Unter einer gemeinsamen Verantwortung ist die pluralistisch ausgeübte Kontrolle über eine Verarbeitung zu verstehen; d.h. jeder der Verantwortlichen nimmt einen bestimmenden tatsächlichen Einfluss auf die Verarbeitung.
Mit der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO soll sichergestellt werden, dass die Betroffenenrechte ordnungsgemäß wahrgenommen werden können. Zur Klärung, ob es sich bei dem jeweils vorliegenden Fall um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handeln könnte, sollte folgende Frage aus der Sicht der Betroffenen gestellt werden:
„Weiß ich als Betroffener, wer meine personenbezogenen Daten verarbeitet?“
Lässt sich diese Frage, aus der objektiven Sicht der Betroffenen, nicht eindeutig beantworten, wird der Vorgang in aller Regel eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO darstellen.
Wurde festgestellt, dass eine gemeinsame Verantwortlichkeit besteht ist eine Vereinbarung zwischen den beiden Parteien zu treffen und festzulegen welche Partei für welche Bereiche verantwortlich ist. Dies kann in Form eines individuellen Vertrags oder auch durch Vereinbarungen in AGBs geschehen. Ferner hat jeder Verantwortliche eine Rechtsgrundlage für die Verarbeitung zu schaffen und den Betroffenen die jeweiligen Informationen (Datenschutzerklärung) zur Verfügung zu stellen. Somit kann sichergestellt werden, dass die Betroffenen ihre Betroffenenrechte ordnungsgemäß geltend machen können.
Facebook – gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Das Erstellen und Nutzen einer Facebook-Fanpage stellt nach Ansicht der Aufsichtsbehörden sowie der Gerichte eine gemeinsame Verantwortlichkeit dar. Eine Vereinbarung über die gemeinsame Verantwortlichkeit wird über das „Controller-Addendum“ über die Nutzungsbedingungen mit Facebook abgeschlossen. Ein solches Addendum wurde auf Druck durch die DSK (Beschluss) von Facebook erstellt und implementiert. Das erste Addendum wurde im April 2019 von der DSK beanstandet und als nicht ausreichende Vereinbarung angesehen. Daraufhin wurde von Facebook ein weiteres überarbeitetes Addendum geschaffen, welches in der März-Konferenz 2020 von der DSK diskutiert wird.
Im Zusammenhang mit der Nutzung von Facebook-Fanpages stellt sich die Frage, ob registrierte Nutzer bei den Analysezwecken nicht anders behandelt werden müssten, als nicht registrierte Nutzer. Bei registrierten Nutzern kann davon ausgegangen werden, dass diese die Informationen bezüglich der Analysen durch Facebook mit der Registrierung bei Facebook bekommen. Nicht registrierte Nutzer hätten diese Gelegenheit zur Information nicht, bevor sie schon getrackt werden. In diesem Fall besteht Handlungsbedarf bei Facebook einen Einwilligungsmechanismus für nicht registrierte Nutzer zu schaffen.
Folge: Die Verarbeitung bei registrierten Nutzern kann auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden; bei nicht registrierten Nutzern wäre jedoch eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO erforderlich.
Die weitere Entwicklung hierzu bleibt abzuwarten.
Twitter – gemeinsame Verantwortlichkeit nach Art. 26 DSGVO
Laut Auskunft eines Stellvertreters des landesdatenschutzbeauftragten Rheinland-Pfalz will Twitter mit „Fanpage-Betreibern“ keine Vereinbarung zur gemeinsamen Verantwortlichkeit abschließen, da sie davon ausgehen keine gemeinsame Verantwortliche in dieser Fallkonstellation zu sein.
Im Januar 2020 hat Twitter angekündigt die Insights auszuschalten und nicht mehr zu verwenden. Im zeitlich engen Zusammenhang hat Twitter jedoch ein anderweitiges Analysetool eingeführt. Twitter könnte aus der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO herausfallen, wenn keine Insights (Analysen) mehr genutzt werden.
Die weitere Entwicklung hierzu bleibt abzuwarten.
PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)
Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.
Sie erreichen uns jederzeit über unser Kontaktformular!