home / Aktuelles

29.10.2018, Wer ist Verantwortlicher im Sinne der DSGVO?

Neben der Entscheidung des EuGH in der Rechtssache C–210/16 (Wirtschaftsakademie Schleswig–Holstein) befasste sich der EuGH nunmehr ein weiteres Mal mit der datenschutzrechtlichen Rollenverteilung. In der Entscheidung in der Rechtssache C–25/17 (Jehovan todistajat) ging es um die datenschutzrechtliche Beurteilung der Verkündigungstätigkeit durch die Gemeinschaft der Zeugen Jehovas. Im Speziellen waren die Notizen, welche die „Verkündiger“ im Rahmen der Ausübung ihrer Verkündigungstätigkeit von Tür zu Tür als Gedächtnisstütze über die Hausbewohner anfertigten, Gegenstand eines Verfahrens der finnischen Datenschutzkommission. Die finnische Datenschutzkommission erließ am 17.09.2013 ein Verbot der Verarbeitung personenbezogener Daten im Rahmen dieser Tätigkeit.


Der EuGH geht im Rahmen eines Vorabentscheidungsverfahrens, welches der finnische Oberste Verwaltungsgerichtshof einleitete, davon aus, dass es sich bei den angefertigten Notizen um personenbezogene Daten handelt und hält, in Fortführung seiner Rechtsprechung (siehe Rs C131/12 Google-Spain und Google) fest, dass die Anwendung der Datenschutzrichtlinie (nunmehr DSGVO) weit auszulegen ist, um ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten.


Wenngleich die im Rahmen der Notizen aufgenommenen personenbezogenen Daten nicht automatisiert verarbeitet werden, erfolgt die Verarbeitung entsprechend geordnet und kategorisiert, womit die Notizen als „Datei“ entsprechend Art 2 lit c) Datenschutzrichtlinie (vgl. nunmehr Art 4 Z 6 DSGVO) angesehen werden können. Es bedarf dazu keines speziellen Verzeichnisses oder einer Sortierung in ein Ordnungssystem sondern es genügt, wenn die Daten später wieder auffindbar sind. Damit geht der EuGH zunächst davon aus, dass die einzelnen Verkündiger, welche die Notizen anfertigen, als datenschutzrechtliche Verantwortliche anzusehen sind.


Bedeutsam ist die Entscheidung jedoch insofern, da darin diese Verantwortlichkeit – wie schon in der Entscheidung in der Rechtssache C-210/16 (Wirtschaftsakademie Schleswig–Holstein) - sehr weit ausgedehnt wird: Neben den einzelnen Verkündigern erscheint dem EuGH nämlich auch die dahinter stehende Gemeinschaft der Zeugen Jehovas in der gemeinsamen (datenschutzrechtlichen) Verantwortlichkeit (vgl Art 26 DSGVO) zu stehen. Dies sei darin begründet, dass die Verkündigungstätigkeit eine wesentliche Betätigungsformen dieser Gesellschaftsgemeinschaft darstellt, die von ihr organisiert und koordiniert wird und zu der sie ermuntert (Vgl EuGH Rs C–25/17 Rz 70). Die Daten werden als Gedächtnisstütze zum Zweck der späteren Verwendung und für den Fall eines erneuten Besuch erhoben. Die Gemeinden der Gemeinschaft der Zeugen Jehovas führen auf der Grundlage dieser von den Mitgliedern erhaltenen Informationen, Listen von Personen, die nicht mehr von diesen Mitgliedern aufgesucht werden möchten. Die Gemeinschaft organisiert die Verkündigungstätigkeit ihrer Mitglieder insbesondere auch dadurch, dass sie die Tätigkeitsbezirke der verschiedenen Verkündiger einteilt.


Insgesamt schließt der EuGH, dass die Gemeinschaft der Zeugen Jehovas ihre verkündigenden Mitglieder dazu ermuntert im Rahmen ihrer Tätigkeit personenbezogene Daten zu verarbeiten. Dadurch, dass sie die Verkündigungtätigkeit ihrer Mitglieder, mit der ihr Glaube verbreitet werden soll, organisiert und koordiniert, zu dieser ermuntert und gemeinsam mit ihren Mitgliedern an der Entscheidung über den Zweck und die Mittel der Verarbeitungen personenbezogener Daten der aufgesuchten Personen mitwirkt. Daher geht der Europäische Gerichtshof von einer gemeinsamen Verantwortlichkeit von der Gemeinschaft der Zeugen Jehovas und den einzelnen Verkündigern aus.