Urteile zur datenschutzrechtlichen Einordnung von Geschäftsbeziehungen

Für die Zusammenarbeit von Unternehmen, die auch die Verarbeitung personenbezogener Daten beinhaltet, die DS-GVO drei Konstellationen: Die Auftragsverarbeitung gem. Art. 28 DS-GVO, die gemeinsame Verantwortung gem. Art. 26 DS-GVO sowie die Verarbeitung in eigener Verantwortung („Dritte“). Allgemein lassen sich die drei Kategorien durch eine Analyse der Weisungsgebundenheit und dem Entscheidungsfreiraum der Beteiligten in Bezug auf die Zwecke und Mittel der Verarbeitung abgrenzen. Die Grenzen sind hier allerdings fließend, sodass eine datenschutzrechtliche Einordnung im Einzelfall schwierig sein kann.

Mittlerweile haben Gerichtsurteile zumindest an ein paar Stellen die Frage der datenschutzrechtlichen Einordnung und den relevanten Kriterien klären können.

Websitebetreiber, die das „Gefällt mir“-Plugin von Facebook auf Ihrer Homepage einbinden, sind gemeinsam mit Facebook für die Verarbeitung der betreffenden personenbezogenen Daten verantwortlich. Die Informationspflichten erstrecken sich aber nur auf die Erhebung und Übermittlung der Daten,  nachgelagerte Verarbeitungen sind nicht umfasst.

(Az.: C-40/17)

Notizen, die sich die Zeugen Jehovas bei ihren Hausbesuchen über die angetroffenen Personen machen, unterfallen dem europäischen Datenschutzrecht. Der europäische Gerichtshof stellte fest, dass eine Religionsgemeinschaft, wie die der Zeugen Jehovas gemeinsam mit ihren als Verkündiger tätigen Mitgliedern für die Verarbeitung der personenbezogenen Daten verantwortlich sind. Da die Tätigkeit keine ausschließlich persönliche oder familiäre Tätigkeit ist, können sich die Zeugen Jehovas auch nicht auf Ausnahmeregelungen berufen.

(Az. C-25/17)

Die Betreiber einer Facebook Fanpage sind zusammen mit dem Anbieter als gemeinsam Verantwortliche für die Einhaltung des Datenschutzes verantwortlich. Die gemeinsame Verantwortlichkeit gem. Art 26 DS-GVO hat die Datenschutzkonferenz (DSK) mit ihrem Beschluss vom 05.09.2018 bestätigt.

(Az.: C-210/16)