Auftragsverarbeitung - Zwecke, Mittel und Verantwortung

Datenschutz Datenschutz Grundwissen Datenschutz national

Mittwoch, 18. Juni 2025

Spezielle Aspekte im Detail

Um darüber zu entscheiden, ob eine gemeinsame Verantwortung mehrerer Stellen vorliegt, müssen viele Aspekte betrachtet werden. Im Folgenden greifen wir interessante Situationen auf, um Ihnen deren jeweilige Einschätzung näherzubringen. Sollten Sie über diese ersten Informationen hinaus Beratung wünschen, rufen Sie uns gern unter Telefon 09122 6937302 und vereinbaren Sie Ihren Beratungstermin mit Datenschutz Prinz.

Gemeinsame Zweckdefinition, gemeinsame Verantwortung

Sind mindestens zwei Stellen an ein und derselben Datenverarbeitung beteiligt und verfolgt diese Verarbeitung Zwecke, die sie gemeinsam definiert haben, dann handelt es sich um eine gemeinsame Verantwortung dieser Stellen. Solch ein Fall liegt vor, wenn diese Stellen Daten für gemeinsame oder aber für dieselben Zwecke verarbeiten.

Sich ergänzende oder eng verknüpfte Zwecke

Wird mit der Verarbeitung von zwei oder mehr Stellen nicht derselbe Zweck verfolgt, wohl aber Zwecke, die sich ergänzen oder die miteinander eng verknüpft sind, so kann eine gemeinsame Verantwortung daraus abgeleitet werden. Dazu ein Beispiel: Ergibt sich aus einem Verarbeitungsvorgang Nutzen für alle an der Definition von Zwecken und Mitteln Beteiligten, kann eine es sich um einen Fall gemeinsamer Verantwortlichkeit handeln. Allerdings kann das Konstrukt des „beiderseitigen Nutzens" nur ein Indiz, nicht aber entscheidend sein. Im Falle von Fashion ID, einem Unternehmen, das zur Peek & Cloppenburg Gruppe gehört, stellte der EuGH fest, dass der Betreiber einer Website, der in seine Website ein Plug-in einbindet, um in sozialen Netzwerken gezieltere Werbung schalten zu können, an der Festlegung von Zwecken und auch Mitteln der Datenverarbeitung beteiligt ist. Das EuGH sieht hinter diesen Verarbeitungsvorgängen wirtschaftliche Interessen des Betreibers und des Plug-in-Anbieters.

Beispiel: Facebook-Fanpage

Ein anderes Beispiel findet sich bei den Fanpages des Social Media-Portals Facebook. Dort werden personenbezogene Daten einzelner Fanpages in Besucherstatistiken erfasst und ausgewertet. Damit sollen einerseits dem Fanpage-Betreiber statistische Daten zur Verfügung gestellt werden, die es ihm ermöglichen, seine werblichen Maßnahmen zu verwalten. Andererseits soll Facebook durch diese Daten das eigene Werbesystem optimieren können. Sowohl Facebook als auch der Fanpage-Betreiber verfolgen eigene Interessen. Dennoch beteiligen sich beide daran, die Zwecke und die Mittel der Datenverarbeitung festzulegen, sofern es sich um die Daten der Fanpage-Besucher handelt.

Auftragsverarbeiter ohne gemeinsame Verantwortung

Doch aus der reinen Existenz von Vorteilen, die zwei Parteien aufgrund einer Verarbeitungstätigkeit haben, resultiert nicht automatisch eine gemeinsame Verantwortung. Wird zum Beispiel eine Stelle, die an der Datenverarbeitung beteiligt ist, für diese Verarbeitung lediglich im Sinne einer Dienstleistung bezahlt, ohne dass sie damit eigene Zwecke verfolgt, so ist sie in dieser Funktion ein Auftragsverarbeiter und übernimmt keine gemeinsame Verantwortung.

Nicht jeder muss alle Mittel bestimmen können

Im Falle von gemeinsamer Verantwortung muss man davon ausgehen, dass mindestens zwei Stellen die Verarbeitungsmittel beeinflussen. Was allerdings nicht heißt, dass jede dieser Stellen über alle Mittel bestimmen können muss. Laut EuGH ist es völlig akzeptabel, wenn die beteiligten Stellen in den unterschiedlichen Verarbeitungsphasen oder aber in ungleichem Maße die Definition der Mittel beeinflussen. So kann im Falle mehrerer Beteiligter, die gemeinsam verantwortlich sind, jeder von ihnen die Verarbeitungsmittel in dem Ausmaß festlegen, die seiner Befähigung hierzu entspricht.

Entscheidung für die Nutzung bereitgestellter Mittel

Stellt eine der beteiligten Parteien die Mittel für die Verarbeitung bereit und stehen diese dann auch für die Verarbeitung der personenbezogenen Daten durch die andere Stelle oder die anderen Stellen zur Verfügung, entsteht folgende Situation: Diejenige Stelle, die sich für den Einsatz dieser Mittel entscheidet, um die Daten – zur Erfüllung eines bereits definierten Zwecks – zu verarbeiten, ist dadurch daran beteiligt, die Mittel der Verarbeitung festzulegen. Eine solche Situation stellt sich typischerweise bei Standard-Tools, auf Plattformen sowie bei sonstigen Strukturen ein, die von einer Stelle für die Verwendung durch mehrere Stellen so vorbereitet wurden, dass sie mehreren Parteien die Verarbeitung derselben Daten ermöglichen – wobei diese Parteien über deren Gestaltung entscheiden. Wird ein bestehendes technisches System genutzt, ist damit die gemeinsame Verantwortung mehrerer Stellen nicht ausgeschlossen, falls die Nutzer eine Entscheidung über die Verarbeitung der personenbezogenen Daten fällen können.

Entscheidung über Mittel der Verarbeitung

Entscheidet eine Stelle, für ihre eigenen Zwecke ein System oder ein Instrument einzusetzen, das eine andere Stelle entwickelt hat, um damit personenbezogene Daten verarbeiten zu können, so wird dies wahrscheinlich darauf aufbauen, dass diese Stellen gemeinsam über die Mittel der Verarbeitung entscheiden. So kann zumindest die EuGH-Entscheidung über die von der Fashion ID vorgenommene Einbettung des von Facebook zur Verfügung gestellten Buttons „Gefällt mir" auf Facebook interpretiert werden: Das EuGH sah hier auf Seiten der Fashion ID einen wesentlichen Einfluss auf die Verarbeitungsvorgänge von personenbezogenen Besucherdaten. Folglich habe die Fashion ID mit Facebook gemeinsam die Mittel der Verarbeitung definiert.

Gemeinsam genutzte Systeme

Nicht immer führt der Einsatz von gemeinsamen Datenverarbeitungssystemen oder -infrastrukturen zur Einstufung der Parteien als gemeinsam verantwortliche Stellen. Gerade wenn die Datenverarbeitung isoliert erfolgen kann, wenn sie von einer Stelle durchgeführt werden kann, ohne die anderen Stellen zu involvieren, oder wenn sie von einem Auftragsverarbeiter durchgeführt wird, der keinen eigenen Zweck verfolgt, ist dies nicht der Fall.

Einzelfall genau betrachten

Sind mehrere Stellen an derselben Datenverarbeitung beteiligt, heißt das nicht unbedingt, dass sie gemeinsam für diese verantwortlich sind. Nicht jede Zusammenarbeit, Kooperation oder Partnerschaft ist hinreichend für eine solche Einstufung. Es ist immer erforderlich, den einzelnen Fall zu analysieren und sowohl die Verarbeitung als auch die Rollen der Stelle genau zu betrachten. Haben zwei Stellen keine gemeinsamen Zwecke oder Mittel festgelegt, ist zum Beispiel der Austausch von Daten zwischen ihnen als Datenaustausch zwischen nicht gemeinsam verantwortlichen Stellen zu betrachten. Selbst wenn mehrere Stellen eine Datenbank oder Infrastruktur gemeinsam nutzen, kann eine gemeinsame Verantwortung als ausgeschlossen betrachtet werden, falls diese Stellen jeweils eigene Zwecke definieren.

Eigene Zwecke, eigene Mittel, keine gemeinsame Verantwortung

Verarbeiten unterschiedliche Akteure dieselben personenbezogenen Daten nacheinander, verfolgt dabei jeder von ihnen eigene, unabhängige Zwecke und setzen sie dabei zudem voneinander unabhängige Mittel ein, dann kann nicht von einer gemeinsamen Verantwortung ausgegangen werden. Dies wird damit begründet, dass sie an der Festlegung von Zwecken und Mitteln nicht gemeinsam beteiligt sind. Vielmehr sind die Akteure voneinander unabhängige Verantwortliche, die zwar aufeinander folgende, aber grundsätzlich voneinander unabhängige Vorgänge zu verantworten haben.

Im Spannungsfeld von Zwecken, Mitteln und gemeinsamer Verantwortung

Sie möchten wissen, wie Sie Ihre Verarbeitungstätigkeit im Zusammenhang mit gemeinsamer Verantwortung einzuschätzen haben? Rufen Sie uns gern unter Telefon 09122 6937302 an – wir gehen Ihre individuelle Situation genau mit Ihnen durch. Oder senden Sie uns einfach eine Nachricht. Wir melden uns dann so schnell wie möglich bei Ihnen!

Ihr Team von Datenschutz Prinz

Mehr zum Thema Auftragsverarbeitung: