EuGH-Urteil zu gemeinsam Verantwortlichen (Art. 26 DSGVO) - Was heißt das für den KI-Einsatz?
Gespeichert von Dr. Axel Spies am
Die genaue Unterscheidung zwischen "gemeinsam" und "getrennt" für die Verarbeitung Verantwortlichen im Rahmen der DSGVO ist wichtig, z.B. da bekanntlich gemeinsam für die Verarbeitung Verantwortliche gesamtschuldnerisch für Schäden haftbar sein können. Aber wie nimmt man die Abgrenzung für Art. 26 DSGVO vor?
Hier eine kurze Zusammenfassung der jüngsten Entscheidung des EuGH zu dieser Frage (ein Fall aus Litauen betreffend eine Corona-App):
1. Der EuGH stellt unter Bezugnahme auf seine Fashion-ID-Entscheidung klar, dass die betreffenden Einrichtungen jeweils unabhängig voneinander die Definition des Begriffs "für die Verarbeitung Verantwortlicher" in der DSGVO erfüllen müssen.
2. Der EuGH erinnert dann daran, dass die gemeinsame Verantwortung nach Art. 26 (1) DSGVO nicht voraussetzt, dass die beteiligten Parteien im gleichen Maße verantwortlich sind - und bestätigt damit u.a. seine "Fanpage"-Entscheidung. „Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist" (Rn. 42).
3. Eine förmliche Vereinbarung zwischen den für die Verarbeitung Verantwortlichen ist keine Voraussetzung für die Einstufung als gemeinsam für die Verarbeitung Verantwortliche. Der Grad der Verantwortung ist nach den Umständen des Einzelfalls zu beurteilen.
4. Eine gemeinsame Entscheidung ist nicht erforderlich. Gemeinsame Kontrolleure können ihre Aktivitäten (auch) durch „übereinstimmende Entscheidungen" koordinieren (d. h. durch unabhängige, aufeinander folgende Entscheidungen beider Akteure). Aber: „In letzterem Fall müssen sich diese Entscheidungen jedoch in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und ‑mittel auswirkt" (Rn. 43).
Was heißt das z.B. für den Einsatz und Entwicklung eines KI Tools?
Wenn man nicht schon von einer Auftragsverarbeitung ausgeht, bietet sich hiermit eine Möglichkeit, den Terminus "gemeinsame Verantwortung" enger auszulegen als bisher. Wenn eine „einzige Entscheidung" oder konvergierende Entscheidungen" (so der genauere englische und frz. Text), wie der EuGH feststellt, zur Begründung einer gemeinsamen Verantwortlichkeit führen, dann gibt es im Umkehrschluss keine gemeinsame Verantwortlichkeit nach der DSGVO, wenn die Entscheidungen der für die Verarbeitung Verantwortlichen sich nicht ergänzen und nicht beide mit ihren Entschiedungen eine konkrete Auswirkung auf die Zwecke und Mittel der Verarbeitung haben.
Das wäre z.B. der Fall wenn ein Unternehmen eine KI, die ein anderes Unternehmen anbietet, durch das Training mit Daten füttert und die Ergebnisse nutzt. Trotz der gewollten weiten Auslegung des Art. 26 DSGVO durch den EuGH in den Fällen "Fanpage" und “Wirtschaftsakademie” wird in diesem Fall wahrscheinlich keine gemeinsame Kontrolle anzunehmen sein.
Sehen Sie das auch so?