DSGVO - BDSG - TTDSG

4. Gemeinsame Verantwortlichkeit/Anderweitige Zusammenarbeit

188

Ausweislich des Wortlauts von Art. 4 Nr. 7 Hs. 1 DSGVO kann die Verantwortung über einen bestimmten Datenverarbeitungsvorgang auch gemeinsam von zwei oder mehreren Parteien gemeinsam getragen werden.

189

In den letzten Jahren hat dabei kaum ein anderes datenschutzrechtliches Thema (neben dem internationalen Datentransfer) mehr Aufmerksamkeit in der Rechtsprechung erhalten als die gemeinsame Verantwortlichkeit. Insofern ist das Konstrukt der gemeinsamen Verantwortlichkeit in seiner aktuellen Ausprägung im Wesentlichen durch drei, zeitlich kurz aufeinander folgende Urteile des EuGH geprägt.396 Auch wenn diese zwar noch auf Grundlage der DSRl erfolgten, sind diese Judikate aufgrund des durch den Regimewechsel zur DSGVO nicht veränderten Verantwortlichenbegriffs auch noch aktuell von höchster Relevanz.397

190

Nicht jede Zusammenarbeit mit Dritten bei der Verarbeitung von personenbezogenen Daten führt jedoch zu einer gemeinsamen Verantwortlichkeit. Insofern können sich derartige Kooperationen datenschutzrechtlich auch in der Weise darstellen (bzw. darstellen lassen), dass beide Unternehmen als eigenständig Verantwortliche agieren, sie also jeweils selbst und unabhängig voneinander für die Rechtmäßigkeit ihrer jeweiligen Datenverarbeitungen bzw. der von ihnen jeweils kontrollierten Abschnitte einer Datenverarbeitung einzustehen haben. Dies ist etwa dann der Fall, wenn sich die Einfluss- und damit Verantwortungsbereiche eines Datenverarbeitungsvorgangs eindeutig voneinander abgrenzen lassen, ohne dass die Akteure wechselseitig den Verarbeitungsabschnitt des jeweils anderen Akteurs nach Maßgabe der nachfolgenden Ausführungen beeinflussen können oder die Verarbeitungsanteile der Akteure untrennbar miteinander verwoben sind.398

a) Voraussetzungen einer gemeinsamen Verantwortlichkeit
aa) Grundsätzliches

191

Mehrere Parteien verarbeiten personenbezogene Daten in gemeinsamer Verantwortlichkeit, sofern sie die Zwecke und die wesentlichen Elemente der Mittel gemeinsam festlegen.399 Die Bewertung, ob eine gemeinsame Verantwortlichkeit vorliegt, erfolgt generell wie bei der alleinigen Kontrolle, wobei bei der gemeinsamen Verantwortlichkeit der Schwerpunkt darauf zu legen ist, dass mehr als eine Partei über die Zwecke (das „Warum“) und Mittel (das „Wie“) entscheidet.400 Demgemäß ist auch im Falle einer gemeinsamen Verantwortlichkeit erforderlich, dass ein Beteiligter über Zwecke und Mittel eines bestimmten Datenverarbeitungsverfahrens jedenfalls (mit-)bestimmen kann, mithin ihm faktische oder rechtliche Einflussmöglichkeiten zustehen.

192

Unproblematisch liegt eine gemeinsame Verantwortlichkeit vor, wenn mehrere Akteure über alle Zwecke und Mittel der Verarbeitungstätigkeiten gemeinsam entscheiden und gemeinsame Mittel für die Erreichung gemeinsamer Zwecke einsetzen.401 Möglich ist es aber auch, dass die Beteiligungen der Parteien an den gemeinsamen Entscheidungen verschiedene Formen aufweisen und nicht gleichmäßig verteilt sind; auch der Grad an Entscheidungsgewalt kann variieren.402 Insofern kann sich eine gemeinsame Verantwortlichkeit auch nur auf bestimmte Verarbeitungsschritte oder lediglich gewisse Aspekte eines Datenverarbeitungsverfahrens erstrecken.

193

Ferner sind auch Konstellationen denkbar, in denen die gemeinsam Verantwortlichen individuelle Zwecke der Datenverarbeitung verfolgen, dies jedoch auf Grundlage von gemeinsam festgelegten und betriebenen Mitteln, etwa einer bestimmten Vorgehensweise oder Infrastruktur. Die gemeinsame Verantwortlichkeit kann sich in solchen Fällen logischerweise dann allenfalls auf die Mittel der Datenverarbeitung beziehen (wobei eine gemeinsame Bestimmung wesentlicher Mittel in der Regel mit einer gemeinsamen Bestimmung der Verarbeitungszwecke einhergeht, vgl. oben).403

194

Der Abschluss eines Vertrags nach Art. 26 DSGVO hat hingegen keine konstitutive Wirkung.404 Vielmehr führt die (faktische) Vorlage einer gemeinsamen Verantwortlichkeit dazu, dass die gemeinsam Verantwortlichen einen Vertrag nach Maßgabe von Art. 26 DSGVO abschließen müssen. Gleichwohl sind vertragliche Abreden im Hinblick auf tatsächliche und/oder rechtliche Einflussmöglichkeiten auf ein Datenverarbeitungsverfahren zwischen den Akteuren bei der Bewertung einer möglichen gemeinsamen Verantwortlichkeit angemessen zu würdigen.405

195

Eine gemeinsame Verantwortlichkeit liegt nicht (mehr) vor, wenn eine Partei auf die Verarbeitung in einer bestimmten Phase keinen faktischen Einfluss mehr nehmen kann und die konkrete Verarbeitungsphase auch nicht aus Eigeninteresse akzeptiert wird (etwa weil daraus kein eigenständiger Nutzen für die jeweilige Partei erwächst).406 Wird etwa über eine Schnittstelle auf Daten durch Partei A zugegriffen, die im Verantwortungsbereich von Partei B gespeichert sind, und werden diese Daten infolge des Zugriffs durch Partei A der Kontrolle von Partei B entzogen, so ist auch nur Partei A als Alleinverantwortliche hinsichtlich der durch sie durchgeführten Verarbeitung dieser Daten anzusehen.407 Eine Grenzziehung zwischen Einfluss- und somit Verantwortlichkeitsbereichen kann mitunter schwierig sein. Zur Zerteilung und anschließenden Segmentierung einer Verarbeitungssequenz kann dabei auf die in der Definition der Verarbeitung in Art. 4 Nr. 2 DSGVO vorgesehenen, unterschiedlichen Verarbeitungsformen rekurriert werden.408

196

Nicht ausreichend ist ferner, wenn mehrere Akteure bei einer Datenverarbeitung lediglich zusammenarbeiten, ohne jedoch im Hinblick auf dieses Datenverarbeitungsverfahren gemeinsam Zwecke und/oder wesentliche Mittel festzulegen bzw. gemeinsam beeinflussen zu können. Hierbei kann es sich sowohl um eine sequenzielle (derselbe Datensatz wird nacheinander von verschiedenen Stellen verarbeitet) als auch um eine sternförmige (verschiedene Stellen speisen unabhängig voneinander Daten in ein System ein) Zusammenarbeit handeln. So ist in beiden Konstellationen durchaus denkbar, dass jede beteiligte Stelle – separat – nur für die auch von ihr aktiv durchgeführte Verarbeitung (etwa die Einspeisung ihrer Daten) verantwortlich ist, da es – am Beispiel einer sternförmigen Zusammenarbeit – an einer gemeinsamen Bestimmung der Zwecke und Mittel hinsichtlich der Gesamtheit der Daten im jeweiligen System fehlen kann, sofern die zentrale Stelle nicht gemeinsam betrieben wird bzw. dort keine gemeinsame Zweckfestsetzung erfolgt.409 Entsprechendes gilt bei gemeinsam genutzten Infrastrukturen oder Datenbanken, wenn jede teilnehmende Stelle diese Infrastruktur bzw. Datenbank nutzt, um ihre eigenen personenbezogenen Daten zu verarbeiten (ohne auf die Datenverarbeitung der anderen Beteiligten Einfluss nehmen zu können).410

bb) Bisherige EuGH-Rechtsprechung

197

Die zuvor dargestellten grundsätzlichen Erwägungen müssen dabei im Lichte der bisher zur gemeinsamen Verantwortlichkeit ergangenen EuGH-Rechtsprechung bewertet und angewandt werden. Insofern verfolgt der EuGH bei der Bejahung einer gemeinsamen Verantwortlichkeit einen sehr niedrigschwelligen Ansatz. Zusammengefasst genügt es nach Ansicht des Gerichtshofs bereits, dass ein Beteiligter – auch ohne die relevanten Daten selbst zu verarbeiten – von der Datenverarbeitung eines anderen profitiert und diese (in welcher Form auch immer) veranlasst oder ermutigt hat oder sich mit dieser (konkludent) einverstanden erklärt, und beide dabei gleiche Interessen verfolgen (wobei der EuGH dieses Interesse im konkreten Fall denkbar abstrakt als „wirtschaftlich“ bestimmt).411

198

Der EuGH hat bislang für folgende Verarbeitungsszenarien eine gemeinsame Verantwortlichkeit bejaht:

(i) Facebook-Fanpages

199

Die erste diesbezüglich ergangen Entscheidung des EuGH betraf sog. Facebook-Fanpages, mithin Unterseiten auf der Facebook Plattform, die von Nutzern erstellt und administriert werden.412 Nach Ansicht des Gerichtshofs ist der Betreiber einer Fanpage zusammen mit dem Plattform-Betreiber (im konkreten Fall also Facebook) gemeinsamer Verantwortlicher; dies jedenfalls in Bezug auf die seitens Facebook durchgeführte Analyse des Nutzerverhaltens auf der jeweiligen Fanpage.

200

Der EuGH begründet seine Ansicht in erster Linie damit, dass die Betreiber der Fanpages zu der Verarbeitung von personenbezogenen Daten beitragen, indem sie (entsprechend den von Facebook ermöglichten Funktionen) die Kriterien festlegen und sogar die Kategorien von Personen bezeichnen können, anhand derer die Nutzungsanalysen für sie erstellt werden sollen.413 Durch diese seitens des Fanpage-Betreibers vorgenommene sog. Parametrierung der Nutzungsanalyse sei er an der Entscheidung über Zwecke und Mittel der Verarbeitung (durch Facebook) beteiligt und daher auch datenschutzrechtlich (mit-)verantwortlich.414 Der EuGH stellt dabei jedoch klar, dass sich die Verantwortlichkeit des einzelnen Fanpage-Betreibers personell lediglich auf die Besucher der jeweiligen Fanpage bezieht.415

201

Als unerheblich sieht es der EuGH an, dass dem jeweiligen Fanpage-Betreiber kein Zugang bzw. Zugriff auf diese Daten in personenbezogener Form gewährt wird, sondern er lediglich anonymisierte Statistiken erhält.416

202

Neben der Parametrierung nennt der EuGH weitere Faktoren, die im Rahmen einer umfassenden Betrachtung aus Sicht des Gerichtshofs zur (Mit-)Verantwortlichkeit von Fanpage-Betreibern führen: Der Fanpage-Betreiber sei sich zunächst der Datenverarbeitung bewusst und akzeptiere diese durch den Abschluss eines entsprechenden Vertrags.417 Zudem profitiere der Fanpage-Betreiber von der Nutzungsanalyse.418 Da der Besuch der Fanpage auch Betroffenen offensteht, die über keinen Facebook-Account verfügen, ermögliche der Fanpage-Betreiber letztlich auch die Verarbeitung der Daten solcher nicht registrierter Betroffener durch Facebook.419

(ii) Zeugen Jehovas

203

In diesem Verfahren hatte der EuGH zu entscheiden, ob die Gemeinschaft der Zeugen Jehovas (Mit-)Verantwortliche für die Datenerhebung durch ihre Mitglieder während ihrer Tür-zu-Tür-Verkündigungsaktivitäten ist.420 Gegenständlicher Anknüpfungspunkt des Streits war der Umstand, dass die Mitglieder der Gemeinschaft im Rahmen ihrer Proklamationen personenbezogene Daten über die jeweiligen Anwohner erheben, damit diese Informationen im Rahmen erneuter Besuche verwendet werden können, etwa um Bezug zum letzten Besuch herzustellen.421

204

Im Rahmen seiner diesbezüglichen Entscheidung statuiert der EuGH (auf abstrakter Ebene), dass bei der der Beurteilung, ob eine (gemeinsame) Verantwortlichkeit vorliegt, zu prüfen ist, ob die jeweilige Stelle die Verarbeitung zu ihrem eigenen Nutzen beeinflusst.422 Sollte dies der Fall sein, sei es wahrscheinlich, dass eine solche Beteiligung als eine (Mit-)Bestimmung der Zwecke und Mittel dieser Verarbeitung zu werten und der jeweilige Akteur damit als (Mit-)Verantwortlicher anzusehen sei.423

205

Auf den vorliegenden Fall angewandt, kommt der EuGH daher erstens zu dem Schluss, dass die Erhebung und anschließende Verarbeitung von personenbezogenen Daten über besuchte Personen in erster Linie den Interessen der Gemeinschaft der Zeugen Jehovas, nämlich der Verbreitung ihres Glaubens, zu dienen scheint und daher von ihren predigenden Mitgliedern hauptsächlich im Interesse der Gemeinschaft durchgeführt wird.424 Zudem verarbeite die Gemeinschaft die gesammelten Informationen über besuchte Personen für eigene Zwecke weiter, wie z.B. für das Führen von Listen von Personen, die in Zukunft nicht mehr besucht werden wollen.425 Ferner ermutige, koordiniere und organisiere die Gemeinschaft die Predigtaktivitäten auf einer abstrakten, aber (offensichtlich) hinreichend bedeutsamen Ebene.426 Dies manifestiere sich durch die Zuteilung der Gebiete an die Mitglieder sowie durch die Erteilung von Anweisungen und Anleitungen, wie bei der Durchführung der Verkündigungen und den damit verbundenen Gesprächen mit besuchten Personen vorzugehen sei, etwa durch Artikel, die in der Vergangenheit in ihren Zeitschriften veröffentlicht wurden.427

(iii) Fashion ID

206

In diesem Verfahren hatte das OLG Düsseldorf den EuGH um eine Entscheidung darüber gebeten, ob die Einbindung des Facebook „Like-Buttons“ auf einer Webseite dazu führt, dass der Webseiten-Betreiber zusammen mit Facebook als (Mit-)Verantwortlicher einzustufen ist.428 Das Plugin kann auf anderen Webseiten eingebettet und angezeigt werden. Dazu wird vom Plugin-Anbieter (in diesem Fall Facebook) ein Code-Snippet zur Verfügung gestellt, welches ermöglicht, das Plugin auf anderen Webseiten einzubinden und beim Besuch anzuzeigen.

207

Der EuGH bejahte – als logische Fortsetzung der Entscheidung zur gemeinsamen Verantwortlichkeit von Fanpage-Betreibern – auch in diesem Verfahren die gemeinsame Verantwortlichkeit zwischen Plugin-Betreiber und Webseiten-Betreiber, der das Plugin auf seiner Webseite einbindet. In diesem Zuge weist der EuGH zunächst darauf hin, dass der Webseiten-Betreiber frei über die Einbettung des Plugins entscheidet.429 Durch diese Entscheidung, die in Kenntnis der Erhebung und Übermittlung von personenbezogenen Daten an Facebook erfolgt, bestimme der Webseiten-Betreiber (mit) über die Zwecke und Mittel der Verarbeitung. Diese gemeinsame Verantwortlichkeit erstrecke sich allerdings lediglich auf die initiale Erhebung und Übermittlung an Facebook.430

208

Der EuGH begründet seine Entscheidung ferner mit dem Verhältnis zwischen den von Facebook und dem Webseiten-Betreiber verfolgten Zwecken. So sei der Zweck des Webseiten-Betreibers, die Werbung für seine Produkte zu optimieren, indem er die Produkte auf Facebook sichtbarer macht. Facebook wiederum sammelt die Daten von den Besuchern (des Webseiten-Betreibers) zur Weiterverarbeitung für eigene kommerzielle Zwecke. Aufbauend auf dieser Einschätzung stellt der EuGH anschließend fest, dass diese wechselseitigen Zwecke von den Parteien akzeptiert und die von den Parteien verfolgten Interessen an der Verarbeitung identisch sind, nämlich wirtschaftlicher Natur. Der Webseiten-Betreiber drückt seine Einwilligung (in die Verarbeitung durch Facebook) zumindest implizit durch die Einbettung des Plugins aus. Umgekehrt nimmt Facebook scheinbar durch das Anbieten des Plugins und der darin enthaltenen Funktionen am Bestimmungsprozess (an der Verarbeitung des Webseiten-Betreibers) teil.431

cc) Zusammenfassung/Ableitung

209

Aus einer übergreifenden Analyse der drei Judikate lässt sich dabei ableiten, dass eine gemeinsame Verantwortlichkeit wahrscheinlich anzunehmen ist, wenn folgende Voraussetzungen kumulativ vorliegen:

 – Die Zwecke und Mittel der Verarbeitung sind (i) identisch oder (ii) zumindest ähnlich oder bedingen einander (symbiotisches Verhältnis),432 wobei jedenfalls vorauszusetzen sein sollte, dass die jeweiligen Datenverarbeitungsaktivitäten der Beteiligten derart untrennbar miteinander verknüpft sind, dass das (potenziell gemeinsam verantwortete) Datenverarbeitungsverfahren bzw. die damit verfolgte Zweckerreichung ohne die Beteiligung aller (vermeintlich gemeinsam) Verantwortlichen nicht möglich wären.433

 – Die Zwecke der Verarbeitung erfolgen aus demselben übergeordneten (abstrakten) Interesse, z.B. „wirtschaftliches Interesse“.434

 – Jede Partei hat übergeordnete Kenntnisse über die Zwecke und Mittel der anderen Partei.435

 – Jede Partei akzeptiert die Zwecke der jeweils anderen Partei zumindest konkludent durch eine aktive Handlung, etwa durch den Abschluss eines Vertrages oder durch eine positive Beeinflussung der Verarbeitung,436 wie z.B. die Einleitung oder Förderung der Verarbeitung oder die Bereitstellung eines in dieser Hinsicht konzipierten Verarbeitungswerkzeugs.

 – Jede Partei profitiert direkt von der Verarbeitung des spezifischen Datensatzes,437 d.h. durch die Verarbeitung wird ein direkter Nutzen für die beteiligten Parteien generiert (der über eine bloße finanzielle Kompensation hinausgeht).

210–215

Der EuGH scheint dabei die (vorliegenden) Verarbeitungszwecke mit den (eventuell nachgelagert) verfolgten Interessen an der Verarbeitung zu vermengen, die sich eher auf sich anschließende Verarbeitungsmöglichkeiten beziehen bzw. erst im Rahmen einer Rechtfertigungsprüfung nach Art. 6 Abs. 1 lit. f DSGVO relevant werden.438 Der Gerichtshof versteht das gemeinsam verfolgte Interesse der Beteiligten dabei wohl als verbindende Klammer im Verhältnis zu den jeweils individuell (jedoch wechselseitig akzeptierten) Verarbeitungszwecken. Insofern ist es auch nur konsequent, dass der EuGH im Fashion ID-Verfahren die gemeinsame Verantwortlichkeit auf die initiale Erhebung und Übermittlung an Facebook beschränkt, da der Webseiten-Betreiber an etwaigen nachgelagerten Verarbeitungsvorgängen durch Facebook nicht mehr (wirtschaftlich) partizipiert und daher auch kein Eigeninteresse verfolgt (obwohl er die Verarbeitung durch Facebook jedenfalls konkludent hinnimmt).439

216

Der singuläre Umstand, dass eine Datenverarbeitung einen Nutzen für mehrere Akteure entfaltet, genügt für sich alleine jedoch in der Regel nicht, um eine gemeinsame Verantwortlichkeit zu begründen.440 Insbesondere muss das Eigeninteresse über die bloße Erfüllung der Verarbeitungsleistung für einen anderen hinausgehen. Vielmehr muss für den Verarbeitenden aus der konkreten Datenverarbeitung unmittelbar ein Nutzen hervorgehen, der über die etwaige Zahlung eines entsprechenden Entgelts hinausgeht (insbesondere relevant für die Abgrenzung zur Auftragsverarbeitung).441

b) Übertragbarkeit auf andere Konstellationen/Abgrenzung zur bloßen Zusammenarbeit

217

Eine gemeinsame Verantwortlichkeit ist von solchen Konstellationen abzugrenzen, in denen mehrere Parteien bei der Verarbeitung von personenbezogenen Daten lediglich zusammenarbeiten, ihre Verarbeitungsvorgänge jedoch jeweils in eigenen, abtrennbaren Verantwortungsbereichen durchführen.442 In solchen Fällen liegt eine einfache Datenweitergabe zwischen zwei getrennt Verantwortlichen vor.443 Die Abgrenzung zwischen getrennter und gemeinsamer Verantwortlicher ist durch die voran dargestellte EuGH-Rechtsprechung erheblich verkompliziert worden. In diesem Zusammenhang stellt sich insbesondere die Frage, welchen Einfluss die vom EuGH aufgestellten Kriterien über die in den relevanten Urteilen bewerteten, spezifischen Sachverhalte auf die Bewertung anderer Konstellationen entfalten.

218

Zu beachten bleibt dabei, dass auch der EuGH betont, dass nicht die bloße Existenz singulärer Umstände zur Vorlage einer gemeinsamen Verantwortung führe, sondern dies vielmehr stets im Rahmen einer wertenden, holistischen Betrachtung unter Berücksichtigung aller Umstände des konkreten Einzelfalls zu bewerten sei.444 Demgemäß dienen die oben genannten Faktoren in erster Linie als Startpunkt einer entsprechenden Prüfung. Eine Übertragbarkeit der EuGH-Rechtsprechung auf ähnliche Konstellationen bzw. Kollaborationen im Rahmen einer Datenverarbeitung im Allgemeinen ist dabei stets sorgfältig zu prüfen. So gilt es im Einzelfall zu eruieren, ob die Einflussmöglichkeit der beteiligten Akteure im Rahmen einer umfassenden und wertenden Betrachtung die Annahme einer gemeinsamen Verantwortlichkeit rechtfertigt.

219

Insofern sind auch durchaus die jeweiligen Besonderheiten der den Urteilen jeweils zugrunde liegenden Sachverhalte zu berücksichtigen. So ist etwa mit Blick auf die Facebook-Fanpages-Entscheidung zu beachten, dass die Verantwortungsbereiche von Facebook und den Fanpage-Betreibern quasi untrennbar miteinander verwoben sind, da der Besuch einer Facebook-Fanpage zwangsläufig und untrennbar mit einem gleichzeitigen Besuch der allgemeinen Facebook-Plattform und damit mit einer Verarbeitung der personenbezogenen Daten des jeweiligen Besuchers durch Facebook verbunden ist.445 In anderen Fällen können sich die Einfluss- und Verantwortungsbereiche (sowie die jeweils verfolgten Interessen) der an einer Datenverarbeitung beteiligten Akteure demgegenüber durchaus trennscharf voneinander abgrenzen lassen.

220

Eine solche abgegrenzte Betrachtung der Verantwortungsbereiche erscheint etwa auch bei der Einbindung von Plugins auf Internetseiten grundsätzlich denkbar.446 So ist auch in solchen Fällen stets zu prüfen, welche Zwecke von den Beteiligten verfolgt werden, ob eine wechselseitige Zustimmung in den Zweck des jeweils anderen erfolgt und ob letztlich auch ein gleichgelagertes Interesse verfolgt wird. So ist die Verteilung und gegebenenfalls Überschneidung von Verantwortungsbereichen maßgeblich auch durch die konkrete technische Gestaltung eines Plugins sowie des jeweils erhobenen Datenumfangs und den vertraglichen Abreden zwischen den Beteiligten bestimmt.447 Diese Prüfung kann durchaus in dem Ergebnis enden, dass den Plugin-Anbieter erst ab dem Zeitpunkt eine Verantwortung trifft, an dem er die vom jeweiligen Plugin erhobenen Daten vom Webseiten-Betreiber erhält. Vice versa kann jedoch auch eine weiterreichende gemeinsame Verantwortlichkeit als im Fashion ID-Urteil gegeben sein, etwa wenn eine Möglichkeit zur Einflussnahme seitens des Webseiten-Betreibers auf die sich anschließende Datenverarbeitung durch den Plugin-Anbieter besteht (z.B. im Rahmen einer beeinflussbaren Nutzungsanalyse).448

221

Ferner können sich auch Konstellationen ergeben, in denen die Beteiligten zwar bei der Datenverarbeitung zusammenarbeiten, dabei jedoch gegenläufige Interessen verfolgen. Dies kann etwa der Fall sein, wenn sich die Beteiligten in einer Verhandlungssituation befinden, etwa da sie um die Abtretung einer Forderung verhandeln. Wertend betrachtet können solche Fälle daher durchaus als getrennte Verantwortlichkeit zu klassifizieren sein, auch wenn die oben aufgeschlüsselten Voraussetzungen an eine gemeinsame Verantwortlichkeit (formal) vorliegen können.