Alle für Einen und Einer für Alle?

Ja, das waren noch Zeiten. Sowas gibt es heute doch nicht mehr, oder? Doch!

Und zwar im Datenschutz. Wenn zwei oder mehr Verantwortliche gemeinsam über die Mittel und Zwecke einer Verarbeitung entscheiden, dann gehen sie eine gemeinsame Verantwortung ein. Man landet da schneller als man denkt. So hat der EuGH schon vor einer Weile geurteilt, dass der Betreiber einer Fanpage bei Facebook in einer gemeinsamen Verantwortung mit Facebook für bestimmte Verarbeitungen rund um die Fanpage steht. Wow. Das bedeutet nämlich, dass sich jeder Betroffene hinsichtlich Auskünften, Datenbereitstellungen aber auch Beschwerden bis hin zum Schadenersatzanspruch einfach an den Fanpagebetreiber wenden kann anstatt es bei Facebook direkt zu versuchen. Ein deutscher Fanpagebetreiber ist auch viel einfacher gerichtlich dingfest zu machen als ein amerikanischer Konzern. Na? Noch Lust auf eine Fanpage?

Es gibt viele Bereiche, in denen man in eine solche gemeinsame Verantwortlichkeit hineinrutschen kann. Nämlich immer dann, wenn man digitale Dienste eines Dritten nutzt, der sich von dem Datenkuchen auch gleich noch etwas für die eigenen Interessen abschneidet. So wie bei Facebook oder auch Google.

Angesichts der offenen Rechtslage, was die Haftung und den Schadenersatz auch ohne schuldhaftes Handeln des Verantwortlichen betrifft, kann eine gemeinsame Verantwortung ganz schön schnell zum völlig unkalkulierbaren Risiko werden.

Dass Aufsichtsbehörden teilweise schon Untersagungsverfügungen ausgesprochen und damit ganze Social Media-Investments totgelegt haben, ist in der breiten Öffentlichkeit noch nicht so wirklich angekommen.

In einer Datenschutzerklärung habe ich jüngst den netten Versuch eines Verantwortlichen gesehen, sich aus der gemeinsamen Verantwortung zu stehlen, in dem man darauf hinwies, Betroffenenrechte nur für den “eigenen” Bereich erfüllen zu können.

Das ist natürlich blanker Unsinn und widerspricht dem Sinn der gesetzlichen Regelungen.

Prüft Ihr eigentlich bei der Zusammenarbeit mit Dritten bzw. der Nutzung digitaler Tools, um welche Form der datenschutzrechtlichen Zusammenarbeit es sich wirklich handelt?