Urteil : Zweckvorgabe allein begründet keine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS GVO : aus der RDV 2/2026, Seite 96 bis 98

Nach einer in der Rechtsprechung wiederkehrenden Formulierung geht der EuGH zudem davon aus, dass eine Person, die „aus Eigeninteresse“ beziehungsweise „zu ihren eigenen Zwecken“ auf die Verarbeitung personenbezogener Daten „Einfluss nimmt“ und damit „an der Entscheidung über die Zwecke und Mittel“ der Verarbeitung „mitwirkt“ beziehungsweise „beteiligt ist“, als für die Verarbeitung Verantwortliche angesehen werden kann (EuGH, Urt. v. 10.7.2018 – C-25/17 – Jehovan todistajat, Rn. 68; Urt. v. 29.7.2019 – C-40/17 – Fashion ID, Rn. 68; Urt. v. 11.1.2024 – C-231/22 – Données traitées par un journal officiel, Rn.  48; Urt. v. 7.3.2024 – C-604/22 – IAB Europe, Rn. 57). Dieses Abstellen auf die „Einflussnahme“ aus „Eigeninteresse“, aus der eine Entscheidung über Zwecke und Mittel der Verarbeitung resultieren soll, scheint sehr weit zu reichen. Es ist jedoch zu berücksichtigen, dass dieses Kriterium nach der Formulierung des EuGH („kann“) noch keine hinreichende Bedingung für die gemeinsame Verantwortlichkeit darstellt und außerdem zunächst auf die Rechtslage vor Inkrafttreten der Datenschutzgrundverordnung bezogen war, als der Begriff der gemeinsamen Verantwortlichkeit noch nicht gesetzlich fixiert war. In seiner jüngeren – unter der Geltung der Datenschutzgrundverordnung ergangenen – Rechtsprechung prüft der EuGH alle drei Voraussetzungen kumulativ, das heißt, für die gemeinsame Verantwortlichkeit muss eine Stelle „tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung“ Einfluss nehmen (EuGH, Urt. v. 5.12.2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 31; ähnlich auch Urt. v. 7.3.2024 – C-604/22 – IAB Europe, Rn. 61; siehe zur erforderlichen kumulativen Prüfung von Entscheidungen über Zwecke und Mittel auch: European Data Protection Board – EDPB, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS‑GVO, Version 2.0, 7.7.2021, Rn.  53; Der Bayerische Landesbeauftragte für den Datenschutz, Gemeinsame Verantwortlichkeit – Orientierungshilfe, Stand: 1.6.2024, Rn. 44, 70).

bb) Nach diesen Maßstäben erfüllte die Klägerin in Bezug auf die von der Adresshändlerin vorgenommenen Datenverarbeitungsvorgänge nicht die Voraussetzungen einer gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 S. 1 DS‑GVO.

Zwar hat die Klägerin im Eigeninteresse Einfluss auf die Zwecke der Datenverarbeitung durch die Adresshändlerin genommen. Denn unabhängig davon, ob man den Zweck der Verarbeitung im Versand des Werbeschreibens oder – allge‑ meiner – in der Beförderung ihrer Geschäftstätigkeit durch die Anwerbung von Neukunden erblickt, hat sie diesen Zweck der Datenverarbeitung gegenüber der Adresshändlerin festgesetzt. Er entspricht auch ihrem Eigeninteresse, nämlich ihrem wirtschaftlichen Gewinnstreben. Dafür spricht auch der Empfängerhorizont, also die Perspektive eines objektiven Beobachters, der das Werbeschreiben erhält. Für diesen stellt es sich äußerlich als eine ausschließliche Maßnahme der Klägerin dar, weil es mit ihrem Briefkopf bzw. Corporate Design auftritt und allein für einen Besuch der von ihr angebotenen Show wirbt, ohne dass die Beteiligung der Adresshändlerin an der Datenverarbeitung jenseits der Datenschutzhinweise ersichtlich würde (vgl. zur Maßgeblichkeit des nach außen hin vermittelten Eindrucks: Der Bayerische Landesbeauftragte für den Datenschutz, a.a.O., Rn. 36).

Die Klägerin hatte aber keinerlei Einfluss auf die Mittel der Datenverarbeitung. Die Adresshändlerin führte den gesamten Datenverarbeitungsprozess nach dem von ihr konzipier‑ ten „Lettershop“-Verfahren beziehungsweise MikrozellenModell durch, ohne dass die Klägerin die Möglichkeit gehabt hätte, auf die strukturelle beziehungsweise organisatorische Ausgestaltung dieses Prozesses in irgendeiner Form einzuwirken. Auch insoweit kommt es nicht darauf an, ob man nur das Auslesen und Verwenden der Adressen im zweiten Schritt oder darüber hinaus auch die Selektion der Mikrozellen anhand bestimmter Merkmale im ersten Schritt als Verarbeitung personenbezogener Daten ansieht. Denn die bloße Vorgabe einer Zielgruppe (Haushalte in Berlin und Branden‑ burg mit zumindest überdurchschnittlicher Kaufkraft) führte auch dann nicht dazu, dass die Klägerin auf die „Mittel“ der Datenverarbeitung Einfluss genommen hätte, wenn man die Mikrozellenselektion als Verarbeitung personenbezogener Daten versteht. Die Festlegung der Zielgruppe ist vielmehr wegen ihrer eindeutigen wirtschaftlichen Motivation untrennbar mit der Zwecksetzung für die Datenverarbeitung verbunden und stellt sich demgegenüber nicht als Entscheidung über ihre Mittel dar.

Für eine Einflussnahme auf die Mittel der Datenverarbeitung müsste es irgendeine über die Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung der Klägerin an der Datenverarbeitung gegeben haben, die hier aber nicht ersichtlich ist. Sie hat lediglich eine Leistung eingekauft, deren prozedurale Ausgestaltung – von der grundlegenden Konzeption über die datenschutzrechtlich relevanten Organisationsmaßnahmen bis hin zur technischen Umsetzung- allein in den Händen der Adresshändlerin verblieb. Es ist nicht ersichtlich, dass die Klägerin irgendwelche Entscheidungen in Bezug darauf hätte treffen können, wie die Mikrozellen gebildet, wie ihnen Merkmale zugeschrieben werden, wie der Selektionsprozess anhand ihrer Vorgaben ausgestaltet ist und wie letztlich die Adressauswahl technisch hin zum Versand des Werbeschreibens umgesetzt wird. Auch die bloße Entscheidung, ein Werbeschreiben an potenzielle Neukunden zu versenden, kann nicht als Einflussnahme auf die Mittel der Datenverarbeitung gewertet werden. Denn das Leistungsangebot der Adresshändlerin besteht gerade darin, ihren Kunden das Versenden von Werbeschreiben zu ermöglichen. Andere Modalitäten des Verwendens personenbezogener Daten ohne Zugriff des Kunden auf die Daten bietet sie in diesem Bereich ihrer Geschäftstätigkeit nicht an.

cc) Für das Ergebnis spricht schließlich auch ein Vergleich mit denjenigen Fällen, in denen der EuGH bisher eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 Abs. 1 S. 1 DS‑GVO angenommen beziehungsweise auf Grundlage der entsprechenden Vorlagebeschlüsse der nationalen Gerichte für möglich gehalten hat. Bei diesen Sachverhalten gab es anders als hier stets ein Ineinandergreifen der Entscheidungen beider Verantwortlicher gerade auch in Bezug auf die Mittel der Datenverarbeitung.

Am ehesten ist der vorliegende Fall mit den Konstella‑ tionen vergleichbar, über die der EuGH in der sogenannten Fanpage- sowie in der Fashion-ID-Entscheidung befunden hat. Hier ging es um die gemeinsame Verantwortlichkeit von Website-Betreiberinnen, die ihre Website auf einer sozialen Plattform einrichten beziehungsweise ein Plugin einer sozialen Plattform in ihre Website einbinden mit der Folge, dass beim Aufrufen der Website personenbezogene Daten der Nutzer automatisch an die soziale Plattform übermittelt und von dieser weiterverarbeitet werden. Der EuGH hat die Einbindung der sozialen Plattform jeweils für die gemeinsame Verantwortlichkeit der Website-Anbieterinnen genügen lassen (EuGH, Urt. v. 5.6.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein; Urt. v. 29.7.2019 – C-40/17 – Fashion ID). Das wäre ein starkes Argument für die gemeinsame Verantwortlichkeit auch der Klägerin im vorliegenden Fall, wenn für den EuGH die bloße Kausalität der Website-Anbieterinnen für die Datenverarbeitung durch die Plattform ausgereicht hätte.

Zu beachten ist jedoch, dass der EuGH in den genannten Entscheidungen zwischen dem Erheben und dem weiteren Verarbeiten der Nutzerdaten durch die Plattform unterscheidet (insbesondere EuGH, Urt. v. 29.7.2019 – C-40/17 – Fashion ID, Rn. 76). Ein zentrales Argument des EuGH für die Verantwortlichkeit der Website-Betreiberinnen in Bezug auf das Erheben der Daten lag in beiden Entscheidungen darin, dass es das Einrichten der Website beziehungsweise das Einbinden des Plugins der sozialen Plattform erst ermöglicht hat‑ te, die personenbezogenen Daten zu erheben (EuGH, Urt. v. 5.6.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 35; Urt. v. 29.7.2019 – C-40/17 – Fashion ID, Rn. 75). Das Verhalten der Website-Anbieterinnen stellte sich für die soziale Plattform so gleichsam als „Schlüssel“ zu den Nutzerdaten dar. Einen solch beherrschenden Einfluss auf die Datenverarbeitung durch die Adresshändlerin hatte die Klägerin vorliegend nicht. Zwar wirkte sich auch ihre Entscheidung im Sinne einfacher Kausalität dahingehend aus, dass es ohne ihren Auftrag den konkreten Datenverarbeitungsvorgang durch die Adresshändlerin nicht gegeben hätte. Sie hat ihr die Datenverarbeitung aber nicht erst ermöglicht, ihr nicht erst die Tür zu den Daten geöffnet. Die Adresshändlerin verfügte unabhängig vom Verhalten der Klägerin über ihren Adressdatenbestand. Ihre tatsächlichen Zugriffsmöglichkeiten auf diese Daten bestanden vollkommen unabhängig davon, ob die Klägerin ihr einen Auftrag, der mit einer (weiteren) Datenverarbeitung einherging, erteilte.

Aus diesem Grund ist auch das Argument der Parametrierung, welches der EuGH in der Fanpage-Entscheidung für eine gemeinsame Verantwortlichkeit der Website-Betreiberin auch im Hinblick auf die Weiterverarbeitung der Nutzerdaten durch die soziale Plattform anführte (EuGH, Urt. v. 5.6.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 36), nicht auf den vorliegenden Fall übertragbar. Denn es macht einen Unterschied, ob sich solche (statistischen) Selektions‑ kriterien nur auf die Auswahl unter schon bei einem Dritten vorhandenen Daten auswirken oder auf Daten bezogen sind, die nur erhoben werden können, weil der Verantwortliche diese Datenerhebung für einen Dritten ermöglicht.

Auch in den weiteren vom EuGH entschiedenen Konstel‑ lationen war die Einflussnahme des gemeinsam Verantwort‑ lichen auf die Mittel der Datenverarbeitung anders als im Fall der Klägerin deutlich ausgeprägt. So stellte der EuGH in der Entscheidung zu den Zeugen Jehovas neben dem erheblichen Eigeninteresse der Gemeinschaft an der Datenverarbeitung auch darauf ab, dass die Dachorganisation die Verkündi‑ gungstätigkeit der einzelnen Mitglieder durch eine Zuteilung von Tätigkeitsbezirken „organisiert und koordiniert“ hat (EuGH, Urt. v. 10.7.2018 – C-25/17 – Jehovan todistajat, Rn. 71, 73). In der Entscheidung zur litauischen Corona-Warn-App bezog sich der EuGH darauf, dass die Parameter der Anwendung, z.B. welche Fragen in der App gestellt wurden und wie diese formuliert waren, an den Bedarf der auftraggebenden Behörde angepasst waren und sie bei der Festlegung der Fragen eine aktive Rolle gespielt hatte (EuGH, Urt. v. 5.12.2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 32). In der Entscheidung zum belgischen Amtsblatt war ein tragendes Argument für die datenschutzrechtliche Verantwortlichkeit der herausgebenden Behörde, dass für sie bereits auf gesetzlicher Ebene die Zwecke und Mittel der Datenverarbeitung festgelegt waren (EuGH, Urt. v. 11.1.2024 – C-231/22 – Données traitées par un journal officiel, Rn. 34; vgl. zur Maßgeblichkeit rechtlicher Bestimmungen beim Begriff des Verantwortlichen: Art. 4 Nr. 7 Hs. 2 DS‑GVO). Schließlich rekurrierte der EuGH in der Entscheidung zu einem euro‑ päischen Werbebranchenverband darauf, dass dieser seinen Mitgliedern für die Datenverarbeitung einen verbindlichen Regelungsrahmen vorgegeben hatte, in dem auch technische Spezifikationen für den Verarbeitungsvorgang enthalten waren (EuGH, Urt. v. 7.3.2024 – C-604/22 – IAB Europe, Rn. 65 f.). Auch eine solche Form der Einflussnahme gab es hier jedoch nicht. […]

Zur Vertiefung

Becker, Verantwortlichkeit und Transparenz im Lettershop-Verfahren= RDV 2/2023 Gemeinsame Verantwortung beim Lettershopverfahren – praktische Konsequenzen der EUGH-Rechtsprechung zu den „Fanpages“ und „Zeugen Jehovas“ = RDV 1/2019

Reif, Praxisfälle zum Datenschutzrecht XXXII: Haftung des Verantwortlichen für Fehler des Auftragsverarbeiters und Anforderungen an die Dienstleisterkontrolle = RDV 1/2025

Wessel, Auswahl und Überprüfung des Auftragsverarbeiters nach Art. 28 DS‑GVO = RDV 2/2024