das Unternehmen als Fanpage-Anbieter bei Facebook registrieren. Ist das geschehen, dann hat der Anbieter eine Plattform, um sich den Nutzern von Facebook, aber auch allen sonstigen Personen, die die Fanpage besuchen, zu präsentieren. Der Betreiber einer Fanpage kann mithilfe der Funktion „Facebook Insight“ anonymisierte statistische Daten zu den Nutzern dieser Seiten erhalten.
Rein anonyme Auswertungen
Diese Funktion stellt Facebook kostenfrei zur Verfügung. Auf diese Funktion zu verzichten, ist nicht möglich. Die Daten der Nutzer sammelt Facebook mithilfe sogenannter Cookies. Wer eine Fanpage einrichtet, erhält nur Auswertungen dieser Daten, nicht aber die Daten selbst. Er erfährt also viel über die Besucher der Fanpage allgemein, aber nichts über den einzelnen Besucher konkret.
Dennoch: Verantwortung des Auftraggebers
Das hilft freilich den Betreibern von Fanpages nichts. Der EuGH stellte vielmehr fest, dass sie zusammen mit Facebook datenschutzrechtlich verantwortlich sind. Dass ihnen Facebook nur anonyme Statistiken überlässt, nicht jedoch die einzelnen personenbezogenen Daten, erklärte das Gericht für irrelevant. Denn immerhin würden sie durch das Einrichten ihrer Fanpage an der Datensammlung mitwirken.
Zeugen Jehovas – ein keineswegs exotischer Fall
Ähnlich hart entschied der EuGH im Fall der Zeugen Jehovas. Zwar konnten die Zeugen Jehovas glaubhaft machen, dass lediglich die einzelnen Missionare dieser Kirche Daten festhalten – etwa nach Missionsgesprächen an der Haustür. Die Kirchenzentrale erhält diese Daten nicht. Weil die Kirche ihren Mitgliedern jedoch Tipps dafür gibt, welche Daten sie möglichst festhalten sollen, ging der Gerichtshof auch hier von einer gemeinsamen Verantwortlichkeit aus. Sie besteht zwischen der Kirche Zeugen Jehovas einerseits und den Missionaren dieser Kirche andererseits.
Allgemeine Lehren aus dem Fall
Schon kurzes Überlegen zeigt: Der entscheidende Punkt ist hier nicht, dass es um eine religiöse Missionstätigkeit geht. Das spielt überhaupt keine Rolle. Entscheidend ist vielmehr, dass die Kirche für das verantwortlich ist, was ihre Mitglieder tun. Und zwar obwohl sie selbst keinerlei personenbezogene Daten in die Hände bekommt.
Verantwortlichkeit kann teuer kommen
Sind das alles nur rechtliche Spitzfindigkeiten ohne praktische Auswirkung? Leider nein! Denn wer gemeinsam für etwas verantwortlich ist, haftet auch gemeinsam. Dies kann bei Datenpannen bis hin zu erheblichen Schadenersatzzahlungen gehen. Wohlgemerkt für Pannen mit Daten, auf die man selbst überhaupt keinen Zugriff hatte oder hat.
Helfen Sie durch sorgfältige Antworten
Wundern Sie sich also nicht, falls Ihre Fachabteilung einmal solche Fragen beantworten muss:
- Machen Sie bzw. Ihre Fachabteilung Geschäftspartnern Vorgaben dafür, welche Daten sie festhalten müssen?
- Erhalten Sie bzw. Ihre Fachabteilung Auswertungen von Daten, ohne dass Sie auf die Daten selbst Zugriff haben?
Auch das hat dann etwas mit Datenschutz zu tun. Aber es geht dabei nicht darum, etwas zu verbieten. Vielmehr sollen Haftungsrisiken für Ihr Unternehmen vermieden werden. Bitte wirken Sie daran mit, indem Sie die Fragen sorgfältig beantworten. Ihr Datenschutzbeauftragter und Ihre Geschäftsführung wird es Ihnen danken!