Deutsch 
English (UK) 
Русский 
Polski 
Italiano 
Français 
Ελληνικά 
Türkçe 
한국어 
简体中文 
日本語 
Українська 
Slovenčina 
Română 
Nederlands 
Português 
Svenska 
Suomi 
Čeština 
Español 
العربية 
DSGVO trifft ISS: Wie Gerichte die Rollen von Datenverantwortlichen interpretieren">
Die Überschneidung der Datenschutz-Grundverordnung (DSGVO) und der Dienste der Informationsgesellschaft (DDI) stellt weiterhin komplexe juristische Herausforderungen dar, insbesondere im Hinblick auf den Begriff der Datenverantwortlichkeit. Die DSGVO definiert a Controller als die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Wenn jedoch digitale Plattformen – von denen viele als ISS gelten – mit Nutzern und Drittanbietern von Inhalten interagieren, verschwimmen die Verantwortlichkeiten.
Jüngste Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) hat die Auslegung von Gemeinsame Verantwortlichkeit, wodurch neue Verpflichtungen für Plattformbetreiber, Website-Betreiber und Dienstleister entstehen, die an der kollaborativen Datenverarbeitung beteiligt sind. Im Folgenden werden wir wichtige Urteile und ihre Auswirkungen auf die Rechenschaftspflicht der Plattformen untersuchen.
Facebook Fan Page Case (C-210/16): Die Entstehung der gemeinsamen Verantwortlichkeit
In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireland, entschied der EuGH, dass ein Administrator eines Facebook-Fanseite war ein gemeinsamer Controller zusammen mit Facebook für die Verarbeitung von Besucherdaten. Der Administrator verwendete Facebook Insights, ein Tool, das anonymisierte Statistiken über das Nutzerengagement liefert.
Zentrale Ergebnisse:
- Auch wenn der Seitenadministrator nicht direkt auf personenbezogene Daten zugreifen konnte, stellte der EuGH fest, dass er die Zwecke und Mittel beeinflusst der Datenverarbeitung durch Konfiguration der Seite und Auswahl der Zielgruppe.
- Die Entscheidung führte zu einem breite und funktionale Definition einer gemeinsamen Verantwortlichkeit, wobei der Schwerpunkt auf dem tatsächlichen Einfluss auf die Datennutzung liegt, nicht nur auf dem Zugriff.
Implikationen:
- Organisationen, die Dienste Dritter oder Analysetools auf ihren Websites einbetten, können gesamtschuldnerisch für die Datenverarbeitung haftbar sein.
- ISS-Anbieter, die konfigurierbare Dienste anbieten (wie z. B. Seiteneinstellungen, Werbepräferenzen oder Tracking-Einstellungen), müssen die gemeinsame Verantwortung gemäß Artikel 26 DSGVO beurteilen.
Fashion ID Fall (C-40/17): Social Plugins und gemeinsame Verantwortung
In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, befasste sich der EuGH mit der Frage, ob eine Website, die einbettet Facebook „Gefällt mir“-Button ist ein gemeinsamer Verantwortlicher für die Übermittlung personenbezogener Daten an Facebook.
Zentrale Ergebnisse:
- Der Betreiber einer Website ist ein gemeinsamer Controller für die Erfassung und Übertragung von personenbezogenen Daten (wie z. B. IP-Adressen und Browserinformationen) an Facebook.
- Der Operator ist nicht eine Steuerung für die nachfolgende Verarbeitung, die ausschließlich von Facebook durchgeführt wird.
Implikationen:
- Diese Entscheidung unterstreicht die granulare Natur der gemeinsamen Verantwortlichkeit, beschränkt auf bestimmte Phasen der Datenverarbeitung.
- Websites, die eingebettete Tools verwenden, müssen Datentransfers in ihren Datenschutzhinweisen offenlegen und, falls erforderlich, eine Einwilligung einholen gültige Einwilligung zur Datenerfassung durch Dritte.
Jehovas Zeugen Fall (C-25/17): Offline-Anwendung der gemeinsamen Verantwortlichkeit
Obwohl nicht auf eine ISS fokussiert, ist die Zeugen Jehovas Der Fall festigte die weitreichende Auslegung der gemeinsamen Verantwortlichkeit weiter. Mitglieder der Religionsgemeinschaft sammelten personenbezogene Daten bei Haus-zu-Haus-Predigten ohne formelle Dokumentation oder zentralisierte Speicherung.
Zentrale Ergebnisse:
- Die religiöse Gemeinschaft und einzelne Mitglieder waren gemeinsame Verantwortliche gemäß DSGVO, auch ohne formelle Koordinierung oder Zugriff auf den vollständigen Datensatz.
- Das Gericht betonte die Bedeutung von häufige Zwecke bei der Etablierung der Controllerfunktion, auch wenn die technischen Mittel fragmentiert sind.
Implikationen für die ISS:
- Plattformen und Partner, die bei der Erhebung von Nutzerdaten zusammenarbeiten – auch informell – können gesamtschuldnerisch haftbar sein.
- Informelle oder dezentrale Verarbeitungsstrukturen tun dies schützt Unternehmen nicht vor gemeinsamen Verantwortlichkeiten.
Bundeskartellamt v Meta (Fall T-201/22): Wettbewerb trifft auf DSGVO
Obwohl sich die juristische Entwicklung noch im Gange befindet, stellt der Fall der deutschen Wettbewerbsbehörde gegen Facebook (jetzt Meta) eine Herausforderung dar exzessive Datenerfassung Praktiken unter beiden DSGVO und Wettbewerbsrecht. Der EuGH muss klären, ob Plattformdominanz und Nutzereinwilligung unter Beachtung der Datenschutzprinzipien interagieren.
Aufkommender Trend:
- Gerichte und Aufsichtsbehörden behandeln zunehmend plattformweites Tracking und Datenkonsolidierung über verschiedene Dienste hinweg als potenziell missbräuchlich oder rechtswidrig, wenn sie nicht von einer informierten, freiwillig erteilten Einwilligung begleitet werden.
Wichtige Erkenntnisse für ISS-Anbieter
- Gemeinsame Verantwortlichkeit proaktiv bewerten
Jede Zusammenarbeit, die gemeinsame Tools, Plugins oder Analysefunktionen beinhaltet, kann eine gemeinsame Verantwortung begründen. Formalisieren Sie Vereinbarungen und klären Sie Rollen durch Verträge und Datenschutzrichtlinien. - Segmentverarbeitungsphasen
Die Haftung kann nur für bestimmte Verarbeitungsstufen gelten. Geben Sie klar an, wo Ihre Organisation mit der Datenerfassung und -übertragung beginnt oder dazu beiträgt. - Transparenz und Einwilligungsmechanismen stärken
Drittanbieter-Tools einbetten? Geben Sie diese gut sichtbar an und holen Sie die Zustimmung der Nutzer ein, wo dies gesetzlich vorgeschrieben ist – insbesondere für Marketing und Profiling. - Implementierung von Joint Controller Agreements (JCA)
Gemäß Artikel 26 DSGVO müssen gemeinsam Verantwortliche eine Gemeinsame Verantwortlichenvereinbarung, Zuweisung von Verantwortlichkeiten und Bereitstellung einer Kontaktstelle für betroffene Personen. - Verfolgen Sie Rechtsentwicklungen über den Datenschutz hinaus
Fragen der gemeinsamen Verantwortlichkeit überschneiden sich nun mit dem Wettbewerbsrecht, dem Verbraucherschutz und der Plattformregulierung. Bleiben Sie über umfassendere Rechtstrends, die digitale Dienste betreffen, informiert.
Schlussfolgerung
Die sich entwickelnde Rechtsprechung des EuGH hat dies fest etabliert, dass Dienste der Informationsgesellschaft können die Verantwortlichkeit für die Datenverarbeitung teilen mit Website-Betreibern, Partnern und sogar Nutzern zusammen, je nach Art der Dateninteraktion. Für Rechtsberater und Compliance-Teams reicht es nicht mehr aus, eine Plattform als neutralen Host einzustufen. Der tatsächliche Einfluss darauf, wie Daten gesammelt und verwendet werden, ist nun der entscheidende Faktor.
Da das regulatorische Umfeld unter dem Digital Services Act, der ePrivacy-Verordnung und der laufenden DSGVO-Durchsetzung immer komplexer wird, müssen ISS-Anbieter eine umfassender und dokumentierter Ansatz zur Daten-Governance und den Verantwortlichkeiten des Verantwortlichen.
Benötigen Sie Hilfe bei der Überprüfung Ihrer Datenverarbeitungsbeziehungen oder bei der Erstellung von DSGVO-konformen Vereinbarungen zur gemeinsamen Verantwortlichkeit? Unser Datenschutzteam berät Plattformen und digitale Dienstanbieter in der gesamten EU bei der Strukturierung rechtmäßiger, transparenter Datenpraktiken. Nehmen Sie Kontakt auf, um sich beraten zu lassen.