Geplante Änderung des BDSG – Neue Zuständigkeitsregelung für gemeinsam Verantwortliche

Posted on by

Derzeit befindet sich der Referentenentwurf zur Änderung des BDSG in der Verbändeanhörung. Der Referentenentwurf wurde über eine Anfrage bei FragDenStaat öffentlich gemacht.

Nachfolgend möchte ich einige Anmerkungen zu einem neuen § 40a (Artikel 1 Nr. 13 des Entwurfs) machen. 

Der Vorschlag für § 40a BDSG, der sich mit der Zuständigkeit im Fall der gemeinsamen Verantwortlichkeit befasst, ist wie folgt:

§ 40a Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen

Sind Unternehmen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 und mehrere Aufsichtsbehörden für sie zuständig, können die Unternehmen gemeinsam anzeigen, dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Die gemeinsame Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind, und muss die das umsatzstärkste Unternehmen nachweisenden Unterlagen enthalten. Ab dem Zeitpunkt, zu dem die Anzeige im Sinne der Sätze 1 und 2 bei der für das umsatzstärkste Unternehmen zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde. § 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.

In der Begründung (S. 17) wird betont, dass die gemeinsame Verantwortlichkeit ein Rechtsinstitut mit großen praktischen Auswirkungen ist. Zudem sei (nach der Rechtsprechung des Europäischen Gerichtshofs) der Anwendungsbereich der gemeinsamen Verantwortlichkeit sehr weit gefasst. 

„Als Anwendungsfälle gemeinsamer Verantwortlichkeit kommen zum Beispiel in Betracht: Datenplattformen, Unternehmenspräsenz in sozialen Medien (wie Facebook, Twitter, Instagram, XING), Stammdatenverwaltung im Unternehmensverbund, konzernweites Customer-Relationship-Management oder Nutzung eigener Datenbestände für Werbezwecke Dritter.“

Zweck des vorgeschlagenen § 40a BDSG ist laut der Begründung (S. 11), Unternehmen, die Möglichkeit zu geben, ihre gemeinsame Verantwortlichkeit anzuzeigen und „als Rechtsfolge der Anzeige per Gesetz die alleinige Zuständigkeit nur einer einzigen Aufsichtsbehörde herbeizuführen“. 

Die Rechtsänderung soll für die betroffenen Unternehmen auch eine entlastende Wirkung haben, da mögliche behördliche Vorgaben im Zusammenhang mit der Befolgung von Vorschriften der DSGVO nur noch zentral durch eine Stelle erfolgen. 

Anmerkungen

1.

Ganz interessant finde ich, dass der Entwurf mehrere Beispiele benennt, wann aus Sicht des Ministeriums eine gemeinsame Verantwortlichkeit vorliegen kann. Die Annahme, dass Art. 26 DSGVO große Praxisrelevanz hat, ist meiner Erachtens zutreffend. 

Kritisch bzw. mit dem BDSG inkonsistent sehe ich die Verwendung des Begriffs „Unternehmen“. Dieser wird im BDSG ansonsten nicht in dieser Weise genutzt, sondern vielmehr „nichtöffentliche Stellen“ (vgl. § 1 Abs. 4 BDSG). Hier stellt sich die Frage, ob mit „Unternehmen“ etwas anderes gemeint ist, als eine „nichtöffentliche Stelle“? In der Begründung wird auf Art. 4 Nr. 18 DSGVO verwiesen. Soll hier also auf den Begriff „Unternehmen“ nach der DSGVO abgestellt werden? Gibt es einen Unterschied zur „nichtöffentlichen Stelle“ iSd BDSG?

2.

Mir stellt sich auch die Frage, was mit „zuständig“ gemeint ist. Denn nach der DSGVO gibt es ja eine, wenn man so will, einfache Zuständigkeit und bei grenzüberschreitenden Verarbeitungen auch eine federführende Zuständigkeit. Welche ist hier mit „zuständig“ adressiert? Genügt es also für § 40a, wenn für gemeinsam Verantwortliche schlicht Aufsichtsbehörden zuständig sind, etwa allein aufgrund des Sitzes eines Unternehmens? Oder soll § 40a im Fall von eigentlich mehreren federführend zuständigen Aufsichtsbehörden eine Möglichkeit bieten, eine dieser Aufsichtsbehörden auszuwählen? Wenn dies nicht gemeint ist, könnte man ggfs. auch dazu kommen, dass eine „einfach“ zuständige Behörde auf einmal als Aufsichtsbehörde für die gemeinsame Verantwortlichkeit ausgewählt (bzw. „angezeigt“) wird. 

3.

Laut der Begründung soll die Anzeige tatsächlich eine Rechtsfolge auslösen, nämlich die Zuständigkeit festzulegen. Daher hielte ich es für sehr relevant, das Anzeigeverfahren klar und transparent zu regeln. In welcher Form kann die Anzeige zB erfolgen? Per Fax, E-Mail, elektronischem Behördenpostfach? Diesen Punkt halt ich besonders auch deshalb für wichtig, da nach § 40a ja Unterlagen mit gesendet werden soll. In der Praxis haben wir aber das Problem, dass Aufsichtsbehörden zum Teil E-Mail mit Anhängen nicht annehmen oder Anhänge zu groß sind. 

4.

Rechtsfolge der Anzeige ist laut Begründung „per Gesetz die alleinige Zuständigkeit nur einer einzigen Aufsichtsbehörde herbeizuführen“. Dies verstehe ich so, dass die Aufsichtsbehörde an diese Anzeige ebenfalls gebunden sein sollen. Zumindest wird keine Unterscheidung der Rechtsfolge für Verantwortliche und/oder Aufsichtsbehörden vorgenommen. 

Was geschieht aber, wenn eine beteiligte Aufsichtsbehörde nicht einverstanden ist bzw. die Angaben aus der Anzeige anzweifelt? Gibt es hier rechtliche Möglichkeiten der anderen Aufsichtsbehörden, gegen den Akt der Anzeige und/oder seine Rechtswirkung vorzugehen? 

Dasselbe Problem ergibt sich meines Erachtens auch für den Kreis der Verantwortlichen? Wenn ein Unternehmen mit anderen Partnern gemeinsamer Verantwortlicher ist, und dann ein Verantwortlicher voreilig die Anzeige versendet, bindet dies alle gemeinsam Verantwortlichen mit Eingang der Anzeige? Wenn ja, gibt es hiergegen eine Rechtsschutzmöglichkeit für andere Verantwortliche?

Zudem stellt sich mir die Frage, wie man die Rechtsfolge einer Anzeige zurücknehmen kann? Oder ist dies gar nicht vorgesehen. 

5.

Und noch zu dem entscheidenden Zuständigkeitskriterium des § 40a. Die Norm gibt vor, dass allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Das Anknüpfungskriterium des Umsatzes ist meines Erachtens für behördliche Zuständigkeitsfragen ungeeignet. Zum einen kann dies im Ergebnis bedeuten, dass eine Aufsichtsbehörde an dem Sitz eines Unternehmens allein (!) zuständig wird, an dem es keine Leitungspersonen gibt. Hierauf stellt die DSGVO aber gerade bei Fragen der Zuständigkeit, insbesondere bei der Hauptniederlassung, ab. Will man, was sich wohl auf der Begründung ableiten lässt, wegen möglicher Bußgelder die alleinige Zuständigkeit am Ort des höchsten Umsatzes begründen, bricht dies daher aus meiner Sicht mit der Systematik der DSGVO. 

6.

Zudem stellt sich mir die Frage, was es bedeutet, wenn eine Aufsichtsbehörde „allein … zuständig sein soll“? Gelten dann nicht mehr die Vorgaben der DSGVO (bzw. auch des BDSG) zur Zuständigkeit von allen betroffenen Behörden? Will § 40a BDSG also im Grunde das System der federführenden Behörde im Bereich der gemeinsamen Verantwortlichkeit nicht fortführen. Dafür könnte man vorbringen, dass nach Ansicht des EDSA die DSGVO für den Fall des Art. 26 DSGVO gerade keine Zuständigkeitsvorgaben enthält. 

Andererseits durchzieht die DSGVO ja gerade der Gedanke der Abstimmung zwischen zuständigen Aufsichtsbehörden, was gerade der einheitlichen Anwendung der DSGVO dienen soll. Mit dem Vorschlag in § 40a BDSG, wirklich eine komplett singuläre Zuständigkeit einzuführen, die auch nicht einmal mehr im Rahmen von Abstimmungen vor Entscheidungen unter den Aufsichtsbehörden „aufgemacht“ wird, schafft man im Grunde eine zuständige „Superbehörde“, auf deren Entscheidungen andere Aufsichtsbehörden nicht einmal mehr Einfluss nehmen könnten. 

Datenschutzbehörde Österreich: Unzulässige Datenabfragen durch Mitarbeiter können Meldepflichten (Art. 33 und 34 DSGVO) an die Datenschutzbehörde und Betroffene auslösen

Posted on by

Mit Bescheid vom 1.  Januar 2023 entschied die österreichische Datenschutzbehörde, dass ein Verantwortlicher, nachdem eine Art. 33-Meldung durchgeführt wurde, auch die betroffene Person nach Art. 34 DSGVO benachrichtigen muss.

Ein interessanter Aspekt in dem Verfahren war die Frage, ob ein Verantwortlicher (als Arbeitgeber) den Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO unterliegt, wenn intern ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Im konkreten Fall brachte der Verantwortliche vor, dass er für diesen Zugriff gerade nicht datenschutzrechtlich verantwortlich sei, sondern die Mitarbeiterin und daher auch keine Meldepflicht bestünde. Die DSB sah dies anders.

Sachverhalt

Es ging in dem Verfahren um eine Veröffentlichung von Gesundheitsdaten der betroffenen Person im Rahmen eines Social-Media-Beitrags einer Mitarbeiterin der Verantwortlichen. Eine zur Verantwortlichen in einem Ausbildungsverhältnis stehende und bei einer Klinik tätige Mitarbeiterin (Praktikantin) hat im Rahmen ihrer Tätigkeit elektronisch vorhandene Daten einer Patientin (betroffene Person) der Verantwortlichen abgefragt und in weiterer Folge ein Lichtbild des elektronisch dokumentierten Krankheitsverlaufes derselben im Rahmen ihres Social-Media Profils auf einer Plattform veröffentlicht.

Die Verantwortliche macht nur vorsorglich eine Meldung nach Art. 33 DSGVO, da sie u.a. Zweifel an ihrer Verantwortlichkeit und damit der rechtlichen Verpflichtung zur Meldung an die DSB hatte.

Entscheidung

Die DSB geht in ihrem Bescheid davon aus, dass die Verantwortlich sehrwohl einer Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unzulässige Datenverarbeitung durch eine unbefugt handelnde Mitarbeiterin erfolgt. Im Grunde trennt die DSB klar zwischen zwei Verantwortlichkeitsbereichen:

  • Arbeitgeberin (Verantwortliche): Umsetzung geeigneter technischer rund organisatorischer Maßnahmen, um unbefugte Datenverarbeitungen zu unterbinden.
  • Mitarbeiterin (als eigene Verantwortliche): unbefugter Zugriff auf Patientendaten und Veröffentlichung dieser Daten.

Zunächst stellt die DSB klar, dass Art. 33 Abs. 1 DSGVO ausdrücklich zu entnehmen ist, dass sich die darin normierte Meldeverpflichtung ausschließlich an den jeweiligen Verantwortlichen richtet.

Zwar geht auch die DSB davon aus, dass

aus (zweckwidrigen und unternehmensfremden) Datenabfragen uÄ durch Mitarbeiterinnen und Mitarbeiter – insbesondere zu rein privaten Zwecken – im Einzelfall eine eigenständige (uU ausschließliche) datenschutzrechtliche Verantwortlichkeit der natürlichen Person abgeleitet werden kann“.

Jedoch weist die DSB darauf hin, dass Gegenstand des vorliegenden Verfahrens nicht die Verantwortlichkeit dieser Mitarbeiterin ist, sondern

vielmehr die – gewissermaßen vorgelagerte – Melde- und Benachrichtigungsverpflichtungen der (möglicherweise bloß ursprünglichen) Verantwortlichen“.

Die DSB stützt sich für ihre Ansicht auch auf die Leitlinien 07/2020 des EDSA zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“, wonach selbst, wenn ein Beschäftigter seine Befugnis im Zusammenhang mit der Verarbeitung von Daten (unzulässigerweise) überschreitet, die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen.

Zudem verweist die DSB auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts vom 20. Januar 2022. Dort ging das BVwG im Falle der eigenmächtigen Datenverwendung durch einen Bediensteten davon aus, dass die dahinterstehende Organisation (konkret: Behörde) weiterhin für die Art und Weise der Verarbeitung bzw. Verwendung durch deren Bedienstete verantwortlich sei, auch soweit es sich um eine sorgfaltswidrige Verwendung oder überschießende Akteneinsicht handle.

In diesem Zusammenhang wurde darauf hingewiesen, dass rechtlich zwischen dem datenschutzrechtlich relevanten Verhalten der Behörde (als ursprüngliche Verantwortliche) und dem datenschutzrechtlich relevanten Verhalten eines/einer allfälligen Dritten zu unterscheiden sei.“

Daher kommt die DSB zu dem Ergebnis, dass ein ursprünglich datenschutzrechtlicher Verantwortlicher – selbst bei Verlust der Verfügungsmacht über oder bei unberechtigtem Zugriff Dritter auf dessen Datenbestand – Verpflichteter iSd Art. 33 und 34 DSGVO ist bzw. bleibt und sich das diesbezügliche Vorbringen der Verantwortlichen im Verfahren als unbeachtlich erwies.

Keine Beschwerde bei der Datenschutzbehörde, wenn der Verantwortliche Geld zahlt – Österreichische Aufsichtsbehörde: Rechtsmissbrauch. 

Posted on by

Die österreichische Datenschutzbehörde (DSB) hat Anfang 2023 in einem Bescheid festgestellt, dass die Behörde nicht tätig werden muss, wenn ein Beschwerdeführer zuvor dem Verantwortlichen gegen Zahlung angeboten hat, die behaupteten Verletzung von Art. 15 DSGVO nicht gerichtlich oder per Beschwere bei der DSB zu verfolgen. Die Behörde stützt ihre Entscheidung auf Art. 57 Abs. 4 DSGVO. Dort wird (genauso wie in Art. 12 Abs. 5 DSGVO) geregelt, dass sich die Behörde im Falle von offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anfragen weigern kann tätig zu werden oder ein angemessenes Entgelt verlangen kann. 

Sachverhalt

Der Beschwerdeführer hatte zuvor den Verantwortlichen informiert, dass er auch gegen Zahlung von 2.900 EUR dazu bereit wäre, die seiner Ansicht nach bestehenden Rechtsverletzungen nicht per Beschwerde ggü. der DSB anzuzeigen und auch nicht gerichtlich vorzugehen. Im weiteren Verlauf der Auseinandersetzung zwischen der betroffenen Person und dem Verantwortlichen wendete sich der Betroffene schließlich doch mit einer Beschwerde an die DPA.

Entscheidung der DSB

Die DSB begründet ihre Entscheidung wie folgt: 

„Vor diesem Hintergrund kann nach Ansicht der Datenschutzbehörde beim Beschwerdeführer allerdings von keinem tatsächlichen Rechtschutzbedürfnis ausgegangen werden, weshalb die verfahrensgegenständliche Beschwerdeerhebung als unredlich und die Inanspruchnahme der Tätigkeit der Datenschutzbehörde durch den Beschwerdeführer als rechtsmissbräuchlich zu qualifizieren ist.“

Daher lehnte die DSB die Beschwerde (nach Art. 57 Abs. 4 GDPR), wegen offensichtlicher Unbegründetheit ab. Der EDSA geht in seinen Guidelines zu Art. 15 DSGVO (auf S. 59 in Rn. 190) wohl eher davon aus, dass in solchen Fällen ein exzessiver Antrag und nicht der Fall der offensichtlichen Unbegründetheit vorliegt.

Übertragung auf Betroffenenrechte?

Vor dem Hintergrund stellt sich die praxisrelevante Frage, ob Verantwortliche sich bei Angeboten zur Unterlassung der Verfolgung von behaupteten DSGVO-Verstößen gegen Geldzahlung auf Art. 12 Abs. 5 DSGVO berufen können? Schließlich sind die in Art. 12 Abs. 5 DSGVO und Art. 57 Abs. 4 DSGVO geregelten Voraussetzungen dem Wortlaut nach identisch. Es muss ein offensichtlich unbegründeter Antrag oder ein exzessiver Antrag vorliegen. 

Wenn eine betroffene Person ggü. einem Verantwortlichen seine Rechte aus Art. 15 DSGVO in der Praxis geltend macht, dann wird sicherlich nicht direkt bei der Anfrage ein Angebot zur Nichtverfolgung von Rechtsverletzungen gegen Zahlung erfolgen. Sofern ein Verantwortlicher innerhalb der gesetzlichen Frist die Vorgaben aus Art. 15 DSGVO nach Ansicht des Betroffenen nicht oder nicht vollständig erfüllt hat, sind solche „Angebote“ schon eher denkbar. Dann können Verantwortliche unter Bezugnahme auf die Entscheidung aus Österreich gegen das Bestehen eines Anspruchs argumentieren. Man sollte hingegen dann vorsichtiger mit der Berufung auf Art. 12 Abs. 5 DSGVO sein, wenn man den Auskunftsanspruch vor Erhalt des „Zahlungsangebots“ nach eigener Ansicht nicht vollständig erfüllt hat.

Bayerischer Verwaltungsgerichtshof: Kein Löschanspruch für alle Daten aus Personalakte – auch nicht nach Ende des Beamtenverhältnisses

Posted on by

Der Bayerische Verwaltungsgerichtshof (VGH) hat Beschluss vom 29.06.2023 (Az. 6 ZB 23.530) einige interessante Aussagen zu den Datenschutzgrundätzen der Datenminimierung, Speicherbegrenzung und Richtigkeit nach Art. 5 Abs. 1 DSGVO getroffen. 

Sachverhalt

In dem Verfahren vor dem VGH verfolgte der Kläger seine Klage gerichtet auf Löschung von Dokumenten aus seiner Personalakte weiter, die vor dem Verwaltungsgericht erfolglos geblieben ist. Er begehrte u.a. die Löschung von Unterlagen überwiegend zu Vorgängen aus den Jahren 2004 bis 2006 sowie 2010 bis 2014, die im Rahmen der Beurteilung der Verwendungsfähigkeit des Klägers im Polizeidienst und seiner allgemeinen Dienstfähigkeit entstanden sind, sowie Unterlagen zur Verlängerung der Probezeit.

Der Kläger meint, sämtliche Einträge in der Personalakte, die vor dem 16. Juni 2006 datieren, seien zu löschen, weil das damalige Beamtenverhältnis zu diesem Zeitpunkt endete und nicht mehr in sachlichem Zusammenhang zu dem nunmehrigen Beamtenverhältnis stehe. 

Entscheidung des VGH

Nach Ansicht des VGH besteht kein Löschanspruch aus der DSGVO. 

Datenminimierung

Zum Grundsatz nach Art. 5 Abs. 1 lit. c) DSGVO stellt der VGH fest, dass die während des Bestehens eines Beamtenverhältnisses in der Personalakte gesammelten Daten grundsätzlich auch dann angemessen, erheblich und auf das notwendige Maß beschränkt bleiben, 

„wenn der betroffene Beamte aus dem Beamtenverhältnis ausscheidet.“ 

Das Gericht also davon aus, dass Daten aus der Personalakte nicht zwingend sofort zu löschen sind, nur weil ein Anstellungsverhältnis (hier: Beamtenverhältnis) endet. Die Unterlagen über krankheitsbedingte Dienstunfähigkeiten dienten hier nicht nur der Feststellung von aktuellen Fehlzeiten, sondern bleiben auch gegebenenfalls für mögliche Reaktivierungs- oder auch Wiedereinstellungsprüfungen von Bedeutung. Gerade diesbezüglich könne es aber es auf den jeweiligen historischen Kontext ankommen. 

Zudem stellt der VGH fest: 

„Eine Löschung könnte vielmehr umgekehrt gegen den Grundsatz der Datenrichtigkeit verstoßen.“

Datenrichtigkeit

Der Grundsatz nach Art. 5 Abs. 1 lit. d) DSGVO, wonach personenbezogene Daten sachlich richtig und „erforderlichenfalls auf dem neuesten Stand“ sein müssen, könne den Löschungsanspruch ebenfalls begründen. 

Denn, so der VGH, die Daten sind durch das Ausscheiden des Klägers aus dem Dienst ja nicht etwa unrichtig geworden.

„sie bleiben vielmehr mit Blick auf die damalige Rechtswirklichkeit weiterhin richtig.“

Bedeutet: keine Löschung oder Änderungen der faktisch richtigen Vergangenheit durch die DSGVO. Daher bestehe auch kein Berichtigungsanspruch aus Art. 16 DSGVO. Der VGH begründet seine Ansicht damit, dass nur wenn die Personalakten auf dem Stand gehalten werden, der zum jeweiligen Zeitpunkt richtig war, ein möglichst lückenloses Bild der Entstehung und Entwicklung des Dienstverhältnisses als historischem Geschehensablauf dokumentiert werden könne. 

Speicherbegrenzung

Zuletzt folgert der VGH aus seinen Ausführungen, dass damit auch der Grundsatz nach Art. 5 Abs. 1 lit. e) DSGVO der weiteren Speicherung der bis zum Ausscheiden des Klägers aus dem Beamtenverhältnis im Jahr 2006 in seiner Personalakte gesammelten Daten nicht entgegenstehe.

Österreichische Datenschutzbehörde: Blacklisting von ehemaligen Kunden ist zulässig

Posted on by

Die Österreichische Datenschutzbehörde (DSB) berichtet in ihrem aktuellen Newsletter 3/2023 über eine von ihr entschiedene Beschwerde, in der es um die praxisrelevante Frage ging, ob ein Unternehmen in seiner Kundendatenbank dauerhaft Informationen dazu speichern darf, dass mit einem (ehemaligen) Kunden in Zukunft keine Verträge mehr geschlossen werden sollen.

Sachverhalt

Konkret ging es um einen internen Vermerk, dass es in der Vergangenheit mit dem Kunden zu Unregelmäßigkeiten und Konflikten kam. Daher wollte man mit dem Kunden (einem anderen Unternehmen) keine neuen Verträge mehr abschließen. Der Kunde (und sein Geschäftsführer) beschwerten sich bei der DSB über diese Datenverarbeitung.

Entscheidung der DSB

Die DSB wies die Beschwerde ab. Nach ihrer Ansicht stehe es dem Unternehmen (als Verantwortlichen) vor dem Hintergrund der Privatautonomie frei, mit wem ein Vertrag abgeschlossen wird.

Der interne Vermerk und darin enthaltene personenbezogene Daten stellen auch keine rechtswidrige Datenverarbeitung dar. Die Verarbeitung, dass im internen Warenwirtschaftssystem festgehalten wird, dass mit bestimmten (juristischen) Personen, mit denen es bei früheren Geschäftskontakten zu Konflikten gekommen ist, von zukünftigen Vertragsabschlüssen absehen wird, kann auf Basis der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erfolgen.

Fazit

In der Praxis sehen sich Unternehmen, insbesondere im Online-Handel, immer wieder mit der Situation konfrontiert, dass (ehemalige) Kunden durch ihr Verhalten Anlass dazu geben, mit ihnen in Zukunft keine vertragliche Beziehung mehr einzugehen. Der EuGH geht in ständiger Rechtsprechung davon aus (vgl. etwa C‑283/11, Rz. 43), dass die Vertragsfreiheit u. a. die freie Wahl des Geschäftspartners umfasst. Zur Ausübung dieser Freiheit sieht es die Datenschutzbehörde zurecht als zulässig an, dass bestimmte Daten gespeichert werden.

BayLDA: Frist zur Auskunftserteilung beginnt auch, wenn Anfrage beim Auftragsverarbeiter eingeht

Posted on by

In seinem aktuellen Tätigkeitsbericht 2022 (PDF) geht des BayLDA auf ein praxisrelevantes Thema bei der Erfüllung von Betroffenenrechten ein. Es geht, unter anderem, um die Frage, ob die in Art. 12 Abs. 3 DSGVO vorgesehene Monatsfrist bereits dann beginnt, wenn ein Betroffener eine Auskunftsanfrage nach Art. 15 DSGVO nicht an den Verantwortlichen, sondern dessen Auftragsverarbeiter richtet (S. 28).

Bsp: Der Betroffen sieht in den Datenschutzhinweisen eines Online-Shops, dass der Betreiber einen Hosting-Anbieter als Auftragsverarbeiter angibt. Der Betroffene und Kunde des Shops richtet nun einen Auskunftsanspruch in Bezug auf seine Kundendaten nicht an den Shop-Betreiber, sondern den Hosting-Anbieter.

Pflichten des Auftragsverarbeiters

Das BayLDA stellt zunächst fest, dass in dem Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 lit. e) DSGVO vorzusehen ist, dass der Verantwortliche nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt wird, seiner Pflicht zur Beantwortung von Ersuchen gem. Art. 12 ff. DS-GVO, somit auch eines Auskunftsersuchens nachzukommen.

Achtung. Hiervon zu unterscheiden ist die Situation, dass ein Verantwortlicher einen Dienstleister als Auftragsverarbeiter konkret für die Bearbeitung von Betroffenenanfragen einsetzt. Dies ist möglich, jedoch muss auch hier der Prozess sauber implementiert und geprüft werden, wie ein Bußgeld in Höhe von 50.000 EUR durch das LDA Brandenburg aus der Vergangenheit zeigt (Tätigkeitsbericht 2019, S. 29, PDF). Dort wurde unter anderem gegen Art. 12 DSGVO verstoßen, da die Korrespondenz im Rahmen der Auskunftserteilung unter dem Logo des Dienstleisters durchgeführt wurde und das Unternehmen die Betroffenen nach Antragstellung zur Auskunftserteilung zunächst nur in englischer Sprache kontaktierte.

Zurück zum Fall des BayLDA. Die Aufsichtsbehörde verlangt, wenn Betroffenenanfragen bei dem Auftragsverarbeiter eingehen, dass

z.B. Auskunftsersuchen bezüglich der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich an den Verantwortlichen weitergeleitet werden“.

Fristbeginn bereits bei Eingang beim Auftragsverarbeiter

Jedoch geht das BayLDA noch einen Schritt weiter. Hinsichtlich der in Art. 12 Abs. 3 DSGVO geregelten Frist von einem Monat zur Beantwortung der Auskunftsanfrage vertritt die Aufsichtsbehörde:

Geht also das Ersuchen beim Auftragsverarbeiter ein, bewirkt dies den Fristbeginn beim Verantwortlichen, nachdem diesen das Handeln des Auftragsverarbeiters insoweit zuzurechnen ist.“

Im Ergebnis bedeutet dies, dass sich der Verantwortliche die Tatsache des Eingangs des Auskunftsersuchens beim Auftragsverarbeiter wie ein Eingang bei sich zurechnen lassen muss. Für die Praxis kann dies dazuführen, dass der Verantwortliche faktisch noch gar nichts weiß, dass eine Auskunftsanfrage gestellt wurde. Wenn der Auftragsverarbeiter sich 1-2 Wochen mit der Weiterleitung Zeit lässt, hat der Verantwortliche entsprechend weniger Zeit zur Beantwortung. Will sich ein Verantwortlicher in diesem Fall darauf berufen, dass der Auftragsverarbeiter nicht ordentlich gearbeitet habe, ist dies aber ebenso ein Risiko. Denn nach Art. 28 Abs. 1 DSGVO muss der Verantwortliche seine Auftragsverarbeiter ordentlich auswählen und nur solche einsetzen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die DSGVO eingehalten wird.

Kritik an der Ansicht des BayLDA

Meines Erachtens muss man die Auffassung des BayLDA hier nicht zwingend teilen.

Zum einen könnte man recht schlicht auf die Vorgaben und den Wortlaut des Art. 12 Abs. 3 DSGVO abstellen. Dort wird nur der „Verantwortliche“ adressiert, nicht aber der Auftragsverarbeiter. Andererseits verstehe ich auch die Auffassung des BayLDA, dass es den Auftragsverarbeiter quasi in der rechtlichen Sphäre des Verantwortlichen sieht.

Gegen die Ansicht des BayLDA spricht aber aus meiner Sicht insbesondere ein vergelichender Blick auf die ähnliche Situation, wenn bei dem Auftragsverarbeiter eine potentielle Datenschutzverletzung passiert.

Die DSGVO sieht für diesen Fall in Art. 33 Abs. 2 DSGVO gerade keinen Fristenlauf der 72 Stunden vor. Sondern verpflichtet den Auftragsverarbeiter vielmehr „nur“, die mögliche Datenschutzverletzung unverzüglich an den Verantwortlichen zu melden. Diese Regelung wäre aber überflüssig, wenn der Verantwortliche sich die Kenntnis des Auftragsverarbeiters zurechnen lassen müsste und die 72 Stunden schon zu laufen beginnen, wenn der der Auftragsverarbeiter Kenntnis hat. Der Gesetzgeber scheint also gerade nicht automatisch von einer Zurechnung des Wissens oder der Kenntnis an den Verantwortlichen auszugehen.

Auch die europäischen Datenschutzbehörden gehen ausdrücklich für Art. 33 DSGVO davon aus, dass Fristen gerade noch nicht beginnen, wenn nur der Auftragsverarbeiter Kenntnis einer potentiellen Verletzung hat.

In den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (WP250rev.01) heißt es (S. 15):

Der Verantwortliche nutzt den Auftragsverarbeiter, um seine Ziele zu erreichen; deshalb gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat.“

Die Kenntnis des Verantwortlichen wird klar an den Zeitpunkt der Meldung vom Auftragsverarbeiter an den Verantwortlichen geknüpft.

Und auch in seinen Guidelines 9/2022 on personal data breach notification under GDPR (PDF) geht der EDSA davon aus (S. 14):

The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has informed it of the breach.”

Und auch in den Leitlinien des EDSA zu Art. 15 DSGVO (PDF) wird klar auf den Eingang beim Verantwortlichen abgestellt (S. 50):

„The time limit starts when the controller has received an Art. 15 request, meaning when the request reaches the controller through one of its official channels“

Folgen für die Praxis

Folgt man der Ansicht des BayLDA, ist in der Praxis eine enge Kontrolle und strenge Vorgaben an die eigenen Auftragsverarbeiter absolut geboten. Jeder weiß, wie schnell die Frist von einem Monat abläuft. Wenn der Auftragsverarbeiter hier eher gemütlich unterwegs ist, kann dies im schlimmsten Fall dazu führen, dass man als Verantwortlicher gegen die DSGVO verstößt. Eventuell sollte man dieses Risiko auch in Verträgen mit den Auftragsverarbeitern adressieren (Ersatzpflicht bei verspäteter Weiterleitung).

Wie beschrieben, gibt es aber aus meiner Sicht auch valide Argumente, der Ansicht des BayLDA nicht zu folgen. Zumindest Verantwortliche in Bayern sollten hier aber natürlich wissen, dass ihre Aufsichtsbehörde dies im Streitfall ggfs. anders sieht und eine entsprechend valide Argumentation vorweisen.

Verwaltungsgericht Berlin: Anforderungen an die Identifizierung bei Auskunftsanfragen – Mitwirkungsobliegenheit des Betroffenen

Posted on by

Im Rahmen eines Verfahrens zur Bewilligung von Prozesskostenhilfe hat sich das Verwaltungsgericht (VG) Berlin mit der Frage befasst, wann Verantwortliche einen Antrag auf Auskunft nach Art. 15 DSGVO wegen begründeter Zweifel an der Identität der anfragenden Person ablehnen und mehr Informationen anfordern können (Beschl. v. 24.4.2023, Az. VG 1 K 227/22).

Sachverhalt

Ein Betroffener war mit einem ablehnenden Bescheid der Berliner Datenschutzbehörde gegen ihn nicht zufrieden und klagte dagegen. Die Behörde hatte keine Verstöße gegen die DSGVO durch eine Auskunftei erkannt. Inhaltlich ging es vorab um die Beschwerde des Betroffenen gegen eine nicht gewährte Auskunft nach Art. 15 DSGVO durch eine Auskunftei. Diese hatte die Auskunft wegen begründeter Zweifel verweigert und zur Identifizierung mehr Daten angefordert (Art. 12 Abs. 6 DSGVO), jedoch nicht erhalten.

Entscheidung

Das VG lehnte den Antrag auf Bewilligung von Prozesskostenhilfe ab. Es sah für den Betroffenen in dem Vorgehen gegen die Entscheidung der Datenschutzbehörde keine Erfolgsaussichten. Dies deshalb, weil das Verhalten der Auskunftei in Bezug auf die Verweigerung der Auskunft und Anforderung weiterer Daten zur Identifizierung zulässig war.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind, wenn er begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag nach Art. 15 DSGVO stellt.

Das VG äußert sich dazu, wann man seiner Ansicht nach von „Zweifeln“ ausgehen darf.

Zweifel an der Identität setzen voraus, dass die vorhandenen Daten auf eine bestimmte Identität hindeuten und somit eine Identifizierung grundsätzlich möglich ist, aber nach den Umständen Zweifel daran bestehen, ob der Antragsteller tatsächlich die als Betroffener identifizierte Person ist.“

Wichtig: pauschale Zurückweisungen sind nach Ansicht des VG nicht möglich. Der Verantwortliche hat seine Zweifel vielmehr einzelfallbezogen darzulegen.

Für Verantwortliche in der Praxis relevant ist die Feststellung des VG dazu, wie sich der Betroffene in einer solchen Situation zu verhalten hat.

Gleichzeitig besteht für den Betroffenen eine Mitwirkungsobliegenheit, denn ohne dessen Mitwirkung wird es dem Verantwortlichen nicht möglich sein, die dargelegten Identitätszweifel zu entkräften.“

Im konkreten Fall prüfte das VG dann, ob die Auskunftei hier von Zweifeln ausgehen und wegen dieser Unsicherheit die Auskunft zunächst verweigern durfte. Hierbei werden durch das Gericht einige sicher auch für andere Verantwortliche relevante Kriterien herausgearbeitet.

Zu berücksichtigen sind:

  • Die Sensibilität der abgefragten Informationen. Denn Wirtschaftsauskunfteien speichern im Einzelfall ein erhebliches Maß zahlreicher personenbezogener Informationen, insbesondere solcher, die einen Schluss auf die Bonität einer Person zulassen.
  • Zweifelsfreie Identifikation des Antragstellers nicht möglich, weil es namentliche und/oder weitere Überschneidungen zu weiteren Datensätzen gab.

Zuletzt stellte sich noch die Frage, ob das Unternehmen zur Identifikation das Geburtsdatum und gegebenenfalls frühere Anschriften abfragen durfte. Das VG geht davon aus, dass die Anforderung dieser Merkmale zulässig war.

„Das Geburtsdatum einer Person ist zur Identifizierung geeignet, da es eine häufig für Dritte weniger ersichtliche persönliche Information darstellt“.

Zudem stand die Abfrage des Geburtsdatums zu dem Zweck der Identifizierung des Antragstellers auch nicht außer Verhältnis, insbesondere mit Blick auf die erhöhte Sensibilität der bei Wirtschaftsauskunfteien gespeicherten Daten.

Der Antragsteller hat jedoch – unter Verstoß auf die ihm obliegende Mitwirkungspflicht – nicht auf die damit berechtigte Anfrage … reagiert“.

Virtuelles Hausverbot: DSGVO erlaubt dauerhafte Datenspeicherung

Posted on by

In ihrem aktuellen Tätigkeitsbericht für das Jahr 2022 (PDF), berichtet die Datenschutzbehörde Sachsen von einem Fall, in dem es um die Frage der datenschutzrechtlichen Zulässigkeit eines virtuellen Hausverbots und dessen Durchsetzung ging.

Ein Betroffener beschwerte sich bei der Aufsichtsbehörde, dass seine E-Mail-Adresse bei einem Sozialen Netzwerk, einem Online-Club, gespeichert wird, dessen Mitglied er war. Sein Zugang zum Club war zuvor von dem betreibenden Unternehmen gesperrt worden. Der Betroffene verlangte Löschung aller seiner Daten. Das Unternehmen teilte der Behörde mit, dass das Profil des Betroffenen gelöscht worden sei, weil dieser gegen interne Regeln mehrfach und gravierend verstoßen habe. Deswegen sei gegen ihn ein virtuelles Hausverbot verhängt worden. Um dieses durchzusetzen, blieben die E-Mail-Adressen gesperrter (ehemaliger) Mitglieder in einer internen Blacklist gespeichert, um den weiteren Zugang zu verhindern.

Die Datenschutzbehörde prüfte die Speicherung auf der Blacklist auf Grundlage einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Ihr Ergebnis:

„Nach den vorliegenden Informationen konnte meine Behörde – auch in der Abwägung der verschiedenen Interessen und betroffenen Rechte – keinen Datenschutzverstoß erkennen.“

Das virtuelle Hausverbot war nach Ansicht der Behörde grds. zulässig. Die Behörde verweist hierzu u.a. auch auf Rechtsprechung des Bundesgerichtshofs. Zudem wurde hier auch in den Nutzungsbedingungen das Recht des Betreibers geregelt, insbesondere bei Verstößen gegen die Nutzungsbedingungen, den Zugang des Nutzers zeitweilig oder dauerhaft zu sperren. Dies dürfte bei dem Merkmal der „vernünftigen Erwartungen“ der Betroffenen (ErwG 47 DSGVO) eine Rolle gespielt haben. Zur Durchsetzung des Hausverbots war es nach Ansicht der Behörde auch erforderlich, dass bestimmte Informationen des früheren Mitglieds zum Beispiel in einer Blacklist gespeichert bleiben. Denn sonst wäre die Identität des Mitglieds für den Anbieter nicht mehr erkennbar und ein Nutzungsverbot nicht durchsetzbar. Zudem informierte der Betreiber auch in seinen Datenschutzhinweisen über die Verarbeitung zur Durchsetzung des Hausverbots. Zuletzt führt die Behörde an, dass es ihrer Ansicht nach auch verhältnismäßig sei, Daten auf Blacklist dauerhaft zu speichern.

Ergänzend könnte man meines Erachtens als Rechtsgrundlage auch noch Art. 6 Abs. 1 lit. b DSGVO andenken; eine Datenverarbeitung im Rahmen der Anbahnung eines (neuen) Vertragsverhältnisses oder zur Abwicklung des vormaligen Vertragsverhältnisses. Hier dürfte sich ggfs. die Frage der Erforderlichkeit stellen, was sicher von dem Einzelfall (z.B. was war Inhalt des Vertrages & der AGB; Möglichkeit zur Berufung auf Abschlussfreiheit eines Vertrages durch das Unternehmen) abhängt.

Für die Praxis wird man mitnehmen können:

  • Die Datenverarbeitung zur Durchsetzung eines virtuellen Hausrechts ist zulässig
  • Betroffenen sollten sowohl im Vertrag als auch in den Datenschutzhinweisen klar darüber informiert worden sein, wann dies geschehen kann und was die Folgen sind
  • Es dürfen nur die zur Durchsetzung tatsächlich erforderlichen Daten gespeichert werden

Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters

Posted on by

Eine weitere wichtige DSGVO-Interpretation vom 4.5.2023 (dem Datenschutztag am EuGH), die bisher kaum beachtet wurde: in der Rechtssache C-683/21 hat Generalanwalt Emiliou seine Schlussanträge (bisher nur auf Englisch verfügbar) zu einigen relevanten Fragen zur Anwendung der DSGVO vorgelegt. Zu der Frage der Voraussetzungen einer gemeinsamen Verantwortlichkeit hatte ich hier im Blog bereits berichtet.

Zudem befasst sich der Generalanwalt aber unter anderem auch noch mit der Frage, ob gegen einen für die Verarbeitung Verantwortlichen in Anwendung von Art. 83 DSGVO eine Geldbuße verhängt werden kann, wenn die rechtswidrige Verarbeitung personenbezogener Daten nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde.

Also: die Haftung des Verantwortlichen für seinen Auftragsverarbeiter. Ein für die Praxis extrem relevantes Thema, wenn wir an die vielen Geschäfts- und Verarbeitungsprozesse denken, in denen Dienstleister als Auftragsverarbeiter eingesetzt werden.

Die kurze Antwort des Generalanwalts: „Meines Erachtens ist diese Frage zu bejahen.“

Zunächst stellt der Generalanwalt klar, dass ein für die Verarbeitung Verantwortlicher keine personenbezogenen Daten selbst verarbeiten muss, solange er das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge bestimmt. Er kann sich hierfür eines Auftragsverarbeiters bedienen.

Die Definition des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, dass „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ werden, bestätigt nach Ansicht des Generalanwalts, dass im Rahmen der Anwendung der DSGVO ein Verantwortlicher haftbar gemacht und nach Art. 83 DSGVO mit einer Geldbuße belegt werden kann,

wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde“. (Rz. 94)

Die Haftung des Verantwortlichen gilt jedoch nicht für jede Tätigkeit des Auftragsverarbeiters, sondern nur, soweit ein Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm von dem für die Verarbeitung Verantwortlichen erteilten Auftrags handelt und die Daten gemäß den rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet“. (Rz. 95)

Wichtig: die Haftung für den Dienstleister greift also nur, solange dieser im Rahmen des Auftrages agiert.

 „Wenn der Auftragsverarbeiter jedoch über den Rahmen dieses Auftrags hinausgeht und die als Auftragsverarbeiter erhaltenen Daten für seine eigenen Zwecke verwendet …, kann gegen den für die Verarbeitung Verantwortlichen meines Erachtens keine Geldbuße“ für die unrechtmäßige Verarbeitung verhängt werden.

Ein Bußgeld kann daher auch dann gegen einen Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters verhängt werden, wenn personenbezogene Daten nur vom Auftragsverarbeiter rechtswidrig verarbeitet wurden und der Verantwortliche an der Verarbeitung nicht beteiligt ist.

Die Erkenntnisse des Generalanwalt werden viele eventuell nicht als „bahnbrechend“ ansehen. Meines Erachtens ist aber zum einen beachtenswert, dass das Haftungsrisiko des Auftraggebers für seine Dienstleister nun durch einen Generalanwalt am EuGH klar herausgestellt wurde. Zum anderen verdeutlichen die Schlussanträge für die Praxis noch einmal, dass man als Verantwortlicher genaues Augenmerk auf seine vertraglichen Beziehungen zu Auftragsverarbeitern legen sollte.

Was ist also wichtig:

  • Haftung für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der rechtmäßigen Weisungen agiert
  • Daher ist sehr relevant, die das System der Weisungserteilung in der Praxis ausgestaltet ist (wer erteilt in welcher Form welche Weisungen?)
  • Zudem muss unbedingt klar definiert werden, was der Auftrag ist. Denn, je unbestimmter und damit umfassender der Auftrag an den Dienstleister ausgestaltet ist, desto höher ist mein Haftungsrisiko als Verantwortlicher

Generalanwalt: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) kann auch bei Fehlen einer Vereinbarung oder einer gemeinsamen Entscheidung zwischen den Verantwortlichen vorliegen

Posted on by

In der Rechtssache C-683/21 (derzeit noch nicht auf Deutsch verfügbar) hatte sich Generalanwalt Emiliou (Schlussanträge vom 4. Mai 2023) u.a. mit der Frage zu befassen, wann eine gemeinsame Verantwortlichkeit nach Art. 4 Nr. 7 und Art. 26 DSGVO anzunehmen ist. Nach Ansicht des Generalanwalts hängt die gemeinsame Verantwortlichkeit von der Erfüllung von nur zwei objektiven Voraussetzungen ab (Rn. 41).

  • Erstens muss jeder gemeinsam für die Verarbeitung Verantwortliche die Kriterien erfüllen, die in der Definition des Begriffs „für die Verarbeitung Verantwortlicher“ in Art. 4 Nr. 7 DSGVO enthalten sind. Jede Partei muss also für sich als Verantwortlicher qualifiziert werden können.
  • Zweitens muss der Einfluss der für die Verarbeitung Verantwortlichen über die Verarbeitung gemeinsam ausgeübt werden. Die gemeinsame Beteiligung an der Verarbeitung kann in verschiedenen Formen erfolgen und muss nicht auf einer gemeinsamen Entscheidung der Beteiligten beruhen.

Dies ist ein wichtiger erster Punkt: Es ist keine gemeinsame Entscheidung der beteiligten Parteien erforderlich.

Der Generalanwalt stellt klar, dass der inhaltliche und funktionale Ansatz, der erforderlich ist, um festzustellen, ob eine Person oder Einrichtung als „für die Verarbeitung Verantwortlicher“ anzusehen ist, auch für die gemeinsame Verantwortlichkeit gilt. Es geht am Ende also um rein faktische Einflussmöglichkeiten auf die Verarbeitung.

Die logischen Konsequenzen sind, dass

  • das Fehlen einer Vereinbarung oder Absprache oder sogar einer gemeinsamen Entscheidung zwischen zwei oder mehreren für die Verarbeitung Verantwortlichen an sich die Feststellung nicht ausschließt, dass sie „gemeinsam für die Verarbeitung Verantwortliche“ sind (Randnummer 42)
  • allein die Tatsache, dass zwei Unternehmen ihre Handlungen nicht koordiniert oder anderweitig miteinander zusammengearbeitet zu haben scheinen, nicht bedeutet, dass sie nicht als „gemeinsam für die Verarbeitung Verantwortliche“ angesehen werden können (Randnummer 43).

Wichtiger zweiter Punkt: Vereinbarung oder Absprache nicht zwingend erforderlich.

Laut der Stellungnahme kommt es darauf an, „dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre“. Die Anforderungen für die Annahme einer gemeinsamen Verantwortlichkeit sind daher äußerst niedrig und werden in der Praxis wahrscheinlich häufig erfüllt.