Datenschutzrechtlich Verantwortlicher ohne Zugang zu den Daten

Die in der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (DS-GVO) geregelten Pflichten treffen in erster Linie den Verantwortlichen.

„Verantwortlicher“ ist gemäß Art. 4 Nr. 7 DS-GVO „die natürliche oder juristische Person, … die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ist es dafür nicht zwingend notwendig, dass der Betreffende Zugang zu den personenbezogenen Daten hat? Das hat der Gerichtshof der Europäischen Union (EuGH) in einem Urteil vom 10.7.2018 in der Sache Tietosuojavaltuutettu ./. Jehovan todistajat (C25/17) verneint.

In der Sache ging es um ein der Gemeinschaft der Zeugen Jehovas durch die finnische Datenschutzkommission erteiltes Verbot, im Rahmen der von ihren Mitgliedern von Tür zu Tür durchgeführten Verkündungstätigkeit personenbezogene Daten zu erheben oder zu verarbeiten, ohne das auf der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr beruhende finnische Datenschutzrecht zu beachten. Die Zeugen Jehovas hatten diese Entscheidung in erster Instanz erfolgreich angegriffen.

Der EuGH hat zunächst (Rn. 65) darauf hingewiesen, dass schon nach dem Wortlaut der Richtlinie mehrere natürliche oder juristische Personen für eine Datenverarbeitung verantwortlich sein können, und dann klagestellt, dass die gemeinsame Verantwortlichkeit „nicht [voraussetzt], dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat“ (Rn. 69).

Sodann stellte der EuGH in Bezug auf die Verkündungstätigkeit der Mitglieder der Zeugen Jehovas fest, dass „diese Verkündungstätigkeit eine wesentliche Betätigungsform dieser Gemeinschaft [darstelle], die von ihr organisiert und koordiniert wird und zu der sie ermuntert“, und dass in diesem Rahmen personenbezogene Daten von aufgesuchten Personen als Gedächtnisstütze erhoben würden (Rn. 70). Somit diene die Erhebung personenbezogener Daten der Umsetzung des Ziels der Gemeinschaft der Zeugen Jehovas, ihren Glauben zu verbreiten (Rn. 71). Daraus lasse sich schließen, „dass die Gemeinschaft der Zeugen Jehovas ihre verkündigenden Mitglieder dazu ermuntert, im Rahmen ihrer Verkündigungstätigkeit personenbezogene Daten zu verarbeiten“ (Rn. 72).

Daraus schloss der EuGH, vorbehaltlich einer abschließenden Beurteilung durch das vorlegende Gericht, dass die Gemeinschaft der Zeugen Jehovas „Verantwortlicher“ im Sinne des Datenschutzrechts sei, weil sie gemeinsam mit den verkündigenden Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitung personenbezogener Daten mitwirke, ohne dass es hierfür erforderlich sei, dass sie auch Zugang zu den personenbezogenen Daten habe.

Auch wenn dieses Urteil des EuGH auf den Umständen des Falles beruht und außerdem zu der Datenschutz-Richtlinie ergangen ist, die zwischenzeitlich durch die Datenschutz-Grundverordnung ersetzt worden ist, sind die Ausführungen EuGH auf andere Fälle übertragbar: die Definition des „Verantwortlichen“ ist inhaltlich unverändert geblieben und der EuGH hat klargestellt, dass Verantwortlicher auch eine Person sein kann, die keinen eigenen Zugang zu den Daten hat.

Sie wirken an der Verarbeitung personenbezogener Daten mit und haben Zweifel, ob Sie als Verantwortlicher im Sinne der Datenschutz-Grundverordnung anzusehen sind? Sprechen Sie uns an, wir beraten Sie gerne.

Achtung: Dieser Beitrag enthält nur allgemeine Hinweise und ersetzt keinesfalls eine Beratung im Einzelfall. Dieser Beitrag gibt die Rechtslage zum Zeitpunkt seiner Erstellung wieder, spätere Änderungen der Rechtslage sind nicht berücksichtigt. Sprechen Sie uns an!