Der Gerichtshof der Europäischen Union entscheidet über die Haftung von gemeinsam für die Verarbeitung Verantwortlichen

In der Rechtssache C-683/21, die am 5. Dezember 2023 entschieden wurde, musste der Gerichtshof der Europäischen Union den Begriff der gemeinsamen Verantwortung der für die Verarbeitung Verantwortlichen und deren Umfang klären.

I.          Fakten

Im März 2020 beauftragte das Nationale Zentrum für öffentliche Gesundheit beim litauischen Gesundheitsministerium (NVSC) ein Unternehmen mit der Entwicklung einer Anwendung zur Rückverfolgbarkeit von Personen, die von COVID-19 betroffen sind. In der Folge kam es zu mehreren Gesprächen zwischen den Parteien bezüglich der Erwartungen des NVSC an diese Anwendung.

Diese App wurde zwischen dem 4. April und dem 20. Mai 2020 im Google Playstore und im App Store veröffentlicht.

Mangels ausreichender finanzieller Mittel teilte der NVSC dem beauftragten Unternehmen jedoch am 15. Mai 2020 mit, dass er nicht mehr in der Lage sei, die Anwendung zu erwerben, und forderte das Unternehmen auf, den NVSC in der betreffenden Anwendung in keiner Weise mehr zu erwähnen.

Da die litauische Datenschutzbehörde der Ansicht war, dass der Betrieb dieser Anwendung zu einer Verarbeitung personenbezogener Daten führte, die nicht den Anforderungen der DSGVO entsprach, verurteilte sie das NVSC zur Zahlung einer Geldstrafe in Höhe von 12.000 Euro.

Der NVSC focht diese Entscheidung vor dem regionalen Verwaltungsgericht in Vilnius an und argumentierte, dass nur die Entwicklungsgesellschaft als für die Verarbeitung Verantwortlicher angesehen werden sollte. Die Gesellschaft war der Ansicht, dass sie nur als Auftragsverarbeiter auf Anweisung des NVSC gehandelt hatte.

Das vorlegende Gericht hatte folgenden Sachverhalt zugrunde gelegt:

• Das NVSC hatte die Entwicklungsfirma beraten, welche Fragen den Nutzern gestellt werden sollten, um die Ziele umzusetzen, die es mit der Entwicklung der Anwendung erreichen wollte;
• das NVSC hatte der Bereitstellung der Anwendung in den oben genannten Online-Shops weder zugestimmt noch sie genehmigt ;
• Es gab keinen öffentlichen Auftragsvertrag zwischen dem NVSC und der Entwicklungsgesellschaft, da das diesbezügliche Verfahren mangels einer möglichen Finanzierung beendet wurde.

Die Frage, die dem EuGH vorgelegt wurde, bestand darin, ob das NVSC trotz dieses Zusammenhangs als für die Verarbeitung Verantwortlicher anzusehen ist.

II.          Erwägungsgründe

Wenig überraschend hält das Gericht fest, dass :

• die bloße Bezeichnung des NVSC als „für die Verarbeitung Verantwortlicher“ in der Datenschutzrichtlinie der mobilen Anwendung ist für den Richter natürlich nicht bindend ;
• die Tatsache, dass das NVSC selbst keine personenbezogenen Daten verarbeitet hat und dass diese Verarbeitung über die Entwicklungsgesellschaft stattgefunden hat, bedeutet nicht, dass es nicht für die Verarbeitung verantwortlich sein kann ;
• Es spielt keine Rolle, dass es keinen Vertrag zwischen diesen Einrichtungen gab, da ein solcher Vertrag keine zwingende Voraussetzung für die Einstufung als gemeinsam für die Verarbeitung Verantwortliche ist und keine konstitutive Wirkung hat;
• Es ist auch unerheblich, dass der NVSC die mobile Anwendung nicht erworben hat und sie nicht auf den oben genannten Shops zur Verfügung gestellt hat.
• Nur die Tatsache ist von Bedeutung, dass das NVSC ein Unternehmen mit der Entwicklung einer mobilen Anwendung beauftragte, wobei es eindeutig an der Bestimmung des Zwecks und der Mittel der Verarbeitung beteiligt war und sich nicht ausdrücklich gegen die Online-Veröffentlichung und die daraus resultierende Verarbeitung aussprach (wobei die Verarbeitung laut Gericht über das Entwicklungsunternehmen im Auftrag des NVSC erfolgte).

Das Gericht kommt zu dem Schluss, dass das NVSC sehr wohl ein gemeinsam für die Verarbeitung Verantwortlicher ist (die Entwicklungsgesellschaft hat darüber hinaus einige Verarbeitungen für ihre eigenen Zwecke durchgeführt).

In diesem Zusammenhang stellt der Hof fest, dass die gemeinsame Verantwortung nicht notwendigerweise zu einer gleichwertigen Verantwortung der verschiedenen an einer Verarbeitung personenbezogener Daten beteiligten Betreiber führt. Diese Betreiber können in verschiedenen Phasen der Verarbeitung und in unterschiedlichem Ausmaß beteiligt sein, was zu einem unterschiedlichen Maß an Verantwortung führt.

Der Verantwortliche kann also nicht nur für die von ihm selbst durchgeführten Verarbeitungen haftbar gemacht werden, sondern auch für diejenigen, die von einem Dritten in seinem Auftrag durchgeführt werden, z. B. im Falle eines Auftragsverarbeiters.

III.          Kommentar

Alles in allem ist die Entscheidung des EuGH nicht überraschend. Ein Schweizer Gericht, das mit demselben Sachverhalt befasst ist, würde meiner Meinung nach in Anwendung des Bundesgesetzes über den Datenschutz zu denselben Schlussfolgerungen kommen.

Wer eine IT-Firma mit einer bestimmten Entwicklung beauftragt, deren Zweck er selbst festlegt, erscheint somit als für die Verarbeitung Verantwortlicher, auch wenn die Firma anschließend das Recht hat, die Entwicklung selbst zu betreiben, oder die Verarbeitung der daraus resultierenden Daten im Auftrag des Unternehmens, das sie zu diesem Zweck beauftragt hat, übernimmt.

Die Annahme eines Vertrags, der die Rollen und Verantwortlichkeiten klar abgrenzt, ist daher bei einer gemeinsamen Verantwortung umso wichtiger.

Es ist auch zu betonen, dass ein möglicher Verzicht des Auftraggebers auf die Entwicklung, insbesondere wenn es sich um eine öffentliche Einrichtung handelt, nicht ausreicht, um seine Verantwortlichkeit auszuschließen, wenn er das Inverkehrbringen der Entwicklung, deren Zweck und Mittel er bestimmt hat, duldet. In diesem Fall ist es wichtig, dass er sich klar von der Entwicklung distanziert, indem er deren Inverkehrbringen verbietet.