Die Begriffe „Verantwortlicher“, „gemeinsam Verantwortliche“ und „Auftragsverarbeiter“ spielen bei der Anwendung der DSGVO eine entscheidende Rolle, da sie bestimmen, wer für die Einhaltung der verschiedenen Datenschutzvorschriften verantwortlich ist und wie die betroffenen Personen ihre Rechte in der Praxis ausüben können[1](siehe Teil „Hauptakteure“ dieser Leitlinien, vor allem die Abschnitte „Verantwortliche“ und „Auftragsverarbeiter“). Bei der Nutzung sozialer Netzwerke für die Datenverarbeitung ist es ebenso wichtig, den Verantwortlichen von dem Auftragsverarbeiter zu unterscheiden, da die Zuständigkeiten der beiden unterschiedlich sind.
Es können Zweifel aufkommen, welche der beteiligten Parteien in diesem Rahmen die Rolle des Verantwortlichen oder des Auftragsverarbeiters spielt, oder ob es sich um gemeinsam Verantwortliche handelt. Um diese Zweifel auszuräumen, sollte zunächst der Liste der Definitionen in der Datenschutz-Grundverordnung beachtet, die in Übereinstimmung mit den Leitlinien 7/2020 des EDSA zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung und den Leitlinien 8/2020 des EDSA über die gezielte Ansprache von Nutzer:innen sozialer Medien[2]sowie der einschlägigen Rechtsprechung des EuGH ausgelegt werden[3].
In Bezug auf die Nutzung sozialer Netzwerke zu Forschungszwecken kann man unbeschadet der oben erwähnten kasuistischen Vorsicht sagen, dass es keine Situation gemeinsamer Verantwortlichen gibt, da die Mittel und Zwecke der einzelnen Verarbeitungstätigkeiten nicht gemeinsam von dem sozialen Netzwerk und der für die IKT-Entwicklung zuständigen Einrichtung festgelegt werden, sondern das soziale Netzwerk dem Entwickler die Nutzung seiner Umgebung gestattet. Die Beziehung zwischen Forschern und sozialen Netzwerken beruht in der Regel auf den so genannten „Developer Policies“ (Entwicklerrichtlinien). Die meisten sozialen Netzwerke erlauben Forschern/Innovatoren nur dann, Daten über ihre Anwendungsprogrammierschnittstellen (APIs) zu erheben, wenn sie die in diesen Richtlinien festgelegten Anweisungen befolgen. Forscher/Innovatoren müssen also sicherstellen, dass sie dies auch tatsächlich tun, wenn sie nicht für eine unrechtmäßige Datenverarbeitung verantwortlich gemacht werden wollen. Natürlich gibt es eine mögliche Ausnahme von dieser allgemeinen Regel: Wenn ein Entwickler die Dienste eines sozialen Netzwerks in Anspruch nimmt, um Daten in seinem Namen zu verarbeiten, kann dies eine gemeinsame Verantwortung beinhalten (dies hängt von den konkreten Bedingungen des Vertrags und der Art und Weise ab, wie die Verantwortlichkeiten für die Daten den Partnern zugewiesen werden). Trifft eine solche Ausnahme jedoch nicht zu:
- Gilt das soziale Netzwerk als Verantwortlicher in Bezug auf die Datenverarbeitung, die es gemäß den von ihm verfolgten Zwecken und Zielen durchführt, und der IKT-Entwickler ist der Verantwortliche in Bezug auf die unter seiner Kontrolle stehenden Datenverarbeitungstätigkeiten;
- Besteht folgende Beziehung zwischen dem Entwickler und dem sozialen Netzwerk:
- das soziale Netzwerk spielt die Rolle eines Dienstleisters der Informationsgesellschaft, und
- die Forschungseinrichtung spielt die Rolle des Nutzers der Dienste der Informationsgesellschaft.
- Müssen die von der Forschungseinrichtung auf der Grundlage ihres Forschungsprofils durchgeführten Aktivitäten von dem sozialen Netzwerk als Anbieter von Diensten der Informationsgesellschaft genehmigt werden, was jedoch weder bedeutet, dass eine Situation der gemeinsamen Verantwortung vorliegt, noch dass die Lizenz zur Nutzung der Daten eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gewährleistet.
In den meisten gängigen Szenarien spielen IKT-Forscher und -Innovatoren also die Rolle eines Dritten in Bezug auf soziale Netzwerke und betroffene Personen. Das Netzwerk wird ihnen Daten zur Verfügung stellen, die den betroffenen Personen gehören. Sobald diese Daten also unter der Verantwortung der Forscher/Innovatoren sind, werden sie zu den Verantwortlichen dieser Daten und übernehmen die entsprechenden Verantwortlichkeiten.
Obwohl eine Situation der gemeinsamen Verantwortung im Allgemeinen nicht gegeben ist, kann diese unter Umständen dennoch entstehen. Es lohnt sich daher, an die Garantien von Artikel 26 DSGVO im Falle einer gemeinsamen Verantwortung (siehe Abschnitt „Hauptakteur“ im allgemeinen Teil dieser Leitlinien) von sozialem Netzwerk und Forschungseinrichtung zu erinnern:
- Sowohl der IKT-Entwickler als auch das soziale Netzwerk legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt.
- Diese Vereinbarung
- muss der betroffenen Person zur Verfügung gestellt werden;
- kann eine Kontaktstelle für die betroffenen Personen benennen;
- muss die jeweiligen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen angemessen widerspiegeln.
- Schließlich müssen alle Verantwortlichen, gemeinsam Verantwortlichen und Auftragsverarbeiter daran denken, dass die betroffene Person ihre Rechte nach der DSGVO geltend machen kann (Artikel 26 Absatz 3 DSGVO).
Quellenangaben
1EDSA, Leitlinie 07/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung, S. 3, unter: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-072020-concepts-controller-and_en. ↑
1EDSALeitlinien 8/2020 über die gezielte Ansprache von Nutzer:innen sozialer Medien, Version 2.0 angenommen am 13. April 2021, unter: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf, S. 11). ↑
1Die Urteile in den Rechtssachen Wirtschaftsakademie (C-210/16), Zeugen Jehovas (C-25/17) und Fashion ID (C-40/17) sind hier besonders relevant. ↑