Neben dem Urteil in der Rechtssache C-807/21 (Deutsche Wohnen) hat der EuGH am 5. Dezember 2023 eine weitere wichtige Entscheidung (C-683/21) getroffen. Die dortigen Feststellungen sind aus meiner Sicht für die alltägliche Praxis im Datenschutzrecht besonders wichtig – denn es geht um das Verhältnis zwischen dem Verantwortlichen und seinem Auftragsverarbeiter und die Haftung für Tätigkeiten des Dienstleisters.
Sachverhalt
Der Hintergrund der Entscheidung ist einigermaßen skurril. Der Gesundheitsminister der Republik Litauen beauftragte den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) damit, den Erwerb eines IT‑Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Covid-Pandemie zu organisieren.
Eine Person, die sich als Vertreter des NZÖG ausgab, teilte einem Unternehmen (App-Entwickler) mit, dass das NZÖG das Unternehmen als Entwickler einer entsprechenden mobilen Anwendung ausgewählt habe. Diese Person versendete in der Folge E‑Mails an das Unternehmen (mit Kopie an den Direktor des NZÖG) hinsichtlich verschiedener Aspekte der Entwicklung dieser Anwendung.
Die App, in der der App-Entwickler und das NZÖG in der Datenschutzerklärung gemeinsam genannt waren, war irgendwann im Google Play Store und im Apple App Store zum Herunterladen verfügbar und wurde von mehreren Tausend Personen genutzt.
An den App-Entwickler wurde aber nie ein öffentlicher Auftrag zum Erwerb der App vergeben. Das NZÖG forderte dann den App-Entwickler auf, es in der mobilen Anwendung in keiner Weise zu erwähnen. Außerdem teilte es mit, dass das Vergabeverfahren wegen fehlender Mittel für den Erwerb der Anwendung beendet worden sei.
Wer ist Verantwortlicher?
Die erste durch den EuGH zu beantwortende Frage war, ob das NZÖG in dieser Konstellation datenschutzrechtlich Verantwortlicher für die Datenverarbeitung über App sein konnte. Wohlgemerkt wurde ein offizieller Auftrag im Rahmen einer Ausschreibung nicht erteilt.
Der EuGH geht aber dennoch davon aus, dass
„die Entwicklung der in Rede stehenden mobilen Anwendung vom NZÖG in Auftrag gegeben wurde und dazu dienen sollte, das von ihm gesetzte Ziel umzusetzen, nämlich die Covid‑19-Pandemie durch ein IT‑Tool zur Erfassung und Überwachung der Daten von Personen, die mit Trägern des Covid‑19-Virus in Kontakt standen, zu bewältigen“.
Zudem habe das NZÖG vorgesehen, dass zu diesem Zweck personenbezogene Daten der Nutzer der mobilen Anwendung verarbeitet werden.
Außerdem, so der EuGH, geht aus der Vorlageentscheidung hervor, dass die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.
Der EuGH prüft also hier die zwei entscheidenden Merkmale der Verantwortlichkeit: Entscheidung über Mittel und Zwecke der Verarbeitung und kommt zu folgendem Ergebnis:
„Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.“
Der EuGH nimmt hier also eine Rolle als Verantwortlicher für NZÖG an.
Wichtig für die Praxis sind die Hinweise des EuGH dazu, welche Kriterien nicht zwingend für eine Verantwortlichkeit sprechen:
- Der bloße Umstand, dass das NZÖG in der Datenschutzerklärung der mobilen Anwendung als Verantwortlicher genannt wurde
- Dass die Anwendung Links zum NZÖG enthielt
Diese Umstände sind auch Sicht des EuGH nur dann für die Frage der Verantwortlichkeit relevant,
„wenn feststeht, dass das NZÖG dem ausdrücklich oder stillschweigend zugestimmt hat.“
Gleichzeitig macht der EuGH (wieder einmal) deutlich, wie weit er die Figur der Verantwortlichkeit nach der DSGVO versteht.
Die Umstände
- dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat
- dass kein Vertrag zwischen dem NZÖG und dem App-Entwickler bestand
- dass das NZÖG die mobile Anwendung nicht erworben hat
- dass es die Verbreitung dieser App über Online-Shops nicht genehmigt hat
schließen es nach Ansicht des EUGH gerade nicht aus,
„dass das NZÖG als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann.“
Bedeutet für uns in der Praxis: die Verantwortlichkeit beginnt früh und eventuell schneller als man denkt. Der EuGH stellt sehr klar allein auf die entscheidenden Merkmale der Entscheidung über Mittel und Zwecke ab. Für die Verantwortlichkeit spielen rein formelle Aspekte, wie etwa ein Vertrag oder der Erwerb der Anwendung, keine Rolle, solange Anhaltspunkte dafür vorhanden sind, dass eine Stelle an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt.
Beauftragt also eine Stelle ein anderes Unternehmen mit der Entwicklung einer App und hat es in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die App vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt, kann dies Stelle als Verantwortlicher angesehen werden, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt.
Bußgeld gegen den Verantwortlichen für Tätigkeiten des Auftragsverarbeiters
Als Parallele zu dem Verfahren Deutsche Wohnen, ging es auch hier um die Frage der Haftung des Verantwortlichen.
Im hiesigen Fall war nun aber die Besonderheit, dass die NZÖG ja selbst keine Daten verarbeitet hat. Dies erfolgte vielmehr durch den App-Entwickler.
Die Frage war dann, ob eine Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.
Der EuGH ist in diesem Punkt, dass muss man so sagen, ganz klar und beantwortet die Frage mit „ja“.
In seiner Begründung erinnert der EuGH etwa daran, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Hierauf folgt, dass ein Verantwortlicher,
„nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist“.
Die rechtliche Verantwortlichkeit und damit Haftung erstreckt also auch auf Tätigkeiten des eingesetzten Auftragsverarbeiters.
Daher, so der EuGH,
„kann gegen ihn eine Geldbuße nach Art. 83 der DSGVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist“.
Von der Bußgeldhaftung des Verantwortlichen für den Auftragsverarbeiter gibt es jedoch Ausnahmen, die der EuGH benennt:
- In Fällen, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet
- diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist
- auf eine Weise verarbeitet, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
In diesen drei Fällen gilt der Auftragsverarbeiter nach Art. 28 Abs. 10 DSGVO nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.
Die Ausführungen des EuGH bedeuten in der Praxis, dass man besonderes Augenmerk auf den Inhalt der Auftragsverarbeitungsverträge und der Weisungen zur Verarbeitung legen sollte. Im Grunde haftet der Verantwortliche für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der Weisungen bleibt. Je weiter eine Weisung bzw. der Zweck der beauftragten Verarbeitung aber nun definiert ist, desto größer ist natürlich auch ein potentielles Haftungsrisiko für den Verantwortlichen.
Die Formulierung „Zur Durchführung des Hauptvertrages“ in einem AV-Vertrag wird in der Praxis viel mehr Interpretationsspielraum bieten, ob eine Verarbeitung wirklich im Rahmen des Auftrages erfolgt, als etwa eine genau Beschreibung der einzelnen Leistungen und Datenverarbeitungen.