Nach den Schlussanträgen des Generalanwalts am EuGH in der Sache C-210/16 zur datenschutzrechtlichen Verantwortlichkeit bei der Datenverarbeitung von Besuchern von Webseiten (hier mein Beitrag dazu) ist der Begriff der „gemeinsamen Verantwortlichkeit“ (siehe Art 26 DSGVO) wieder etwas mehr ins Bewusstsein der Datenschutzpraxis gerückt. Die Rechtsfigur ist, europarechtlich betrachtet, nicht komplett neu, für uns BDSGler aber doch eine Umstellung und in Art 26 DSGVO umfassender ausgeformt als derzeit in der Europäischen Datenschutzrichtlinie.
Wie bekannt, stellen nach Ansicht des Generalanwalts am EuGH sowohl die in Schleswig-Holstein ansässige Wirtschaftsakademie und die Facebook Inc. aus den USA und die Facebook Ltd. aus Irland zumindest für die Erhebung von Nutzerdaten über die Facebook-Seite (Fanpage) der Wirtschaftsakademie gemeinsam Verantwortliche dar. Bereits diese Feststellung, sollte sie auch vom EuGH getroffen werden, bringt Fragen in der praktischen Umsetzung der DSGVO-Pflichten mit sich.
Mir ist in diesem Zusammenhang jedoch noch eine andere Thematik in den Sinn gekommen. Nämlich die Frage danach, welche europäische Aufsichtsbehörde denn dann in diesem konkreten Fall oder auch allgemein bei Vorliegen von gemeinsam Verantwortlichen die sog. „federführende Aufsichtsbehörde“ (Art. 56 DSGVO) ist. Der federführenden Aufsichtsbehörde kommt in dem durch die DSGVO etablierten System des one-stop-shop eine wichtige Bedeutung zu. Nach Art. 56 Abs. 6 DSGVO ist sie der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung. Gerne umschreibe ich sie salopp auch als den „Chef im Ring“ der anderen Aufsichtsbehörden.
Die Grundkonzeption der DSGVO kennt nur eine (!) federführende Aufsichtsbehörde. Es wird nicht die Situation vorgesehen, dass es nebeneinander mehrere federführende Aufsichtsbehörden gibt. Das würde freilich auch das Prinzip der zentralen Anlaufstelle konterkarieren. Der Gesetzgeber wollte gerade, im Vergleich zur aktuellen Situation, ein System schaffen, in dem es nur eine in Europa zuständige, letztlich entscheidende Aufsichtsbehörde gibt. Zumindest soweit es um „grenzüberschreitende Verarbeitungen“ geht. Eine solche grenzüberschreitende Verarbeitung liegt in den in Art. 4 Nr. 23 DSGVO benannten Fällen vor. Entweder die Verarbeitung erfolgt über Landesgrenzen hinweg in mehreren Niederlassungen oder sie erfolgt im Rahmen der Tätigkeiten einer einzigen Niederlassung, kann aber erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat haben.
Nun mag man in dem vor dem EuGH liegenden Fall zu Fanpages noch gut diskutieren, ob die Wirtschaftsakademie, als (Mit)Verantwortlicher für die Datenerhebung überhaupt eine grenzüberschreitende Verarbeitung vornimmt. Denn sie hat nur eine Niederlassung in Schleswig-Holstein und man könnte eventuell argumentieren, dass die Erhebung der Daten der Besucher ihrer Fanpage keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten hat.
Man wird jedoch schnell Beispiele finden können, bei denen entweder gemeinsam Verantwortliche tatsächlich Datenverarbeitungen durchführen, die mehrere Niederlassungen betreffen oder die zumindest auch Auswirkungen auf Personen in anderen Mitgliedstaaten haben. Den aktuellen Fall der Wirtschaftsakademie müsste man nur um eine Niederlassung in Holland oder Belgien ergänzen, die ebenfalls von der Fanpage und den durch Facebook generierten Statistiken profitiert. Dann lägen gemeinsam Verantwortliche für eine Verarbeitung vor, jedoch würde es für diese konkrete Phase der Verarbeitung, z. B. die Erhebung, gleichzeitig mehrere (!) federführende Aufsichtsbehörden geben. Für Facebook Inc. und Facebook Ltd. wäre dies wohl die irische Behörde, für (in dem von mir gebildeten Beispiel) die Wirtschaftsakademie das ULD in Schleswig-Holstein.
Es würde also eine Situation bestehen, die der Gesetzgeber gerade verhindern wollte und auch in der DSGVO nicht vorgesehen hat. Die DSVGO spricht stets nur von einer federführenden Aufsichtsbehörde.
Die Art. 29 Gruppe hat diese Gefahr wohl auch erkannt, bietet dafür in ihrem Arbeitspapier zur „federführenden Behörde“ (WP 244, pdf) auch keine finale Lösung. Die Art. 29 Gruppe schlägt vor, dass gemeinsam Verantwortliche, wenn sie überhaupt vom one-stop-shop profitieren möchten, einen allein für die betreffende Verarbeitung zuständige Niederlassung festlegen sollen, die die Entscheidungsbefugnis hinsichtlich der Verarbeitung gegenüber allen anderen Niederlassungen der gemeinsam Verantwortlichen hat.
Diese Vereinbarung mag man theoretisch andenken. Gerade in dem hier benannten Beispiel kann ich mir aber nur schwer eine Vereinbarung zwischen der Wirtschaftsakademie und Facebook Inc. und Facebook Ltd. bezüglich der Entscheidungsbefugnis mit Blick auf die Erhebung vorstellen. Man könnte freilich an eine Vereinbarung durch AGB, die z. B. Facebook vorgibt, denken, in denen Facebook Ltd. als Niederlassung mit alleiniger Entscheidungsbefugnis festgelegt wird; diese Befugnis müsste sich dann aber auch auf die Wirtschaftsakademie erstrecken. Diese dürfte dann selbst auch gar nicht mehr über Möglichkeiten verfügen, Entscheidungen in Bezug auf die Erhebung zu treffen. Doch könnte man argumentieren, dass (in dem hier gebildeten Beispiel) die Wirtschaftsakademie am Ende ja immer noch eine Entscheidungsbefugnis besitzt, nämlich ob sie die Erhebung stoppt, indem die Fanpage gelöscht wird.
Zumal auch die Art. 29 Gruppe davon auszugehen scheint, dass das one-stop-shop Prinzip mit der federführenden Behörde in diesen Situationen überhaupt nur so wirksam beibehalten werden könnte, womit andererseits bei fehlender interner Festlegung zwischen den Verantwortlichen dann eben mehrere federführende Behörden existieren.
Ein aus meiner Sicht sehr interessantes und praxisrelevantes Problem. Insbesondere wenn der EuGH der Linie des Generalanwalts folgt und die Voraussetzungen für eine gemeinsame Verantwortlichkeit nicht besonders hoch ansetzt.