Die gemeinsame Verantwortlichkeit ist eine der möglichen Konstellationen, wenn es darum geht, wer sich um die Umsetzung der DSGVO kümmern muss. Oder wer haften muss, wenn die Vorschriften wieder einmal nicht so genau genommen werden. Normalerweise muss jedes Unternehmen oder jede Organisation allein verantwortlich dafür sorgen, dass die Vorgaben aus der DSGVO eingehalten werden. Kompliziert wird es immer dann, wenn mehrere Unternehmen beteiligt sind oder externe Dienstleister ins Spiel kommen.
Der Inhalt im Überblick
Verantwortlicher oder Auftragsverarbeiter?
Die eigenständige Verantwortlichkeit ist also der Normalfall – klar, so muss z. B. jeder Arbeitgeber darauf achten, dass er die personenbezogenen Daten der Beschäftigten schützt und nur für die Durchführung des Arbeitsverhältnisses nutzt. Wenn ein Dienstleister beauftragt wird, um beispielsweise die Gehaltsabrechnungen zu erstellen oder die IT-Infrastruktur bereitzustellen, ist dieser Dienstleister ein Auftragsverarbeiter. Dabei muss der Auftragsverarbeiter die Daten, die er vom Verantwortlichen erhält, streng nach dessen Weisungen verarbeiten – so, wie es der Verantwortliche selbst nach bestem Wissen und Gewissen tun würde. Weil das Schutzniveau der DSGVO bei dieser Auslagerung der Datenverarbeitung natürlich stets eingehalten werden muss, ist eine sogenannte Auftragsverarbeitungsvereinbarung notwendig. In dieser verpflichtet sich der Dienstleister, die Daten nicht zu eigenen Zwecken zu nutzen und generell für ausreichend Datenschutz und Datensicherheit zu sorgen.
Bei der gemeinsamen Verantwortlichkeit bestimmen mehrere Parteien darüber, warum und wie personenbezogene Daten verarbeitet werden. Hier sind die Parteien sozusagen auf Augenhöhe und legen Zwecke und Mittel der Datenverarbeitung gemeinsam fest. Typische Beispiele sind der Betrieb einer Facebook-Fanpage oder auch der Bewerberpool, wenn mehrere Gesellschaften einer Unternehmensgruppe die Daten gemeinsam verwalten, um die passenden Bewerberinnen und Bewerber für die Gesellschaften zu finden. Bei dieser Konstellation muss ebenfalls eine Vereinbarung getroffen, in welcher die Rechte und Pflichten jede Partei genauer beschrieben werden, damit intern klar, wer beispielsweise für die Beantwortung von Anfragen durch Betroffene zuständig ist.
Werbung im Lettershop-Verfahren
Die Abgrenzung, vor allem zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit, ist in der Praxis oftmals schwierig, da meistens kleine Details entscheiden, welche Konstellation faktisch gegeben ist. Mit einem solchen Fall hat sich kürzlich auch das Verwaltungsgericht Berlin beschäftigt. In dem Urteil vom 14.10.2025 (Az. 1 K 74/24) ging es um die Frage der datenschutzrechtlichen Verantwortlichkeit eines Unternehmens, das eine Adresshändlerin im sogenannten Lettershop-Verfahren mit der Versendung von Direktwerbung beauftragt hat. Ein Lettershop-Verfahren ist ein spezialisierter Prozess zur Organisation und zum Versand personalisierter Werbesendungen (z. B. Mailings, Kataloge), bei dem ein Lettershop als Dienstleister fungiert. Die Klägerin, Betreiberin eines Revuetheaters in Berlin, plante eine Weihnachtswerbekampagne, um potenzielle Neukunden zu erreichen. Sie beauftragte die Adresshändlerin mit der Auswahl und dem Versand von Werbebriefen.
Dabei legte die Klägerin lediglich Zielgruppenmerkmale fest, wie beispielsweise Haushalte mit überdurchschnittlicher Kaufkraft in Berlin und Brandenburg, ohne jedoch Zugriff auf die Adressdaten zu erhalten. Die Adresshändlerin nutzte für die Auswahl sogenannte Mikrozellen, die geografisch definiert sind und statistische Merkmale wie Kaufkraft enthalten. Die Adressdaten wurden aus dem Bestand der Adresshändlerin ausgewählt und für den Versand verwendet, ohne dass die Klägerin die Daten einsehen oder beeinflussen konnte.
Im Dezember 2021 erhielt also eine Frau aus Berlin, die zuvor keine Beziehung zur Klägerin hatte, eines der Werbeschreiben. Ihr Vater, als Betreuer, reichte daraufhin eine Beschwerde bei der zuständigen Datenschutzbehörde ein. Diese verwarnte die Klägerin im Januar 2024 und argumentierte, dass sie gemäß Art. 26 DSGVO gemeinsam mit der Adresshändlerin für die Datenverarbeitung verantwortlich sei.
Eigenverantwortliche Datenverarbeitung?
Die Behörde führte weiter aus, dass die Klägerin über Zwecke und Mittel der Verarbeitung entschieden habe und die Verarbeitung gegen Art. 6 DSGVO verstoße, da kein Erlaubnistatbestand vorliege. Zudem wurden Verstöße gegen Art. 14 DSGVO und Art. 26 DSGVO festgestellt. Die Behörde begründete ihre Entscheidung damit, dass die Klägerin durch die Vorgabe der Zielgruppe aktiv an der Datenverarbeitung beteiligt gewesen sei und somit gemeinsam mit der Adresshändlerin als Verantwortliche anzusehen sei.
Die Klägerin erhob Klage gegen die Verwarnung und argumentierte, dass sie nicht für die Datenverarbeitung verantwortlich sei. Sie habe lediglich Zielgruppenmerkmale vorgegeben, die auf anonymen Daten basierten, und keinen Einfluss auf die Datenerhebung oder Verarbeitung durch die Adresshändlerin gehabt. Die Verarbeitung der Mikrozellen-Daten sei nicht personenbezogen und falle daher nicht unter die DSGVO. Zudem sei die Verwarnung ermessensfehlerhaft, da die Behörde nur gegen die Klägerin und nicht gegen die Adresshändlerin vorgegangen sei. Die Klägerin betonte, dass die Adresshändlerin die Datenverarbeitung eigenständig durchgeführt habe und sie selbst keinen Zugriff auf die Adressdaten hatte. Auch die rechtliche Grundlage für die Postdirektwerbung sei anerkannt, sowohl durch die zuständige Datenschutzaufsichtsbehörde als auch durch § 7 UWG.
Vergleich mit Facebook-Entscheidung?
Das Gericht entschied zugunsten der Klägerin und hob die Verwarnung auf. Es stellte fest, dass die Klägerin nicht gemeinsam mit der Adresshändlerin für die Datenverarbeitung verantwortlich sei. Zwar habe die Klägerin im Eigeninteresse die Zielgruppe festgelegt und damit den Zweck der Verarbeitung beeinflusst, jedoch keinen Einfluss auf die Mittel der Verarbeitung gehabt. Die Adresshändlerin habe den gesamten Datenverarbeitungsprozess eigenständig durchgeführt, einschließlich der Auswahl der Mikrozellen und der technischen Umsetzung. Die Klägerin habe lediglich eine Leistung eingekauft, ohne organisatorisch oder konzeptionell in die Datenverarbeitung eingebunden zu sein.
Das Gericht führte aus, dass die bloße Vorgabe einer Zielgruppe keine gemeinsame Verantwortlichkeit begründe. Die Klägerin habe keine Entscheidungen über die strukturelle oder technische Ausgestaltung der Datenverarbeitung getroffen. Auch der EuGH gehe davon aus,
„dass eine Person, die aus Eigeninteresse beziehungsweise zu ihren eigenen Zwecken auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt beziehungsweise beteiligt ist,“
als für die Verarbeitung Verantwortliche angesehen werden kann, so dass die Klägerin keinen beherrschenden Einfluss auf die Datenverarbeitung hatte. Anders als in Fällen wie der oben genannten Fanpage– oder Fashion-ID-Entscheidung des EuGH, in denen eine gemeinsame Verantwortlichkeit aufgrund eines Ineinandergreifens der Entscheidungen beider Parteien festgestellt wurde, fehlte nach Ansicht des VG hier eine solche Einflussnahme.
Aktive Einflussnahme auf Datenverarbeitung
Die Vorgabe der Zielgruppe durch die Klägerin sei lediglich eine wirtschaftlich motivierte Zwecksetzung und keine Entscheidung über die Mittel der Datenverarbeitung gewesen. Die Entscheidung des Gerichts verdeutlicht, dass die bloße Vorgabe einer Zielgruppe durch einen Auftraggeber nicht ausreicht, um eine gemeinsame Verantwortlichkeit im Sinne der DSGVO zu begründen. Vielmehr ist eine aktive Einflussnahme auf die Mittel der Datenverarbeitung erforderlich, die im vorliegenden Fall nicht gegeben war.
Aus formeller Sicht ist die Entscheidung sicherlich nachvollziehbar und rechtlich plausibel begründet. Allerdings ist zu befürchten, dass diese Auslegung zu einer möglicherweise nicht gewollten Auslagerung von Verantwortlichkeiten führen kann. Wie so oft im Datenschutz kommt es aber auf die konkreten Einzelheiten an.
„Aus formeller Sicht ist die Entscheidung sicherlich nachvollziehbar und rechtlich plausibel begründet. Allerdings ist zu befürchten, dass diese Auslegung zu einer möglicherweise nicht gewollten Auslagerung von Verantwortlichkeiten führen kann.“
Das klingt so, als seien Sie mit der Entscheidung nicht einverstanden.
Allerdings ist das Lettershop-Verfahren ein ungeeignetes Beispiel für die Auslagerung von Verantwortlichkeiten.
Das Hauptinteresse an dieser Art der Werbung hat nicht die Werbende, sondern die Adresshändlerin, da sie ihre Datenbank als Betriebsgeheimnis betrachtet. Insofern ist die Entscheidung des Gerichts schon allein deswegen völlig nachvollziehbar, weil die Werbende noch nicht einmal in die Nähe personenbezogener Daten kommt. Aus meiner Praxis ist es eher umgekehrt so, dass Adresshändler versuchen, die datenschutzrechtliche Verantwortung auf die Werbende im Rahmen einer Auftragsverarbeitung zu übertragen. Das ist meines Erachtens faktisch unsinnig und ich wundere mich sehr, dass die Aufsichtsbehörde die Werbende in irgendeiner Verantwortung gesehen hat, anstatt sich, nach Aufklärung des Sachverhalts, ausschließlich mit der Adresshändlerin auseinanderzusetzen, denn nur sie kann Aussagen zur Rechtmäßigkeit der Datenverarbeitung treffen.
Vielen Dank für Ihren Kommentar! Da die Klägerin in dem vorliegenden Fall eine Kampagne gestartet hat, um potenzielle Neukunden zu erreichen, wird auch sie ein gewisses Interesse an einer „erfolgreichen“ Datenverarbeitung gehabt haben. Die Auslagerung der Verantwortlichkeiten ist sicherlich in beide Richtungen denkbar. Es kommt eben wie immer auf den Einzelfall an. Umso wichtiger ist eine sachgerechte Prüfung, damit vor allem Betroffenenrechte nicht unterlaufen werden können.