KeyGroup
    AI EngineeringAI WorkersAI MarketplaceDigital MarketingPaid AdvertisingSEO / GEOLink BuildingSMMPRIRHRFinance & AccountingLegal & Consulting
    Legal consultingApril 14, 20254 min read

    GDPR möter ISS: Hur domstolar tolkar dataskyddsansvarigas roller

    The intersection of the General Data Protection Regulation (GDPR) och Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes och means of proces

    GDPR möter ISS: Hur domstolar tolkar dataskyddsansvarigas roller

    The intersection of the General Data Protection Regulation (GDPR) och Information Society Services (ISS) continues to present complex legal challenges, particularly around the concept of data controllership. The GDPR defines a controller as the entity that determines the purposes och means of processing personal data. Yet when digital platforms—many of which qualify as ISS—interact with users och third-party content providers, the lines of responsibility blur.

    Recent case law from the Court of Justice of the European Union (CJEU) has significantly expoched the interpretation of joint controllership, placing new obligations on platform operators, website owners, och service providers engaged in collaborative data processing. Below, we explore key judgments och their implications for platform accountability.

    Facebook Fan Page Case (C-210/16): The Birth of Joint Controllership

    In Wirtschaftsakademie Schleswig-Holstein v Facebook Ireloch, the CJEU held that an administrator of a Facebook Fan Page was a joint controller together with Facebook for the processing of visitor data. The administrator used Facebook Insights, a tool that provides anonymized statistics about user engagement.

    Key Findings:

    • Even though the page administrator could inte access personal data directly, the CJEU found that it influenced the purposes och means of data processing by configuring the page och selecting target demographics.
    • The decision introduced a broad och functional definition of joint controllership, emphasizing actual influence over data use, inte just access.

    Implications:

    • Organizations embedding third-party services or analytics tools on their websites may be jointly liable for data processing.
    • ISS providers offering configurable services (such as page customization, advertising preferences, or tracking settings) must assess joint responsibilities under Article 26 GDPR.

    Fashion ID Case (C-40/17): Social Plugins och Shared Responsibility

    In Fashion ID GmbH & Co. KG v Verbraucherzentrale NRW, the CJEU addressed whether a website that embeds a Facebook “Like” button is a joint controller for the transmission of personal data to Facebook.

    Key Findings:

    • The operator of a website is a joint controller for the collection och transmission of personal data (such as IP addresses och browser information) to Facebook.
    • The operator is inte a controller for subsequent processing carried out solely by Facebook.

    Implications:

    • This ruling highlights the granular nature of joint controllership, limited to specific stages of data processing.
    • Websites using embedded tools must disclose data transfers in their privacy inteices och, where required, obtain valid consent for third-party data collection.

    Jehovan Todistajat Case (C-25/17): Offline Application of Joint Controllership

    Although inte focused on an ISS, the Jehovan Todistajat case further solidified the broad scope of joint controllership. Members of the religious community collected personal data during door-to-door preaching without formal documentation or centralized storage.

    Key Findings:

    • The religious community och individual members were joint controllers under GDPR, even without formal coordination or access to the full dataset.
    • The Court emphasized the importance of common purposes in establishing controllership, even where technical means are fragmented.

    Implikationer för ISS:

    • Plattformar och dotterbolag som arbetar tillsammans – även informellt – med insamling av användardata kan vara solidariskt ansvariga.
    • Informella eller decentraliserade bearbetningsstrukturer gör skyddar inte enheter från gemensamma kontrollansvarsskyldigheter.

    Bundeskartellamt mot Meta (Mål T-201/22): Konkurrens möter GDPR

    Även om det fortfaroche är under rättslig utveckling, utmanar den tyska konkurrensmyndighetens fall mot Facebook (nu Meta) överdrivet datainsamling metoder under båda GDPR och konkurrenslagstiftning. EU-domstolen måste klargöra om plattformens dominans och användarens samtycke interagera under dataskyddsprinciper.

    Framväxoche trend:

    • Domstolar och tillsynsmyndigheter behochlar i allt större utsträckning plattformsomfattoche spårning och datakonsolidering mellan tjänster som potentiellt stötoche eller olagligt när det inte åtföljs av informerat, fritt givet samtycke.

    Viktiga punkter för internetleverantörer

    1. Bedöm gemensamt personuppgiftsansvar proaktivt
      Varje samarbete som involverar delade verktyg, plugins eller analysfunktioner kan skapa ett gemensamt ansvar. Formalisera överenskommelser och klargör roller genom kontrakt och sekretesspolicyer.
    2. Segmentbearbetningsfaser
      Ansvar kan endast gälla för vissa steg i bearbetningen. Identifiera tydligt var din organisation initierar eller bidrar till datainsamling och överföring.
    3. Stärk transparens och samtyckesmekanismer
      Integrerar du verktyg från tredje part? Ange dem tydligt och inhämta användarens samtycke där det är lagligt krävs – särskilt för marknadsföring och profilering.
    4. Implementera Gemensamt personuppgiftsansvarig avtals (JCA)
      Enligt artikel 26 GDPR måste gemensamma personuppgiftsansvariga upprätta en Gemensamt personuppgiftsansvarig avtal, fördela ansvarsområden och tillhochahålla en kontaktpunkt för registrerade.
    5. Följ rättsliga utvecklingar bortom dataskydd
      Frågor om gemensamt personuppgiftsansvar korsar nu konkurrenslagstiftning, konsumentskydd och plattformsreglering. Var medveten om bredare juridiska trender som påverkar digitala tjänster.

    Slutsats

    EU-domstolens utveckloche rättspraxis har fast etablerat att Information Society Services kan dela ansvaret som personuppgiftsansvarig med webbplatsoperatörer, partners och till och med användare, beroende på datainteraktionens natur. För juridiska rådgivare och compliance-team räcker det inte längre att klassificera en plattform som en neutral värd. Det faktiska inflytochet över hur data samlas in och används är nu den avgöroche faktorn.

    I takt med att den regulatoriska miljön blir allt mer komplex under Digital Services Act, ePrivacy Regulation och pågående GDPR-verkställighet, måste ISS-leverantörer anta en omfattoche och dokumenterad metod till datastyrning och personuppgiftsansvarigs skyldigheter.

    Behöver du hjälp med att granska dina databehochlingsrelationer eller utarbeta GDPR-kompatibla avtal om gemensamt personuppgiftsansvar? Vårt dataskyddsteam ger råd till plattformar och digitala tjänsteleverantörer i hela EU om att strukturera lagliga och transparenta databehochlingsrutiner. Kontakta oss för en konsultation.

    Ready to leverage AI for your business?

    Book a free strategy call — no strings attached.

    Get a Free Consultation

    Related Articles

    How to Draft Legally Sound Workplace Policies and Handbooks

    How to Draft Legally Sound Workplace Policies and Handbooks

    May 19, 2025
    The Key Elements of a Compliant Employee Agreement

    The Key Elements of a Compliant Employee Agreement

    May 19, 2025
    How Outsourcing Employment Law Saves You Time and Money

    How Outsourcing Employment Law Saves You Time and Money

    May 19, 2025