Der Europäische Gerichtshof (EuGH) hat am 5. Juni 2018 eine Grundsatzentscheidung zum Datenschutz gefällt. Die Richter nehmen Betreiber von Fanseiten in sozialen Netzwerken in Anspruch, obwohl diese wenig Einfluss auf die Datenverarbeitung durch das soziale Netzwerk haben. Die Entscheidung regelt die datenschutzrechtliche Verantwortlichkeit weitgehend neu. Sie hat daher weitreichende Folgen für viele Wirtschaftsunternehmen und erweitert das Risiko wegen möglichen Datenschutzverstößen von Geschäftspartnern in Anspruch genommen zu warden.

Worum geht es bei der Entscheidung des EuGH?

Das Gericht bewertet Fanseitenbetreiber und soziales Netzwerk als gemeinsame Verantwortliche. Das hat erhebliche Konsequenzen für die Anwendung der DSGVO. Bußgelder und Schadensersatzansprüche können auch gegen Unternehmen geltend gemacht werden, die mit einer Verarbeitung von Daten nur am Rande zu tun haben. Zum Beispiel, wenn sie die Dienste vieler Anbieter nutzen, ohne hierbei selbst IT zur Verfügung zu stellen. Der EuGH erweitert damit die datenschutzrechtliche Verantwortlichkeit ganz erheblich, gerade in Konzernstrukturen oder bei der Zusammenarbeit mit Dienstleistern und anderen Unternehmen.

Was bedeutet die Entscheidung für die Praxis?

Die Entscheidung hat eine ganze Reihe von Konsequenzen für die Praxis. Unternehmen, die Daten mit anderen Firmen teilen oder Dienstleister nutzen, müssen prüfen, ob die vom EuGH angenommenen Kriterien für eine gemeinsame Verarbeitung vorliegen. Ist dies der Fall, gilt Art. 26 DSGVO. Beide Unternehmen müssen in einer transparenten Vereinbarung regeln, wer von Ihnen welche Pflichten nach der DSGVO übernimmt und an wen sich von der Verarbeitung ihrer Daten betroffene Personen wenden können. Bei Fehlern drohen hohe Bußgelder, Schadensersatzforderungen und gegebenenfalls auch Abmahnungen von Wettbewerbern und Verbraucherschützern. Gerade Konzerne sollten bei gemeinsamer Datenverarbeitung, zentralen IT-Sysemen, aber auch beim Austausch von Daten im Unternehmensverbund genau hinsehen, ob die vom EuGH angenommenen Kriterien für eine gemeinsame Verarbeitung vorliegen. Auf eine solche gemeinsame Verarbeitung müssen sie dann auch in Datenschutzhinweisen und im Verarbeitungsverzeichnis hinweisen.

Bewertung

Die Entscheidung bringt viel zusätzlichen Aufwand für die Wirtschaft. Unternehmen müssen die Zusammenarbeit mit anderen Firmen in Bezug auf den Datenschutz auf den Prüfstand stellen. Die Zusammenarbeit mit Dienstleistern und anderen Firmen, die es mit dem Datenschutz nicht ganz genau nehmen, wird durch den Richterspruch noch einmal deutlich riskanter. Auch der Zeitpunkt für die Entscheidung macht es der Wirtschaft nicht leichter. Viele Unternehmen sind immer noch dabei, wenigstens die wesentlichsten Vorgaben der DSGVO umzusetzen.

Gerichte und Aufsichtsbehörden sollten darauf achten, dass sie die Wirtschaft beim Datenschutz nicht vor unüberwindbare Hürden stellen. Schon die Anforderungen nach der DSGVO sind sehr hoch und nicht leicht umzusetzen. Wenden jetzt Richter und Behörden auch noch übermäßig strenge Maßstäbe an, nützt das nicht dem Datenschutz, sondern überlastet die Wirtschaft und die Gerichte. Das nutzt dann letztlich nur Anwälten und Abmahnvereinen.

Die Entscheidung des EuGH können Sie hier abrufen.