Urteile zur datenschutzrechtlichen Einordnung von Geschäftsbeziehungen

Für die Zusammenarbeit von Unternehmen, die auch die Verarbeitung personenbezogener Daten beinhaltet, die DS-GVO drei Konstellationen: Die Auftragsverarbeitung gem. Art. 28 DS-GVO, die gemeinsame Verantwortung gem. Art. 26 DS-GVO sowie die Verarbeitung in eigener Verantwortung („Dritte“). Allgemein lassen sich die drei Kategorien durch eine Analyse der Weisungsgebundenheit und dem Entscheidungsfreiraum der Beteiligten in Bezug auf die Zwecke und Mittel der Verarbeitung abgrenzen. Die Grenzen sind hier allerdings fließend, sodass eine datenschutzrechtliche Einordnung im Einzelfall schwierig sein kann.

Mittlerweile haben Gerichtsurteile zumindest an ein paar Stellen die Frage der datenschutzrechtlichen Einordnung und den relevanten Kriterien klären können.

Websitebetreiber, die das „Gefällt mir“-Plugin von facebook auf Ihrer Homepage einbinden, sind gemeinsam mit facebook für die Verarbeitung der betreffenden personenbezogenen Daten verantwortlich. Die Informationspflichten erstrecken sich aber nur auf die Erhebung und Übermittlung der Daten,  nachgelagerte Verarbeitungen sind nicht umfasst.

Die Betreiber einer Facebook Fanpage sind zusammen mit dem Anbieter als gemeinsam Verantwortliche für die Einhaltung des Datenschutzes verantwortlich. Die gemeinsame Verantwortlichkeit gem. Art 26 DS-GVO hat die Datenschutzkonferenz (DSK) mit ihrem Beschluss vom 05.09.2018 bestätigt.