Kurzbeitrag : Ist die Blockchain-Technologie mit der DS-GVO vereinbar? : aus der RDV 4/2022, Seite 204 bis 208

III. Datenminimierung

Nach Art. 5 Abs. 1 lit. c DS-GVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). Eine Verarbeitung ist dann nicht erforderlich, wenn ihr Ziel sich mit einem geringeren Eingriff in die Rechte der betroffenen Person ebenso effektiv erreichen ließe,^[10] es also keine „datenschutzschonende Alternative“ gibt.^[11] Nun könnte ein Vertreter der Blockchain-Technologie leichtfertig behaupten, dass es für die Stringenz aller Transaktionen notwendig ist, auch personenbezogene Daten unbegrenzt bzw. bis zum Ende der Nutzung dieser Technologie zu speichern.

Diese Sichtweise dürfte bei Verfechtern der DS-GVO auf erhebliches Missverständnis stoßen. Denn eng mit dem Zweckbindungsgrundsatz verknüpft ist der Grundsatz der Datenminimierung (vormals Datensparsamkeit); dieser besagt, dass die jeweiligen Daten hinsichtlich ihrer Verarbeitungszwecke angemessen und erheblich sowie auf das notwendige Maß beschränkt sein müssen.^[12]Dabei muss die Verarbeitung des jeweiligen Datums im Einzelfall nicht zur Zweckerreichung unangebracht sein.^[13] Hierzu wird bereits im entsprechenden Erwägungsgrund 39 DS-GVO auf S. 9 angeführt, dass die Verarbeitung personenbezogener Daten aus-schließlich unter der Voraussetzung vorgenommen werden sollte, dass die Verarbeitungszwecke nicht mit gleichermaßen wirksamen Methoden auf zumutbare Weise erreicht werden können. Die Beschränkung auf das notwendige Maß grenzt den Grundsatz der Datenminimierung deutlich vom bloßen Verhältnismäßigkeitsprinzip ab; auch bei vorliegenden legitimen Aspekten, wie Zweck, Erforderlichkeit, Geeignetheit und Angemessenheit, ist eine Minimierung der Daten(verarbeitungs)menge zu forcieren.^[14] Diese Aussage bereits in den Erwägungsgründen, lässt eine unendliche Speicherung von personenbezogenen Daten nur sehr schwer zu rechtfertigen.

Dagegen wird vertreten, dass der Grundsatz der Datenminimierung insoweit nur das Tatbestandsmerkmal der Erforderlichkeit benötigt, da bereits alle Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO (mit Ausnahme der Einwilligung) diese beinhalten. Er bleibt damit hinter dem Grundsatz der Datensparsamkeit nach § 3a S. 1 BDSG a. F. zurück,^[15] dessen Ziel die Datenvermeidung ist und der daher bereits bei der Gestaltung und Organisation von Datenverarbeitungsprozessen ansetzte. Demgegenüber richtet sich die Erforderlichkeit am Zweck der Datenverarbeitung aus und enthält keine normative Begrenzung des Umfangs der Datenverarbeitung. Auch Art. 25 Abs. 1 DS-GVO knüpft an den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO an und bleibt damit allein auf den Zweck der Datenverarbeitung ausgerichtet.^[16]

Letztendlich steht bei dieser Frage eine technische Notwenigkeit dem Ziel, die Menge der personenbezogenen Daten zu begrenzen, gegenüber. Diese Frage abstrakt zu beantworten, fällt schwer und verlangt eine wertende Betrachtung, ob die Verarbeitung von Daten in diesem Umfang im engeren Sinne verhältnismäßig ist.^[17] Dies kann dazu führen, dass eine Datenverarbeitung, die zwar die Voraussetzungen einer Rechtsgrundlage – auch einer Einwilligung – erfüllt, trotzdem unzulässig ist, weil der Umfang der Datenverarbeitung von einer objektiven Perspektive aus extensiv ist.^[18] Aber eben diese Extensivität ist bei der Nutzung der Blockchain-Technologie als Notwendigkeit bei der Speicherung der personenbezogenen Daten gegeben und somit nicht mit dem Grundsatz der Datenminimierung in Einklang zu bringen.

IV. Speicherbegrenzung

Gem. Art. 5 Abs. 1 lit. e DS-GVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personen-bezogene Daten dürfen dann länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden. Der Grundsatz der Speicherbegrenzung konkretisiert den Grundsatz der Datensparsamkeit in zeitlicher Hinsicht.^[19] Die Speicherbegrenzung greift somit die Zweckbindung der Verarbeitung auf und ergänzt diese selbstständig um die Anforderung, dass die Verbindung zu bestimmten personenbezogenen Daten nur so lange bestehen darf, solange dies für den Zweck erforderlich ist.^[20]Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DS-GVO folgt somit unmittelbar aus der Zweckbindung, vgl. Erwägungsgrund 39 DS-GVO.^[21]

Im Zusammenhang mit der Blockchain-Technologie erscheint der Aspekt der Speicherbegrenzung völlig konträr, da die Blockchain für den Nachweis ihrer Stringenz fast unendlich viele Daten produziert. Personenbezogene Daten sollen nur so lange Rückschlüsse auf die betroffene Person ermöglichen, wie dies vor dem Hintergrund des Verarbeitungszwecks erforderlich ist.^[22] Ähnlich wie bei der Datenminimierung könnte man als Vertreter der Blockchain-Technologie argumentieren, dass die Speicherung dieser Daten für die vermeindliche Ewigkeit für die Zweckerreichung der Blockchain-Technologie zwingend notwendig sind und eine Speicherbegrenzung nicht möglich ist. Dies würde nach Erwägungsgrund 39 zur DS-GVO,^[23] wonach die Speicherdauer auf das „unbedingt erforderliche Mindestmaß“ zu beschränken ist, ebenfalls für die Dauer der Anwendung der Blockchain-Technologie gelten.

Dagegen vertritt der EuGH, dass Daten ihre Relevanz für den Zweck verlieren können, zu dem sie verarbeitet werden,^[24] beispielsweise, wenn sie nicht mehr aktuell sind.^[25]

Natürlich sind Transaktionsdaten von mehr als zehn Jahren nicht mehr aktuell, müssen aber wegen der Stringenz der Blockchain-Technologie weiterhin gespeichert werden. Daten, die für den Verarbeitungszweck nicht mehr erforderlich sind, dürfen nach dem Grundsatz der Zweckerreichung nicht auf Vorrat für noch unbestimmte Zwecke aufbewahrt werden. Es stellt sich die berechtigte Frage, ob es wirklich für die Stringenz der Blockchain-Technologie notwendig ist, dass Transaktionsdaten von mehr als zehn Jahren aufbewahrt werden.^[26]Denn ist der legitime Zweck erreicht, sind Daten wegen des Erlaubnisvorbehalts und wegen der Speicherbegren-zung nach Art. 5 Abs. 1 lit. e DS-GVO grundsätzlich zu löschen. Entsprechend muss von vornherein die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben.^[27]

V. Rechte der betroffenen Personen

Eine bisher nicht geklärte Frage ist, welche Auswirkungen auf die Blockchain-Technologie entstehen, wenn betroffene Personen ihre Rechte aus Art. 12 – 23 DS-GVO geltend machen. Unproblematisch für die Blockchain-Technologie dürfte es sein, wenn lediglich die Auskunftsrechte nach Art. 15 Abs. 1 DS-GVO geltend gemacht werden, da die Blockchain transparent ist. Aber in anderen Fällen könnte die Geltendmachung der Rechte der betroffenen Personen ggf. sogar zum Kollabieren der Blockchain führen.

1. Recht auf Berichtigung

Gem. Art. 16 Abs. 1 S. 1 DS-GVO hat die betroffene Person das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Hierzu heißt es im Erwägungsgrund 65 zur DS-GVO,^[28] dass die betroffene Person ein Recht auf Berichtigung haben soll, „wenn die Speicherung ihrer Daten gegen diese Verordnung oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, verstößt.“ Unrichtig sind personenbezogene Daten in jedem Fall dann, wenn sie mit der Realität nicht übereinstimmen.^[29] Unterstellt man die Unrichtigkeit der Daten, könnten die Auswirkungen auf die Blockchain verheerend sein, da durch die Stringenz der Verarbeitung eine nachträgliche Änderung, auch von unrichtigen Daten, nicht möglich ist. Dies gilt auch dann, wenn der Berichtigungsanspruch sich ausdrücklich nur auf die Daten beziehen soll, die zu der betroffenen Person vorhanden sind.^[30]

Berichtigt werden Daten dadurch, dass sie mit der Wirklichkeit in Übereinstimmung gebracht werden. Die Berichtigung kann durch Änderung, Löschung, Fortschreibung oder Bezugnahme geschehen^[31] und muss unverzüglich erfolgen.^[32]Nach Art. 83 Abs. 5 lit. b DS-GVO können Verstöße gegen die Pflicht zur Korrektur bzw. Vervollständigung mit einer Geldbuße von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des voran-gegangenen Geschäftsjahrs sanktioniert werden. Außerdem steht der betroffenen Person nach Art. 82 DS-GVO ggf. ein spezieller Schadensersatzanspruch zu.^[33]

2. Recht auf Löschung („Recht auf Vergessenwerden“)

Nach Art. 17 Abs. 1 DS-GVO hat die betroffene Person das Recht, vom Verantwortlichen zu verlangen, dass sie betreffen-de personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die Gründe gem. lit. a – f zutreffen. Angesichts der technischen Möglichkeiten der Rekonstruktion nach unzureichenden Löschungsversuchen^[34] sind die Anforderungen an das Löschen vom aktuellen Stand der Technik abhängig. Es muss irreversibel verhindert werden, dass die Informationen in den Daten weiter genutzt werden können.^[35] Das Löschen ist auf allen Datenträgern des Verantwortlichen^[36] vorzunehmen und muss auch alle Sicherungskopien umfassen.^[37]

Spätestens dieser Anspruch würde die Blockchain zum Kollabieren bringen, denn wenn einzelne Datenfragmente der Blockchain gelöscht werden müssen, sprengt dies die Stringenz der Blockchain.

Es ist auch nicht möglich, dass rechtsdogmatisch eine Anonymisierung von Daten nicht als Umsetzung der Löschpflicht nach Art. 17 Abs. 1 DS-GVO angesehen werden kann. Beide Verarbeitungsformen verfolgen unterschiedliche Ziele, haben unterschiedliche Funktionen, verursachen unterschiedliche Wirkungen, führen zu unterschiedlichen Risiken und werden deshalb von der DS-GVO in unterschiedlichen rechtssystematischen Zusammenhängen geregelt.^[38] Auch wäre dies nicht im Sinne der Transparenz der Blockchain.

3. Recht auf Einschränkung der Verarbeitung

Ähnlich wie bei der Berichtigung und der Löschung hätte auch die Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DS-GVO erhebliche Auswirkungen auf die Stringenz und damit auf das Bestehen der Blockchain. Praktisch ist kaum vorstellbar, wie dieses Recht in der Blockchain-Technologie umgesetzt werden könnte, ohne die Wirksamkeit der Blockchain in Frage zu stellen.

VI. Gemeinsame Verantwortlichkeit

Ein primäres Ziel der DS-GVO liegt in der Sicherstellung einer klaren Zuteilung der Verantwortlichkeiten.^[39] Eine unklare Verteilung der Zuständigkeiten bei der Verarbeitung personenbezogener Daten schadet der Wirksamkeit des Datenschutzrechts.^[40] Wirken mehrere Verantwortliche auf die Zwecke und Mittel der Datenverarbeitung ein („pluralistische Kontrolle“),^[41]besteht die Gefahr der Verantwortungsdiffusion^[42] was aus der Sicht der DS-GVO bei der BlockchainTechnologie vorliegen könnte.

Die gemeinsame Verarbeitung (engl. Joint Controllership) gem. Art. 26 DS-GVO regelt, dass mehrere Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung personenbezogener Daten festlegen. Damit wird auch deutlich, dass es nicht jeweils nur einen Verantwortlichen i. S. d. DSGVO geben kann, sondern dass diese Stellung auch mehreren Unternehmen gemeinsam zu-kommen kann.^[43] Art. 26 DSGVO verfolgt in diesem Zusammenhang vor allem zwei Ziele:^[44] Die Norm zwingt mehrere Verantwortliche dazu, eine „klare Zuteilung der Verantwortlichkeiten“ vorzunehmen. Damit hat die Vorschrift insofern eine Warnfunktion, als die Verantwortlichen dazu angehalten werden, sich überhaupt über die Verteilung der Verantwortlichkeiten Gedanken zu machen. Dies dient dem Betroffenen, vermeidet aber auch Rechtsunsicherheiten im Innenverhältnis der Verantwortlichen untereinander. Ob es diese klare Zuteilung der Verantwortlichkeiten bei der Blockchain-Technologie gibt, kann bezweifelt werden. Auch durch den Konkurrenzkampf der Miner untereinander kann i. d. R. nicht von einer klaren Zuteilung der Verantwortlichkeiten ausgegangen werden.

Außerdem verlangt die DS-GVO von den Verantwortlichen, die Verantwortlichkeitsstrukturen transparent zu machen, und zwar zum einen gegenüber dem Betroffenen, zum anderen gegenüber den Datenschutzaufsichtsbehörden. Dementsprechend dient die Norm dem effektiven Rechtsschutz des Betroffenen, der über die Zuständigkeitsverteilung zwischen potenziellen Anspruchsgegnern aufgeklärt wird.^[45] Damit sollten die Nutzer einer Blockchain-Anwendung weniger Probleme haben, da Transparenz zur Blockchain-Technologie gehört. Darüber hinaus dient sie der besseren Kontrollierbarkeit der Datenverarbeitung durch die Datenschutzaufsichtsbehörden. Der Anwendungsbereich der „gemeinsamen Verarbeitung“ ist nach Art. 26 Abs. 1 DS-GVO eröffnet, wenn „zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung“ festlegen. Dann gelten sie als „gemeinsam Verantwortliche“ (englisch: joint controller).^[46] Dabei wird in den Erwägungsgründen^[47] für eine gemeinsame Verantwortung der Fall aufgeführt, dass mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirt-schaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.

Voraussetzung des Joint Controls ist, dass mehrere Verantwortliche gemeinsam bestimmen, was Zweck und Mittel der Verarbeitung ist. Zweck ist dabei ein erwartetes Ereignis, das beabsichtigt ist oder die geplanten Aktionen leitet. Mittel ist die Art und Weise, wie ein Ergebnis erzielt wird. Nach Art. 26 DS-GVO wird so auch die Möglichkeit erfasst, dass Datentransfers zwischen mehreren Unternehmen erfolgen bzw. gemeinsam genutzte Datenpools eingerichtet werden.^[48] Hierzu zählt die Blockchain-Technologie, für die kennzeichnend ist, dass sich ein Verantwortlicher i. S. d. DS-GVO nicht ohne Weiteres bestimmen lässt. In der dezentralen Struktur einer Blockchain-Technologie kann gerade nicht auf eine konkrete Einrichtung abgestellt werden, die die alleinige Entscheidungsmacht über die Mittel und Zwecke der Verarbeitung der Daten innehat.^[49] Vielmehr trägt jeder Teilnehmer an der Blockchain zur Verarbeitung der Daten bei, sodass es naheliegt, alle Teilnehmer als Verantwortliche in Betracht zu ziehen. Folgt man dieser Auslegung, so könnten Betroffenenrechte damit grundsätzlich gegen jeden einzelnen der gemeinsam Verantwortlichen geltend gemacht werden.^[50]

Grundsätzlich spielt es für die gemeinsame Verantwortlichkeit keine Rolle, ob die beteiligten Parteien ihr Verhältnis auch als solche bezeichnen oder ob sie eine entsprechende Joint-Control-Vereinbarung treffen. So dürfte es in der Praxis häufig Fälle geben, in denen die Parteien einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen haben, aber tatsächlich eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DS-GVO vorliegt.

VII. Resümee

Die Blockchain-Technologie scheint so gar nicht mit der DS-GVO in Einklang gebracht werden zu können. Die extensive Generierung von Daten steht im Widerspruch zur Datenminimierung, die Stringenz der Blockchain-Technologie steht im Widerspruch Speicherbegrenzung und wenn Betroffene ihre Rechte aus Art. 16. – 18 DS-GVO gelten machen würden, würde dies wahrscheinlich zur Implosion der Blockchain führen. Hinzu kommt, dass die gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO in der Blockchain wahrscheinlich nicht geregelt ist.

Nirgendwo wird so oft der Finger gehoben wie im Datenschutz! Geniale Geschäftsmodelle scheitern immer wieder an der DS-GVO. Die Blockchain-Technologie ist eine herausragende Technologie, die auch nicht mehr wegedacht werden kann, was allein ihr Energiebedarf zeigt. Es macht diesmal wohl mehr Sinn, gesetzliche Erlaubnistatbestände für die Blockchain-Technologie zu schaffen als zu fordern, als dass die Technologie in der Größe eines mittelgroßen Staates abzustellen. Alles andere wäre, gelinde gesagt, ein wenig größenwahnsinnig.

* Prof. Dr. Thomas Söbbing, LL.M. (Düsseldorf / Washington) lehrt Zivilrecht mit dem Recht der Digitalen Wirtschaft a. d. Hochschule Kaiserslautern

_{[1] Glücklich, Blockchain für Anfänger, 1. Aufl. 2017, S. 44.}

_{[2] Blockchains: The great chain of being sure about things. In: The Economist. 31.10.2015, abgerufen am 18.06.2016: „The technology behind bitcoin lets people who do not know or trust each other build a dependable ledger. This has implications far beyond the crypto currency.“, zitiert nach https://de.wikipedia.org/wiki/Blockchain#cite_note-te20151031-1, abgerufen am 26.07.2022.}

_{[3] Narayanan et al., Bitcoin und Cryptocurrency Tech-nologies, 2016, Kap. 1.4; Kütük/Sorge, MMR 2014, 643}

_{[4]Https://www.bafin.de/DE/Aufsicht/FinTech/Blockchain/blockchain_Art..html, abgerufen am 26.07.2022.}

_{[5]https://de.wikipedia.org/wiki/Blockchain#cite_note-te20151031-1, abgerufen am 26.07.2022.}

_{[6]Https://de.statista.com/infografik/18608/stromverbrauch-ausgewaehlter-laender-im-vergleich-mit-dem-des-bitcoins/, abgerufen am 26.07.2022.}

_{[7] Blockchain #Banking: ein Leitfaden zum Ansatz des Distributed Ledger und Anwendungsszenarien, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien, 2016, https://docplayer.org/34625008-Blockchain-banking-ein-leitfaden-zum-ansatz-des-distributed-ledger-und-anwendungsszenarien.html, abgerufen am 26.07.2022.}

_{[8]Https://www.bitpanda.com/academy/de/lektionen/was-ist-bitcoin-mining-und-wie-funktioniert-es/, abgerufen am 26.07.2022.}

_{[9]  Https://www.bafin.de/DE/Aufsicht/FinTech/Blockchain/blockchain_Art..html, abgerufen am 26.07.2022.}

_{[10] Vgl. nur NK-DatenschutzR/Roßnagel, Rn. 121.}

_{[11] Schantz/Wolff, DatenschutzR/Wolff, Rn. 434.}

_{[12] Spindler/Schuster/Spindler/Dalby, 4. Aufl. 2019, DS-GVO Art. 5 Rn. 12.}

_{[13] Dammann, ZD 2016, 307 (311 f.).}

_{[14] Erwägungsgrund 39 DS-GVO auf S. 9.}

_{[15] Hornung, ZD 2012, 99 (103); NK-DatenschutzR/Roßnagel, Rn. 123.}

_{[16] BeckOK DatenschutzR/Schantz, 40. Ed. 01.11.2021, DS-GVO Art. 5 Rn. 24–26.}

_{[17] Paal/Pauly/Frenzel, Rn. 35; Dammann/Simitis, DSRL Art. 6 Rn. 11.}

_{[18] NK-DatenschutzR/Roßnagel, Rn. 119.}

_{[19] Albrecht/Jotzo, Das neue DatenschutzR, Teil 2, Rn. 6.}

_{[20] Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 5 Rn. 43-45.}

_{[21] Gola/Pötters, DS-GVO Art. 5 Rn. 17.}

_{[22] EuArbRK/Franzen, 4. Aufl. 2022, EU (VO) 2016/679 Art. 5 Rn. 9.}

_{[23] Erwägungsgrund 39 DS-GVO auf S. 8.}

_{[24] EuGH, NJW 2014, 2257, Rn. 93 f.}

_{[25] BeckOK DatenschutzR/Schantz, 40. Ed. 01.11.2021, DS-GVO Art. 5 Rn. 32-34.1.}

_{[26] BeckOK DatenschutzR/Schantz, 40. Ed. 01.11.2021, DS-GVO Art. 5 Rn. 32-34.1.}

_{[27] Schmitz, in: Hoeren/Sieber/Holznagel, Handbuch Multimedia-Recht, Werkstand: 58. EL März 2022, Rn. 258–266.}

_{[28] Erwägungsgrund 65 DS-GVO.}

_{[29] Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016, Rn. 11; Sydow/ Peuker Europäische Datenschutzgrundverordnung Handkommentar, 2. Aufl. 2018, Rn. 7; BeckOK IT-Recht/Steinrötter, Rn. 8; BVerwGE 120, 188 = BVerwG NVwZ 2004, 626 ff.}

_{[30] Worms, BeckOK Datenschutzrecht, Wolff/Brink, 40. Edition, Stand: 01.11.2021; Art. 16 Rn. 50.}

_{[31] VGH Kassel, NJW 1993, 3011; BVerwGE 11, 181; Kühling/Buchner/ Herbst, Rn. 18.}

_{[32] Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016, Rn. 18}

_{[33] Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016, Rn. 23 f.; BeckOK IT-Recht/Steinrötter, Rn. 20.}

_{[34] Fox, DuD 2009, 110.}

_{[35] Roßnagel, Datenlöschung und Anonymisierung, ZD 2021, 188.}

_{[36] Zur Problematik des Verantwortlichen siehe IV. Gemeinsame Verarbeitung.}

_{[37] Herbst, in: Kühling/Buchner, DS-GVO/BDSG, 3. Aufl. 2020, Art. 4 Rn. 36.}

_{[38] Roßnagel, Datenlöschung und Anonymisierung, ZD 2021, 188.}

_{[39] Vgl. Erwägungsgrund 79 DS-GVO.}

_{[40] Art. 29 Data Protection Working Party, WP 169 (2010), Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ (abgerufen am 16.02.2010), S. 22.}

_{[41] Art. 29 Data Protection Working Party, WP 169 (2010), Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ (abgerufen am 16.02.2010), S. 22.}

_{[42] Veil, in: Gierschmann et al., Kommentar Datenschutz-Grundverordnung, 1. Aufl. 2018, Art. 26 Rn. 1.}

_{[43] Plath, in: Plath, DS-GVO/BDSG, 3. Aufl. 2018, Art. 26 DS-GVO, Rn. 5.}

_{[44] Veil, in: Gierschmann et al., Kommentar Datenschutz-Grundverordnung, 1. Aufl. 2018, Art. 26 Rn. 1.}

_{[45] Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 26 DS-GVO, Rn. 9.}

_{[46] Damman, ZD 2016, 307, 312.1.}

_{[47] Erwägungsgrund 92 DS-GVO.}

_{[48]  Plath, in: Plath, DS-GVO/BDSG, 3. Aufl. 2018, Art. 26 DS-GVO, Rn. 1.}

_{[49] Söbbing, Joint Controllership nach Art. 26 DS-GVO – Herausforderung der datenschutzrechtlichen Gestaltung, ITRB 2020, 218–222.}

_{[50] Bechtolf, ZD 2018, 66, 69.}