Den Werbetreibenden, der Briefwerbung im Lettershop-Verfahren durch einen Adresshändler verschicken lässt, trifft keine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (VG Berlin,Urt. v. 10.2025 - Az.: VF 1 K 74/24).
In dem zugrundeliegenden Fall beauftragte die Klägerin, ein Revuetheater aus Berlin, eine Adresshändlerin damit, im sogenannten Lettershop-Verfahren Werbebriefe an potenzielle Neukunden zu verschicken. Dabei gab sie vor, dass die zu erreichenden Personen in Berlin oder Brandenburg leben und zudem über eine überdurchschnittliche Kaufkraft verfügen sollten.
Die Adresshändlerin nutzte dazu eigene Adressdaten und wählte anhand der Vorgaben entsprechende konkrete Datenbestände aus. Aufgrund des eingesetzten Lettershop-Verfahrens erhielt das Theater keinen Zugriff auf diese Daten.
Eine Empfängerin dieser Werbung beschwerte sich über den Datenschutzverstoß. Die zuständige Datenschutzbehörde vertrat die Ansicht, dass eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen den Beteiligten gegeben sei, und verwarnte die Klägerin.
Dagegen wehrte sich das Theater vor Gericht und bekam Recht.
Das Gericht hob die Verwarnung auf.
Es liege datenschutzrechtlich keine gemeinsame Verantwortung zwischen der Klägerin und der Adresshändlerin vor. Zwar handele es sich bei den verwendeten Adressen um personenbezogene Daten, jedoch habe die Klägerin lediglich den Zweck der Werbung vorgegeben.
Die Adressauswahl, Organisation und der Versand der Briefe seien vollständig von der Adresshändlerin übernommen worden. Das Theater habe dabei keinen Einfluss auf die eingesetzten Mittel der Datenverarbeitung gehabt.
Allein die Vorgabe von Zielgruppen führe nicht zu einer Mitentscheidung über die Datenverarbeitung. Es liege auch kein vergleichbarer Fall wie bei Facebook-Fanpages oder Social-Media-Plattformen vor, bei denen Nutzer direkt durch technische Einbindung getrackt würden:
"Nach diesen Maßstäben erfüllte die Klägerin in Bezug auf die von der Adresshändlerin vorgenommenen Datenverarbeitungsvorgänge nicht die Voraussetzungen einer gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 1 Satz 1 DSGVO.
Zwar hat die Klägerin im Eigeninteresse Einfluss auf die Zwecke der Datenverarbeitung durch die Adresshändlerin genommen. Denn unabhängig davon, ob man den Zweck der Verarbeitung im Versand des Werbeschreibens oder – allgemeiner – in der Beförderung ihrer Geschäftstätigkeit durch die Anwerbung von Neukunden erblickt, hat sie diesen Zweck der Datenverarbeitung gegenüber der Adresshändlerin festgesetzt. Er entspricht auch ihrem Eigeninteresse, nämlich ihrem wirtschaftlichen Gewinnstreben.
Dafür spricht auch der Empfängerhorizont, also die Perspektive eines objektiven Beobachters, der das Werbeschreiben erhält. Für diesen stellt es sich äußerlich als eine ausschließliche Maßnahme der Klägerin dar, weil es mit ihrem Briefkopf bzw. Corporate Design auftritt und allein für einen Besuch der von ihr angebotenen Show wirbt, ohne dass die Beteiligung der Adresshändlerin an der Datenverarbeitung jenseits der Datenschutzhinweise ersichtlich würde vgl. zur Maßgeblichkeit des nach außen hin vermittelten Eindrucks: Der Bayerische Landesbeauftragte für den Datenschutz, a. a. O., Rn. 36).
Die Klägerin hatte aber keinerlei Einfluss auf die Mittel der Datenverarbeitung. Die Adresshändlerin führte den gesamten Datenverarbeitungsprozess nach dem von ihr konzipierten „Lettershop“- Verfahren beziehungsweise Mikrozellen-Modell durch, ohne dass die Klägerin die Möglichkeit gehabt hätte, auf die strukturelle beziehungsweise organisatorische Ausgestaltung dieses Prozesses in irgendeiner Form einzuwirken. Auch insoweit kommt es nicht darauf an, ob man nur das Auslesen und Verwenden der Adressen im zweiten Schritt oder darüber hinaus auch die Selektion der Mikrozellen anhand bestimmter Merkmale im ersten Schritt als Verarbeitung personenbezogener Daten ansieht.
Denn die bloße Vorgabe einer Zielgruppe Haushalte in Berlin und Brandenburg mit zumindest überdurchschnittlicher Kaufkraft) führte auch dann nicht dazu, dass die Klägerin auf die „Mittel“ der Datenverarbeitung Einfluss genommen hätte, wenn man die Mikrozellenselektion als Verarbeitung personenbezogener Daten versteht. Die Festlegung der Zielgruppe ist vielmehr wegen ihrer eindeutigen wirtschaftlichen Motivation untrennbar mit der Zwecksetzung für die Datenverarbeitung verbunden und stellt sich demgegenüber nicht als Entscheidung über ihre Mittel dar.
Für eine Einflussnahme auf die Mittel der Datenverarbeitung müsste es irgendeine über die Auftragserteilung hinausgehende organisatorisch-konzeptionelle Mitwirkung der Klägerin an der Datenverarbeitung gegeben haben, die hier aber nicht ersichtlich ist. Sie hat lediglich eine Leistung eingekauft, deren prozedurale Ausgestaltung – von der grundlegenden Konzeption über die datenschutzrechtlich relevanten Organisationsmaßnahmen bis hin zur technischen Umsetzung – allein in den Händen der Adresshändlerin verblieb. Es ist nicht ersichtlich, dass die Klägerin irgendwelche Entscheidungen in Bezug darauf hätte treffen können, wie die Mikrozellen gebildet, wie ihnen Merkmale zugeschrieben werden, wie der Selektionsprozess anhand ihrer Vorgaben ausgestaltet ist und wie letztlich die Adressauswahl technisch hin zum Versand des Werbeschreibens umgesetzt wird. Auch die bloße Entscheidung, ein Werbeschreiben an potenzielle Neukunden zu versenden, kann nicht als Einflussnahme auf die Mittel der Datenverarbeitung gewertet werden. Denn das Leistungsangebot der Adresshändlerin besteht gerade darin, ihren Kunden das Versenden von Werbeschreiben zu ermöglichen. Andere Modalitäten des Verwendens personenbezogener Daten ohne Zugriff des Kunden auf die Daten bietet sie in diesem Bereich ihrer Geschäftstätigkeit nicht an."
Das Gericht sieht auch keine Parallele zu den EuGH-Fällen:
"Für das Ergebnis spricht schließlich auch ein Vergleich mit denjenigen Fällen, in denen der EuGH bisher eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 Abs. 1 Satz 1 DSGVO angenommen beziehungsweise auf Grundlage der entsprechenden Vorlagebeschlüsse der nationalen Gerichte für möglich gehalten hat. Bei diesen Sachverhalten gab es anders als hier stets ein lneinandergreifen der Entscheidungen beider Verantwortlicher gerade auch in Bezug auf die Mittel der Datenverarbeitung.
Am ehesten ist der vorliegende Fall mit den Konstellationen vergleichbar, über die der EuGH in der sogenannten Fanpagesowie in der Fashion-lD-Entscheidung befunden hat. Hier ging es um die gemeinsame Verantwortlichkeit von Website-Betreiberinnen, die ihre Website auf einer sozialen Plattform einrichten beziehungsweise ein Plugin einer sozialen Plattform in ihre Website einbinden mit der Folge, dass beim Aufrufen der Website personenbezogene Daten der Nutzer automatisch an die soziale Plattform übermittelt und von dieser weiterverarbeitet werden. Der EuGH hat die Einbindung der sozialen Plattform jeweils für die gemeinsame Verantwortlichkeit der Website- Anbieterinnen genügen lassen EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein; Urteil vom 29. Juli 2019 – C-40/17 – Fashion lD). Das wäre ein starkes Argument für die gemeinsame Verantwortlichkeit auch der Klägerin im vorliegenden Fall, wenn für den EuGH die bloße Kausalität der Website-Anbieterinnen für die Datenverarbeitung durch die Plattform ausgereicht hätte.
Zu beachten ist jedoch, dass der EuGH in den genannten Entscheidungen zwischen dem Erheben und dem weiteren Verarbeiten der Nutzerdaten durch die Plattform unterscheidet insbesondere EuGH, Urteil vom 29. Juli 2019 – C-40/17 – Fashion lD, Rn. 76). Ein zentrales Argument des EuGH für die Verantwortlichkeit der Website-Betreiberinnen in Bezug auf das Erheben der Daten lag in beiden Entscheidungen darin, dass es das Einrichten der Website beziehungsweise das Einbinden des Plugins der sozialen Plattform erst ermöglicht hatte, die personenbezogenen Daten zu erheben EuGH, Urteil vom 5. Juni 2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein, Rn. 35; Urteil vom 29. Juli 2019 – C-40/17 – Fashion lD, Rn. 75). Das Verhalten der Website-Anbieterinnen stellte sich für die soziale Plattform so gleichsam als „Schlüssel“ zu den Nutzerdaten dar.
Einen solch beherrschenden Einfluss auf die Datenverarbeitung durch die Adresshändlerin hatte die Klägerin vorliegend nicht. Zwar wirkte sich auch ihre Entscheidung im Sinne einfacher Kausalität dahingehend aus, dass es ohne ihren Auftrag den konkreten Datenverarbeitungsvorgang durch die Adresshändlerin nicht gegeben hätte. Sie hat ihr die Datenverarbeitung aber nicht erst ermöglicht, ihr nicht erst die Tür zu den Daten geöffnet. Die Adresshändlerin verfügte unabhängig vom Verhalten der Klägerin über ihren Adressdatenbestand. lhre tatsächlichen Zugriffsmöglichkeiten auf diese Daten bestanden vollkommen unabhängig davon, ob die Klägerin ihr einen Auftrag, der mit einer weiteren) Datenverarbeitung einherging, erteilte."
Anmerkung von RA Dr. Bahr:
Die Bedeutung dieser Entscheidung geht weit über den Bereich des reinen Adresshandels und des Lettershop-Verfahrens hinaus.
Denn auch in anderen Konstellationen, wie beispielsweise dem klassischen Stand-Alone-Marketing, vertreten einzelne Datenschutzbehörden immer wieder die Ansicht, dass eine gemeinsame Verantwortlichkeit gegeben ist, obwohl das werbetreibende Unternehmen weder Zugriff auf die eigentlichen Kundendaten hat, noch unmittelbar an der Auswahl der Kundendaten beteiligt ist.
Die Annahme einer gemeinsamen Verantwortlichkeit hat in der Praxis mehrere weitreichende Konsequenzen für die Betroffenen, so u.a. eine Gesamtschuldnerhaftung im Rahmen des DSGVO-Schadensersatzes (Art. 82 Abs. 4 DSGVO) und praktische Probleme bei der Auskunftserteilung nach Art. 15 DSGVO.
Das VG Berlin erteilt der uferlosen Ausweitung der gemeinsamen DSGVO-Verantwortlichkeit eine klare Absage. Es steht damit übrigens nicht alleine. So hat auch jüngst das VG Köln bei der Facebook-Fanpage der Bundesregierung eine solche gemeinsame Verantwortlichkeit abgelehnt, vgl. unsere Kanzlei-News v. 23.07.2025.