DSGVO trifft ISS: Wie Gerichte die Rollen von Datenverantwortlichen interpretieren

Die Überschneidung der Datenschutz-Grundverordnung (DSGVO) und der Dienste der Informationsgesellschaft (DDI) stellt weiterhin komplexe juristische Herausforderungen dar, insbesondere im Hinblick auf den Begriff der Datenverantwortlichkeit. Die DSGVO definiert a Controller als die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Wenn jedoch digitale Plattformen – von denen viele als ISS gelten – mit Nutzern und Drittanbietern von Inhalten interagieren, verschwimmen die Verantwortlichkeiten.

Jüngste Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH) hat die Auslegung von Gemeinsame Verantwortlichkeit, wodurch neue Verpflichtungen für Plattformbetreiber, Website-Betreiber und Dienstleister entstehen, die an der kollaborativen Datenverarbeitung beteiligt sind. Im Folgenden werden wir wichtige Urteile und ihre Auswirkungen auf die Rechenschaftspflicht der Plattformen untersuchen.

Facebook-Fanseite Case (C-210/16): Die Entstehung der gemeinsamen Verantwortlichkeit

In Wirtschaftsakademie Schleswig-Holstein v Facebook Irelund, entschied der EuGH, dass ein Administrator eines Facebook-Fanseite war ein gemeinsamer Controller zusammen mit Facebook für die Verarbeitung von Besucherdaten. Der Administrator verwendete Facebook Insights, ein Tool, das anonymisierte Statistiken über das Nutzerengagement liefert.

Zentrale Ergebnisse:

• Auch wenn der Seitenadministrator nicht direkt auf personenbezogene Daten zugreifen konnte, stellte der EuGH fest, dass er die Zwecke und Mittel beeinflusst der Datenverarbeitung durch Konfiguration der Seite und Auswahl der Zielgruppe.
• Die Entscheidung führte zu einem breite und funktionale Definition einer gemeinsamen Verantwortlichkeit, wobei der Schwerpunkt auf dem tatsächlichen Einfluss auf die Datennutzung liegt, nicht nur auf dem Zugriff.

Implikationen:

• Organisationen, die Dienste Dritter oder Analysetools auf ihren Websites einbetten, können gesamtschuldnerisch für die Datenverarbeitung haftbar sein.
• ISS-Anbieter, die konfigurierbare Dienste anbieten (wie z. B. Seiteneinstellungen, Werbepräferenzen oder Tracking-Einstellungen), müssen die gemeinsame Verantwortung gemäß Artikel 26 DSGVO beurteilen.

Fashion ID Fall (C-40/17): Social Plugins und gemeinsame Verantwortung

In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, befasste sich der EuGH mit der Frage, ob eine Website, die einbettet Facebook „Gefällt mir“-Button ist ein gemeinsamer Verantwortlicher für die Übermittlung personenbezogener Daten an Facebook.

Zentrale Ergebnisse:

• Der Betreiber einer Website ist ein gemeinsamer Controller für die Erfassung und Übertragung von personenbezogenen Daten (wie z. B. IP-Adressen und Browserinformationen) an Facebook.
• Der Operator ist nicht eine Steuerung für die nachfolgende Verarbeitung, die ausschließlich von Facebook durchgeführt wird.

Implikationen:

• Diese Entscheidung unterstreicht die granulare Natur der gemeinsamen Verantwortlichkeit, beschränkt auf bestimmte Phasen der Datenverarbeitung.
• Websites, die eingebettete Tools verwenden, müssen Datentransfers in ihren Datenschutzhinweisen offenlegen und, falls erforderlich, eine Einwilligung einholen gültige Einwilligung zur Datenerfassung durch Dritte.

Jehovas Zeugen Fall (C-25/17): Offline-Anwendung der gemeinsamen Verantwortlichkeit

Obwohl nicht auf eine ISS fokussiert, ist die Zeugen Jehovas Der Fall festigte die weitreichende Auslegung der gemeinsamen Verantwortlichkeit weiter. Mitglieder der Religionsgemeinschaft sammelten personenbezogene Daten bei Haus-zu-Haus-Predigten ohne formelle Dokumentation oder zentralisierte Speicherung.

Zentrale Ergebnisse:

• Die religiöse Gemeinschaft und einzelne Mitglieder waren gemeinsame Verantwortliche gemäß DSGVO, auch ohne formelle Koordinierung oder Zugriff auf den vollständigen Datensatz.
• Das Gericht betonte die Bedeutung von häufige Zwecke bei der Etablierung der Controllerfunktion, auch wenn die technischen Mittel fragmentiert sind.

Implikationen für die ISS:

• Plattformen und Partner, die bei der Erhebung von Nutzerdaten zusammenarbeiten – auch informell – können gesamtschuldnerisch haftbar sein.
• Informelle oder dezentrale Verarbeitungsstrukturen tun dies schützt Unternehmen nicht vor gemeinsamen Verantwortlichkeiten.

Bundeskartellamt v Meta (Fall T-201/22): Wettbewerb trifft auf DSGVO

Obwohl sich die juristische Entwicklung noch im Gange befindet, stellt der Fall der deutschen Wettbewerbsbehörde gegen Facebook (jetzt Meta) eine Herausforderung dar exzessive Datenerfassung Praktiken unter beiden DSGVO und Wettbewerbsrecht. Der EuGH muss klären, ob Plattformdominanz und Nutzereinwilligung unter Beachtung der Datenschutzprinzipien interagieren.

Aufkommender Trend:

• Gerichte und Aufsichtsbehörden behundeln zunehmend plattformweites Tracking und Datenkonsolidierung über verschiedene Dienste hinweg als potenziell missbräuchlich oder rechtswidrig, wenn sie nicht von einer informierten, freiwillig erteilten Einwilligung begleitet werden.

Wichtige Erkenntnisse für ISS-Anbieter

1. Gemeinsame Verantwortlichkeit proaktiv bewerten
   Jede Zusammenarbeit, die gemeinsame Tools, Plugins oder Analysefunktionen beinhaltet, kann eine gemeinsame Verantwortung begründen. Formalisieren Sie Vereinbarungen und klären Sie Rollen durch Verträge und Datenschutzrichtlinien.
2. Segmentverarbeitungsphasen
   Die Haftung kann nur für bestimmte Verarbeitungsstufen gelten. Geben Sie klar an, wo Ihre Organisation mit der Datenerfassung und -übertragung beginnt oder dazu beiträgt.
3. Transparenz und Einwilligungsmechanismen stärken
   Drittanbieter-Tools einbetten? Geben Sie diese gut sichtbar an und holen Sie die Zustimmung der Nutzer ein, wo dies gesetzlich vorgeschrieben ist – insbesondere für Marketing und Profiling.
4. Implementierung von Gemeinsame Verantwortlichenvereinbarungs (JCA)
   Gemäß Artikel 26 DSGVO müssen gemeinsam Verantwortliche eine Gemeinsame Verantwortlichenvereinbarung, Zuweisung von Verantwortlichkeiten und Bereitstellung einer Kontaktstelle für betroffene Personen.
5. Verfolgen Sie Rechtsentwicklungen über den Datenschutz hinaus
   Fragen der gemeinsamen Verantwortlichkeit überschneiden sich nun mit dem Wettbewerbsrecht, dem Verbraucherschutz und der Plattformregulierung. Bleiben Sie über umfassendere Rechtstrends, die digitale Dienste betreffen, informiert.

Schlussfolgerung

Die sich entwickelnde Rechtsprechung des EuGH hat dies fest etabliert, dass Dienste der Informationsgesellschaft können die Verantwortlichkeit für die Datenverarbeitung teilen mit Website-Betreibern, Partnern und sogar Nutzern zusammen, je nach Art der Dateninteraktion. Für Rechtsberater und Compliance-Teams reicht es nicht mehr aus, eine Plattform als neutralen Host einzustufen. Der tatsächliche Einfluss darauf, wie Daten gesammelt und verwendet werden, ist nun der entscheidende Faktor.

Da das regulatorische Umfeld unter dem Digital Services Act, der ePrivacy-Verordnung und der laufenden DSGVO-Durchsetzung immer komplexer wird, müssen ISS-Anbieter eine umfassender und dokumentierter Ansatz zur Daten-Governance und den Verantwortlichkeiten des Verantwortlichen.

Benötigen Sie Hilfe bei der Überprüfung Ihrer Datenverarbeitungsbeziehungen oder bei der Erstellung von DSGVO-konformen Vereinbarungen zur gemeinsamen Verantwortlichkeit? Unser Datenschutzteam berät Plattformen und digitale Dienstanbieter in der gesamten EU bei der Strukturierung rechtmäßiger, transparenter Datenpraktiken. Nehmen Sie Kontakt auf, um sich beraten zu lassen.