VG Berlin: Keine gemeinsame Verantwortlichkeit nach der DSGVO von Adresshändler und beworbenem Unternehmen bei Werbung per Lettershop-Verfahren
VG Berlin
Urteil vom 14.10.2025
1 K 74/24
Das VG Berlin hat entschieden, dass keine gemeinsame Verantwortlichkeit nach Art 4 Nr 7, Art 26 Abs 1 S 1 DSGVO von Adresshändler und beworbenem Unternehmen bei Werbung per Lettershop-Verfahren besteht.
Aus den Entscheidungsgründen:
3. Der Bescheid erweist sich als materiell rechtswidrig. Zwar liegt eine Verarbeitung personenbezogener Daten vor (nachfolgend a)). Es kann jedoch offenbleiben, ob diese Verarbeitung nach Art. 6 Abs. 1 DSGVO rechtmäßig war. Denn die Klägerin ist nicht taugliche Adressatin der Verwarnung, weil sie nicht als gemeinsam mit der Adresshändlerin Verantwortliche im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO anzusehen ist (unten b)).
a) Eine Verarbeitung personenbezogener Daten liegt im Auslesen und Verwenden der relevanten Adressdaten für das Erstellen des Werbeschreibens. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten in allen Informationen zu erblicken, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einer Kennnummer identifiziert werden kann. Eine Verarbeitung liegt gemäß Art. 4 Nr. 2 DSGVO in jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder in jeder solchen Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wobei die Verordnung beispielhaft etwa das Auslesen, Abfragen und Verwenden der Daten als Verarbeitungsvorgänge nennt.
Nach diesen Maßstäben liegt im Auslesen und Verwenden der Adressdaten für das Werbeschreiben eine der Datenschutzgrundverordnung unterfallende Verarbeitung personenbezogener Daten. Dafür kann offenbleiben, ob die Zuschreibung eines statistischen Merkmals – etwa hinsichtlich der Kaufkraft – auf Ebene der Mikrozellen und die anschließende Auswahl unter den Mikrozellen anhand eines solchen Merkmals schon für sich genommen Verarbeitungen personenbezogener Daten darstellen. Denn jedenfalls die Adressdaten – Vor- und Familienname sowie postalische Anschrift – sind personenbezogene Daten, die verarbeitet, nämlich aus dem Adressdatenbestand der Adresshändlerin ausgelesen und für den Versand des Werbeschreibens genutzt werden. Auch hebt die Zuordnung der Adressdaten zu den Mikrozellen ihren Personenbezug nicht auf. Dafür kommt es wiederum nicht darauf an, inwiefern die im Hinblick auf die Mikrozellen verarbeiteten Daten personenbezogen sind, weil der Adressdatenbestand, der für das Versenden der Werbeschreiben genutzt wird, durch die bloße Zuordnung der Adressen zu den Mikrozellen unverändert bleibt. Zugleich ist vorliegend unerheblich, dass der Adressdatenbestand der Adresshändlerin schon unabhängig vom Auftrag der Klägerin bestand, die Erhebung der personenbezogenen Daten also schon abgeschlossen war. Denn im späteren Auslesen und Verwenden der Adressdaten liegt eine eigenständig zu betrachtende Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO.
b) Die Klägerin war für diese Verarbeitung personenbezogener Daten jedoch nicht im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam mit der Adresshändlerin verantwortlich.
Nach der Definition in Art. 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemäß Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam Verantwortliche.
aa) Der Europäische Gerichtshof (EuGH) hat die Anforderungen, die sich aus diesen Bestimmungen für eine gemeinsame Verantwortlichkeit ergeben, in seiner Rechtsprechung weiter konkretisiert. Danach muss jeder der im Sinne von Art. 26 Abs. 1 Satz 1 gemeinsam Verantwortlichen die Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO erfüllen, wobei die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 43; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 70; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58). Andererseits setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach ständiger Rechtsprechung des EuGH nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 38; Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 69; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 69, 82; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58).
Nach einer in der Rechtsprechung wiederkehrenden Formulierung geht der EuGH zudem davon aus, dass eine Person, die „aus Eigeninteresse“ beziehungsweise „zu ihren eigenen Zwecken“ auf die Verarbeitung personenbezogener Daten „Einfluss nimmt“ und damit „an der Entscheidung über die Zwecke und Mittel“ der Verarbeitung „mitwirkt“ beziehungsweise „beteiligt ist“, als für die Verarbeitung Verantwortliche angesehen werden kann (EuGH, Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 68; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 68; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 57). Dieses Abstellen auf die „Einflussnahme“ aus „Eigeninteresse“, aus der eine Entscheidung über Zwecke und Mittel der Verarbeitung resultieren soll, scheint sehr weit zu reichen. Es ist jedoch zu berücksichtigen, dass dieses Kriterium nach der Formulierung des EuGH („kann“) noch keine hinreichende Bedingung für die gemeinsame Verantwortlichkeit darstellt und außerdem zunächst auf die Rechtslage vor Inkrafttreten der Datenschutzgrundverordnung bezogen war, als der Begriff der gemeinsamen Verantwortlichkeit noch nicht gesetzlich fixiert war. In seiner jüngeren – unter der Geltung der Datenschutzgrundverordnung ergangenen – Rechtsprechung prüft der EuGH alle drei Voraussetzungen kumulativ, das heißt, für die gemeinsame Verantwortlichkeit muss eine Stelle „tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung“ Einfluss nehmen (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 31; ähnlich auch Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 61; siehe zur erforderlichen kumulativen Prüfung von Entscheidungen über Zwecke und Mittel auch: European Data Protection Board – EDPB, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, 7. Juli 2021, Rn. 53; Der Bayerische Landesbeauftragte für den Datenschutz, Gemeinsame Verantwortlichkeit – Orientierungshilfe, Stand: 1. Juni 2024, Rn. 44, 70).
bb) Nach diesen Maßstäben erfüllte die Klägerin in Bezug auf die von der Adresshändlerin vorgenommenen Datenverarbeitungsvorgänge nicht die Voraussetzungen einer gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 Satz 1 DSGVO.
Zwar hat die Klägerin im Eigeninteresse Einfluss auf die Zwecke der Datenverarbeitung durch die Adresshändlerin genommen. Denn unabhängig davon, ob man den Zweck der Verarbeitung im Versand des Werbeschreibens oder – allgemeiner – in der Beförderung ihrer Geschäftstätigkeit durch die Anwerbung von Neukunden erblickt, hat sie diesen Zweck der Datenverarbeitung gegenüber der Adresshändlerin festgesetzt. Er entspricht auch ihrem Eigeninteresse, nämlich ihrem wirtschaftlichen Gewinnstreben. Dafür spricht auch der Empfängerhorizont, also die Perspektive eines objektiven Beobachters, der das Werbeschreiben erhält. Für diesen stellt es sich äußerlich als eine ausschließliche Maßnahme der Klägerin dar, weil es mit ihrem Briefkopf bzw. Corporate Design auftritt und allein für einen Besuch der von ihr angebotenen Show wirbt, ohne dass die Beteiligung der Adresshändlerin an der Datenverarbeitung jenseits der Datenschutzhinweise ersichtlich würde (vgl. zur Maßgeblichkeit des nach außen hin vermittelten Eindrucks: Der Bayerische Landesbeauftragte für den Datenschutz, a. a. O., Rn. 36).
Die Klägerin hatte aber keinerlei Einfluss auf die Mittel der Datenverarbeitung. Die Adresshändlerin führte den gesamten Datenverarbeitungsprozess nach dem von ihr konzipierten „Lettershop“-Verfahren beziehungsweise Mikrozellen-Modell durch, ohne dass die Klägerin die Möglichkeit gehabt hätte, auf die strukturelle beziehungsweise organisatorische Ausgestaltung dieses Prozesses in irgendeiner Form einzuwirken. Auch insoweit kommt es nicht darauf an, ob man nur das Auslesen und Verwenden der Adressen im zweiten Schritt oder darüber hinaus auch die Selektion der Mikrozellen anhand bestimmter Merkmale im ersten Schritt als Verarbeitung personenbezogener Daten ansieht. Denn die bloße Vorgabe einer Zielgruppe (Haushalte in Berlin und Brandenburg mit zumindest überdurchschnittlicher Kaufkraft) führte auch dann nicht dazu, dass die Klägerin auf die „Mittel“ der Datenverarbeitung Einfluss genommen hätte, wenn man die Mikrozellenselektion als Verarbeitung personenbezogener Daten versteht. Die Festlegung der Zielgruppe ist vielmehr wegen ihrer eindeutigen wirtschaftlichen Motivation untrennbar mit der Zwecksetzung für die Datenverarbeitung verbunden und stellt sich demgegenüber nicht als Entscheidung über ihre Mittel dar.
Für eine Einflussnahme auf die Mittel der Datenverarbeitung müsste es irgendeine über die Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung der Klägerin an der Datenverarbeitung gegeben haben, die hier aber nicht ersichtlich ist. Sie hat lediglich eine Leistung eingekauft, deren prozedurale Ausgestaltung – von der grundlegenden Konzeption über die datenschutzrechtlich relevanten Organisationsmaßnahmen bis hin zur technischen Umsetzung – allein in den Händen der Adresshändlerin verblieb. Es ist nicht ersichtlich, dass die Klägerin irgendwelche Entscheidungen in Bezug darauf hätte treffen können, wie die Mikrozellen gebildet, wie ihnen Merkmale zugeschrieben werden, wie der Selektionsprozess anhand ihrer Vorgaben ausgestaltet ist und wie letztlich die Adressauswahl technisch hin zum Versand des Werbeschreibens umgesetzt wird. Auch die bloße Entscheidung, ein Werbeschreiben an potenzielle Neukunden zu versenden, kann nicht als Einflussnahme auf die Mittel der Datenverarbeitung gewertet werden. Denn das Leistungsangebot der Adresshändlerin besteht gerade darin, ihren Kunden das Versenden von Werbeschreiben zu ermöglichen. Andere Modalitäten des Verwendens personenbezogener Daten ohne Zugriff des Kunden auf die Daten bietet sie in diesem Bereich ihrer Geschäftstätigkeit nicht an.
cc) Für das Ergebnis spricht schließlich auch ein Vergleich mit denjenigen Fällen, in denen der EuGH bisher eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 Abs. 1 Satz 1 DSGVO angenommen beziehungsweise auf Grundlage der entsprechenden Vorlagebeschlüsse der nationalen Gerichte für möglich gehalten hat. Bei diesen Sachverhalten gab es anders als hier stets ein Ineinandergreifen der Entscheidungen beider Verantwortlicher gerade auch in Bezug auf die Mittel der Datenverarbeitung.
Am ehesten ist der vorliegende Fall mit den Konstellationen vergleichbar, über die der EuGH in der sogenannten Fanpage- sowie in der Fashion-ID-Entscheidung befunden hat. Hier ging es um die gemeinsame Verantwortlichkeit von Website-Betreiberinnen, die ihre Website auf einer sozialen Plattform einrichten beziehungsweise ein Plugin einer sozialen Plattform in ihre Website einbinden mit der Folge, dass beim Aufrufen der Website personenbezogene Daten der Nutzer automatisch an die soziale Plattform übermittelt und von dieser weiterverarbeitet werden. Der EuGH hat die Einbindung der sozialen Plattform jeweils für die gemeinsame Verantwortlichkeit der Website-Anbieterinnen genügen lassen (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID). Das wäre ein starkes Argument für die gemeinsame Verantwortlichkeit auch der Klägerin im vorliegenden Fall, wenn für den EuGH die bloße Kausalität der Website-Anbieterinnen für die Datenverarbeitung durch die Plattform ausgereicht hätte.
Zu beachten ist jedoch, dass der EuGH in den genannten Entscheidungen zwischen dem Erheben und dem weiteren Verarbeiten der Nutzerdaten durch die Plattform unterscheidet (insbesondere EuGH, Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 76). Ein zentrales Argument des EuGH für die Verantwortlichkeit der Website-Betreiberinnen in Bezug auf das Erheben der Daten lag in beiden Entscheidungen darin, dass es das Einrichten der Website beziehungsweise das Einbinden des Plugins der sozialen Plattform erst ermöglicht hatte, die personenbezogenen Daten zu erheben (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 35; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 75). Das Verhalten der Website-Anbieterinnen stellte sich für die soziale Plattform so gleichsam als „Schlüssel“ zu den Nutzerdaten dar. Einen solch beherrschenden Einfluss auf die Datenverarbeitung durch die Adresshändlerin hatte die Klägerin vorliegend nicht. Zwar wirkte sich auch ihre Entscheidung im Sinne einfacher Kausalität dahingehend aus, dass es ohne ihren Auftrag den konkreten Datenverarbeitungsvorgang durch die Adresshändlerin nicht gegeben hätte. Sie hat ihr die Datenverarbeitung aber nicht erst ermöglicht, ihr nicht erst die Tür zu den Daten geöffnet. Die Adresshändlerin verfügte unabhängig vom Verhalten der Klägerin über ihren Adressdatenbestand. Ihre tatsächlichen Zugriffsmöglichkeiten auf diese Daten bestanden vollkommen unabhängig davon, ob die Klägerin ihr einen Auftrag, der mit einer (weiteren) Datenverarbeitung einherging, erteilte.
Aus diesem Grund ist auch das Argument der Parametrierung, welches der EuGH in der Fanpage-Entscheidung für eine gemeinsame Verantwortlichkeit der Website-Betreiberin auch im Hinblick auf die Weiterverarbeitung der Nutzerdaten durch die soziale Plattform anführte (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 36), nicht auf den vorliegenden Fall übertragbar. Denn es macht einen Unterschied, ob sich solche (statistischen) Selektionskriterien nur auf die Auswahl unter schon bei einem Dritten vorhandenen Daten auswirken oder auf Daten bezogen sind, die nur erhoben werden können, weil der Verantwortliche diese Datenerhebung für einen Dritten ermöglicht.
Auch in den weiteren vom EuGH entschiedenen Konstellationen war die Einflussnahme des gemeinsam Verantwortlichen auf die Mittel der Datenverarbeitung anders als im Fall der Klägerin deutlich ausgeprägt. So stellte der EuGH in der Entscheidung zu den Zeugen Jehovas neben dem erheblichen Eigeninteresse der Gemeinschaft an der Datenverarbeitung auch darauf ab, dass die Dachorganisation die Verkündigungstätigkeit der einzelnen Mitglieder durch eine Zuteilung von Tätigkeitsbezirken „organisiert und koordiniert“ hat (EuGH, Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 71, 73). In der Entscheidung zur litauischen Corona-Warn-App bezog sich der EuGH darauf, dass die Parameter der Anwendung, z. B. welche Fragen in der App gestellt wurden und wie diese formuliert waren, an den Bedarf der auftraggebenden Behörde angepasst waren und sie bei der Festlegung der Fragen eine aktive Rolle gespielt hatte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 32). In der Entscheidung zum belgischen Amtsblatt war ein tragendes Argument für die datenschutzrechtliche Verantwortlichkeit der herausgebenden Behörde, dass für sie bereits auf gesetzlicher Ebene die Zwecke und Mittel der Datenverarbeitung festgelegt waren (EuGH, Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 34; vgl. zur Maßgeblichkeit rechtlicher Bestimmungen beim Begriff des Verantwortlichen: Art. 4 Nr. 7 Halbsatz 2 DSGVO). Schließlich rekurrierte der EuGH in der Entscheidung zu einem europäischen Werbebranchenverband darauf, dass dieser seinen Mitgliedern für die Datenverarbeitung einen verbindlichen Regelungsrahmen vorgegeben hatte, in dem auch technische Spezifikationen für den Verarbeitungsvorgang enthalten waren (EuGH, Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 65 f.). Auch eine solche Form der Einflussnahme gab es hier jedoch nicht.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 14.10.2025
1 K 74/24
Das VG Berlin hat entschieden, dass keine gemeinsame Verantwortlichkeit nach Art 4 Nr 7, Art 26 Abs 1 S 1 DSGVO von Adresshändler und beworbenem Unternehmen bei Werbung per Lettershop-Verfahren besteht.
Aus den Entscheidungsgründen:
3. Der Bescheid erweist sich als materiell rechtswidrig. Zwar liegt eine Verarbeitung personenbezogener Daten vor (nachfolgend a)). Es kann jedoch offenbleiben, ob diese Verarbeitung nach Art. 6 Abs. 1 DSGVO rechtmäßig war. Denn die Klägerin ist nicht taugliche Adressatin der Verwarnung, weil sie nicht als gemeinsam mit der Adresshändlerin Verantwortliche im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO anzusehen ist (unten b)).
a) Eine Verarbeitung personenbezogener Daten liegt im Auslesen und Verwenden der relevanten Adressdaten für das Erstellen des Werbeschreibens. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten in allen Informationen zu erblicken, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei als identifizierbar eine natürliche Person angesehen wird, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einer Kennnummer identifiziert werden kann. Eine Verarbeitung liegt gemäß Art. 4 Nr. 2 DSGVO in jedem mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder in jeder solchen Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wobei die Verordnung beispielhaft etwa das Auslesen, Abfragen und Verwenden der Daten als Verarbeitungsvorgänge nennt.
Nach diesen Maßstäben liegt im Auslesen und Verwenden der Adressdaten für das Werbeschreiben eine der Datenschutzgrundverordnung unterfallende Verarbeitung personenbezogener Daten. Dafür kann offenbleiben, ob die Zuschreibung eines statistischen Merkmals – etwa hinsichtlich der Kaufkraft – auf Ebene der Mikrozellen und die anschließende Auswahl unter den Mikrozellen anhand eines solchen Merkmals schon für sich genommen Verarbeitungen personenbezogener Daten darstellen. Denn jedenfalls die Adressdaten – Vor- und Familienname sowie postalische Anschrift – sind personenbezogene Daten, die verarbeitet, nämlich aus dem Adressdatenbestand der Adresshändlerin ausgelesen und für den Versand des Werbeschreibens genutzt werden. Auch hebt die Zuordnung der Adressdaten zu den Mikrozellen ihren Personenbezug nicht auf. Dafür kommt es wiederum nicht darauf an, inwiefern die im Hinblick auf die Mikrozellen verarbeiteten Daten personenbezogen sind, weil der Adressdatenbestand, der für das Versenden der Werbeschreiben genutzt wird, durch die bloße Zuordnung der Adressen zu den Mikrozellen unverändert bleibt. Zugleich ist vorliegend unerheblich, dass der Adressdatenbestand der Adresshändlerin schon unabhängig vom Auftrag der Klägerin bestand, die Erhebung der personenbezogenen Daten also schon abgeschlossen war. Denn im späteren Auslesen und Verwenden der Adressdaten liegt eine eigenständig zu betrachtende Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO.
b) Die Klägerin war für diese Verarbeitung personenbezogener Daten jedoch nicht im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam mit der Adresshändlerin verantwortlich.
Nach der Definition in Art. 4 Nr. 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemäß Art. 26 Abs. 1 Satz 1 DSGVO gemeinsam Verantwortliche.
aa) Der Europäische Gerichtshof (EuGH) hat die Anforderungen, die sich aus diesen Bestimmungen für eine gemeinsame Verantwortlichkeit ergeben, in seiner Rechtsprechung weiter konkretisiert. Danach muss jeder der im Sinne von Art. 26 Abs. 1 Satz 1 gemeinsam Verantwortlichen die Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO erfüllen, wobei die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein können (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 43; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 70; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58). Andererseits setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach ständiger Rechtsprechung des EuGH nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 38; Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 69; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 69, 82; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 58).
Nach einer in der Rechtsprechung wiederkehrenden Formulierung geht der EuGH zudem davon aus, dass eine Person, die „aus Eigeninteresse“ beziehungsweise „zu ihren eigenen Zwecken“ auf die Verarbeitung personenbezogener Daten „Einfluss nimmt“ und damit „an der Entscheidung über die Zwecke und Mittel“ der Verarbeitung „mitwirkt“ beziehungsweise „beteiligt ist“, als für die Verarbeitung Verantwortliche angesehen werden kann (EuGH, Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 68; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 68; Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 48; Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 57). Dieses Abstellen auf die „Einflussnahme“ aus „Eigeninteresse“, aus der eine Entscheidung über Zwecke und Mittel der Verarbeitung resultieren soll, scheint sehr weit zu reichen. Es ist jedoch zu berücksichtigen, dass dieses Kriterium nach der Formulierung des EuGH („kann“) noch keine hinreichende Bedingung für die gemeinsame Verantwortlichkeit darstellt und außerdem zunächst auf die Rechtslage vor Inkrafttreten der Datenschutzgrundverordnung bezogen war, als der Begriff der gemeinsamen Verantwortlichkeit noch nicht gesetzlich fixiert war. In seiner jüngeren – unter der Geltung der Datenschutzgrundverordnung ergangenen – Rechtsprechung prüft der EuGH alle drei Voraussetzungen kumulativ, das heißt, für die gemeinsame Verantwortlichkeit muss eine Stelle „tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung“ Einfluss nehmen (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 31; ähnlich auch Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 61; siehe zur erforderlichen kumulativen Prüfung von Entscheidungen über Zwecke und Mittel auch: European Data Protection Board – EDPB, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, 7. Juli 2021, Rn. 53; Der Bayerische Landesbeauftragte für den Datenschutz, Gemeinsame Verantwortlichkeit – Orientierungshilfe, Stand: 1. Juni 2024, Rn. 44, 70).
bb) Nach diesen Maßstäben erfüllte die Klägerin in Bezug auf die von der Adresshändlerin vorgenommenen Datenverarbeitungsvorgänge nicht die Voraussetzungen einer gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 Satz 1 DSGVO.
Zwar hat die Klägerin im Eigeninteresse Einfluss auf die Zwecke der Datenverarbeitung durch die Adresshändlerin genommen. Denn unabhängig davon, ob man den Zweck der Verarbeitung im Versand des Werbeschreibens oder – allgemeiner – in der Beförderung ihrer Geschäftstätigkeit durch die Anwerbung von Neukunden erblickt, hat sie diesen Zweck der Datenverarbeitung gegenüber der Adresshändlerin festgesetzt. Er entspricht auch ihrem Eigeninteresse, nämlich ihrem wirtschaftlichen Gewinnstreben. Dafür spricht auch der Empfängerhorizont, also die Perspektive eines objektiven Beobachters, der das Werbeschreiben erhält. Für diesen stellt es sich äußerlich als eine ausschließliche Maßnahme der Klägerin dar, weil es mit ihrem Briefkopf bzw. Corporate Design auftritt und allein für einen Besuch der von ihr angebotenen Show wirbt, ohne dass die Beteiligung der Adresshändlerin an der Datenverarbeitung jenseits der Datenschutzhinweise ersichtlich würde (vgl. zur Maßgeblichkeit des nach außen hin vermittelten Eindrucks: Der Bayerische Landesbeauftragte für den Datenschutz, a. a. O., Rn. 36).
Die Klägerin hatte aber keinerlei Einfluss auf die Mittel der Datenverarbeitung. Die Adresshändlerin führte den gesamten Datenverarbeitungsprozess nach dem von ihr konzipierten „Lettershop“-Verfahren beziehungsweise Mikrozellen-Modell durch, ohne dass die Klägerin die Möglichkeit gehabt hätte, auf die strukturelle beziehungsweise organisatorische Ausgestaltung dieses Prozesses in irgendeiner Form einzuwirken. Auch insoweit kommt es nicht darauf an, ob man nur das Auslesen und Verwenden der Adressen im zweiten Schritt oder darüber hinaus auch die Selektion der Mikrozellen anhand bestimmter Merkmale im ersten Schritt als Verarbeitung personenbezogener Daten ansieht. Denn die bloße Vorgabe einer Zielgruppe (Haushalte in Berlin und Brandenburg mit zumindest überdurchschnittlicher Kaufkraft) führte auch dann nicht dazu, dass die Klägerin auf die „Mittel“ der Datenverarbeitung Einfluss genommen hätte, wenn man die Mikrozellenselektion als Verarbeitung personenbezogener Daten versteht. Die Festlegung der Zielgruppe ist vielmehr wegen ihrer eindeutigen wirtschaftlichen Motivation untrennbar mit der Zwecksetzung für die Datenverarbeitung verbunden und stellt sich demgegenüber nicht als Entscheidung über ihre Mittel dar.
Für eine Einflussnahme auf die Mittel der Datenverarbeitung müsste es irgendeine über die Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung der Klägerin an der Datenverarbeitung gegeben haben, die hier aber nicht ersichtlich ist. Sie hat lediglich eine Leistung eingekauft, deren prozedurale Ausgestaltung – von der grundlegenden Konzeption über die datenschutzrechtlich relevanten Organisationsmaßnahmen bis hin zur technischen Umsetzung – allein in den Händen der Adresshändlerin verblieb. Es ist nicht ersichtlich, dass die Klägerin irgendwelche Entscheidungen in Bezug darauf hätte treffen können, wie die Mikrozellen gebildet, wie ihnen Merkmale zugeschrieben werden, wie der Selektionsprozess anhand ihrer Vorgaben ausgestaltet ist und wie letztlich die Adressauswahl technisch hin zum Versand des Werbeschreibens umgesetzt wird. Auch die bloße Entscheidung, ein Werbeschreiben an potenzielle Neukunden zu versenden, kann nicht als Einflussnahme auf die Mittel der Datenverarbeitung gewertet werden. Denn das Leistungsangebot der Adresshändlerin besteht gerade darin, ihren Kunden das Versenden von Werbeschreiben zu ermöglichen. Andere Modalitäten des Verwendens personenbezogener Daten ohne Zugriff des Kunden auf die Daten bietet sie in diesem Bereich ihrer Geschäftstätigkeit nicht an.
cc) Für das Ergebnis spricht schließlich auch ein Vergleich mit denjenigen Fällen, in denen der EuGH bisher eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 Abs. 1 Satz 1 DSGVO angenommen beziehungsweise auf Grundlage der entsprechenden Vorlagebeschlüsse der nationalen Gerichte für möglich gehalten hat. Bei diesen Sachverhalten gab es anders als hier stets ein Ineinandergreifen der Entscheidungen beider Verantwortlicher gerade auch in Bezug auf die Mittel der Datenverarbeitung.
Am ehesten ist der vorliegende Fall mit den Konstellationen vergleichbar, über die der EuGH in der sogenannten Fanpage- sowie in der Fashion-ID-Entscheidung befunden hat. Hier ging es um die gemeinsame Verantwortlichkeit von Website-Betreiberinnen, die ihre Website auf einer sozialen Plattform einrichten beziehungsweise ein Plugin einer sozialen Plattform in ihre Website einbinden mit der Folge, dass beim Aufrufen der Website personenbezogene Daten der Nutzer automatisch an die soziale Plattform übermittelt und von dieser weiterverarbeitet werden. Der EuGH hat die Einbindung der sozialen Plattform jeweils für die gemeinsame Verantwortlichkeit der Website-Anbieterinnen genügen lassen (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID). Das wäre ein starkes Argument für die gemeinsame Verantwortlichkeit auch der Klägerin im vorliegenden Fall, wenn für den EuGH die bloße Kausalität der Website-Anbieterinnen für die Datenverarbeitung durch die Plattform ausgereicht hätte.
Zu beachten ist jedoch, dass der EuGH in den genannten Entscheidungen zwischen dem Erheben und dem weiteren Verarbeiten der Nutzerdaten durch die Plattform unterscheidet (insbesondere EuGH, Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 76). Ein zentrales Argument des EuGH für die Verantwortlichkeit der Website-Betreiberinnen in Bezug auf das Erheben der Daten lag in beiden Entscheidungen darin, dass es das Einrichten der Website beziehungsweise das Einbinden des Plugins der sozialen Plattform erst ermöglicht hatte, die personenbezogenen Daten zu erheben (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 35; Urteil vom 29. Juli 2019 – C-40/17 – Fashion ID, Rn. 75). Das Verhalten der Website-Anbieterinnen stellte sich für die soziale Plattform so gleichsam als „Schlüssel“ zu den Nutzerdaten dar. Einen solch beherrschenden Einfluss auf die Datenverarbeitung durch die Adresshändlerin hatte die Klägerin vorliegend nicht. Zwar wirkte sich auch ihre Entscheidung im Sinne einfacher Kausalität dahingehend aus, dass es ohne ihren Auftrag den konkreten Datenverarbeitungsvorgang durch die Adresshändlerin nicht gegeben hätte. Sie hat ihr die Datenverarbeitung aber nicht erst ermöglicht, ihr nicht erst die Tür zu den Daten geöffnet. Die Adresshändlerin verfügte unabhängig vom Verhalten der Klägerin über ihren Adressdatenbestand. Ihre tatsächlichen Zugriffsmöglichkeiten auf diese Daten bestanden vollkommen unabhängig davon, ob die Klägerin ihr einen Auftrag, der mit einer (weiteren) Datenverarbeitung einherging, erteilte.
Aus diesem Grund ist auch das Argument der Parametrierung, welches der EuGH in der Fanpage-Entscheidung für eine gemeinsame Verantwortlichkeit der Website-Betreiberin auch im Hinblick auf die Weiterverarbeitung der Nutzerdaten durch die soziale Plattform anführte (EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 36), nicht auf den vorliegenden Fall übertragbar. Denn es macht einen Unterschied, ob sich solche (statistischen) Selektionskriterien nur auf die Auswahl unter schon bei einem Dritten vorhandenen Daten auswirken oder auf Daten bezogen sind, die nur erhoben werden können, weil der Verantwortliche diese Datenerhebung für einen Dritten ermöglicht.
Auch in den weiteren vom EuGH entschiedenen Konstellationen war die Einflussnahme des gemeinsam Verantwortlichen auf die Mittel der Datenverarbeitung anders als im Fall der Klägerin deutlich ausgeprägt. So stellte der EuGH in der Entscheidung zu den Zeugen Jehovas neben dem erheblichen Eigeninteresse der Gemeinschaft an der Datenverarbeitung auch darauf ab, dass die Dachorganisation die Verkündigungstätigkeit der einzelnen Mitglieder durch eine Zuteilung von Tätigkeitsbezirken „organisiert und koordiniert“ hat (EuGH, Urteil vom 10. Juli 2018 – C-25/17 – Jehovan todistajat, Rn. 71, 73). In der Entscheidung zur litauischen Corona-Warn-App bezog sich der EuGH darauf, dass die Parameter der Anwendung, z. B. welche Fragen in der App gestellt wurden und wie diese formuliert waren, an den Bedarf der auftraggebenden Behörde angepasst waren und sie bei der Festlegung der Fragen eine aktive Rolle gespielt hatte (EuGH, Urteil vom 5. Dezember 2023 – C-683/21 – Nacionalinis visuomenės sveikatos centras, Rn. 32). In der Entscheidung zum belgischen Amtsblatt war ein tragendes Argument für die datenschutzrechtliche Verantwortlichkeit der herausgebenden Behörde, dass für sie bereits auf gesetzlicher Ebene die Zwecke und Mittel der Datenverarbeitung festgelegt waren (EuGH, Urteil vom 11. Januar 2024 – C-231/22 – Données traitées par un journal officiel, Rn. 34; vgl. zur Maßgeblichkeit rechtlicher Bestimmungen beim Begriff des Verantwortlichen: Art. 4 Nr. 7 Halbsatz 2 DSGVO). Schließlich rekurrierte der EuGH in der Entscheidung zu einem europäischen Werbebranchenverband darauf, dass dieser seinen Mitgliedern für die Datenverarbeitung einen verbindlichen Regelungsrahmen vorgegeben hatte, in dem auch technische Spezifikationen für den Verarbeitungsvorgang enthalten waren (EuGH, Urteil vom 7. März 2024 – C-604/22 – IAB Europe, Rn. 65 f.). Auch eine solche Form der Einflussnahme gab es hier jedoch nicht.
Den Volltext der Entscheidung finden Sie hier:
Trackbacks
Keine Trackbacks
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt