Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Hintergrund

Im Rahmen der Corona-Pandemie beauftragte der Gesundheitsminister der Republik Litauen den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) mit dem Erwerb eines IT-Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Corona-Pandemie. Ein Mitarbeiter des NZÖG schrieb ein IT-Unternehmen an und teilte diesem mit, dass das NZÖG dieses Unternehmen für die Entwicklung einer mobilen Anwendung zur epidemiologischen Überwachung ausgewählt habe. In der Folge übersendete der Mitarbeiter weitere E-Mails an dieses IT-Unternehmen mit verschiedenen Aspekten zur Entwicklung der App. Zudem wurde eine Datenschutzerklärung erstellt, in der sowohl das IT-Unternehmen als auch das NZÖG als Verantwortliche genannt wurden. Ein Vergabeverfahren wurde nie durchgeführt und am Ende wurde die App auch nicht gekauft. In dem Vorlageverfahren ging es um die Frage der Verantwortlichkeit in Bezug auf die in der App stattfindende Verarbeitung personenbezogener Daten sowie um die Haftung eines Verantwortlichen für die Verarbeitung durch einen Auftragsverarbeiter.

Entscheidung des EuGH zur Haftung des Verantwortlichen für den Auftragsverarbeiter

Zunächst stellt der EuGH fest, dass eine Haftung des Verantwortlichen nach Art. 83 Abs. 2 DSGVO nur dann möglich ist, wenn dieser schuldhaft, also vorsätzlich oder fahrlässig, gegen die Bestimmungen der DSGVO verstoßen hat (Rn. 73, 80).

Zudem ist der Verantwortliche auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich, die durch einen Auftragsverarbeiter durchgeführt werden. Insofern kann auch dann gegen ihn eine Geldbuße nach Art. 83 DSGVO verhängt werden, wenn personenbezogene Daten durch einen Auftragsverarbeiter unrechtmäßig verarbeitet werden, der im Namen des Verantwortlichen handelt (Rn. 84).

Dieser Grundsatz wird nach Ansicht des EuGH in folgenden Fallgruppen durchbrochen, da der Auftragsverarbeiter in solchen Konstellationen gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt (Rn. 84 f.) (Anmerkung: Die dargestellten Beispiele stammen nicht vom EuGH, sondern wurden durch uns zur besseren Veranschaulichung ergänzt):

1. Auftragsverarbeiter verarbeitet die Daten für eigene Zwecke.

• Beispiel: Der Verantwortliche beauftragt einen Personalvermittlungsdienst als Auftragsverarbeiter mit der Suche von geeigneten Bewerbern. Dabei legt der Verantwortliche die Zwecke und Mittel eigenständig fest. Wenn der Auftragsverarbeiter die Daten der Bewerber jedoch auch für den Aufbau eines eigenen Bewerberpools verwendet, liegt eine Verarbeitung zu eigenen Zwecken vor und dieser gilt gemäß Art. 28 Abs. 10 DSGVO nicht mehr als Auftragsverarbeiter, sondern als Verantwortlicher.

2. Datenverarbeitung durch den Auftragsverarbeiter ist nicht mit dem vom Verantwortlichen festgelegten Rahmen / vorgegebenen Modalitäten der Verarbeitung vereinbar.

• Beispiel: Der Verantwortliche beauftragt einen Softwareentwickler mit der Entwicklung einer App zur epidemiologischen Überwachung und gibt vor, dass nur die Namen und die geografischen Koordinaten der betroffenen Personen verarbeitet werden dürfen. Wenn der Auftragsverarbeiter nun entgegen dieser Vorgabe, z.B. auch die E-Mail-Adresse oder die Ausweisnummer erhebt, handelt dieser gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher und nicht mehr als Auftragsverarbeiter.

3. Datenverarbeitung durch den Auftragsverarbeiter erfolgt in einer Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

• Beispiel: Der Verantwortliche beauftragt einen Auftragsverarbeiter damit, Werbeanzeigen für Glücksspiele an einen vordefinierten Adressatenkreis auszuspielen. Der Auftragsverarbeiter spielt die Werbeanzeigen überwiegend an Minderjährige aus und verstößt damit gegen § 5 Abs. 2 Glücksspielstaatsvertrag 2021. Vernünftigerweise ist davon auszugehen, dass der Verantwortliche nicht mit der Anzeige von Werbung gegenüber Minderjährigen einverstanden war, auch wenn er dies nicht explizit vorgegeben hat. Der Auftragsverarbeiter ist somit auch in diesem Beispiel gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher anzusehen.

Auswirkungen für die Praxis

Auch wenn der EuGH in seinem Urteil nur allgemeine Grundsätze aufstellt und keine konkreten Vorgaben definiert, lassen sich für die Praxis dennoch wichtige Schlussfolgerungen ableiten.

Auswahl des Auftragsverarbeiters

Art. 28 Abs. 1 DSGVO gibt bereits vor, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten soll, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Nach der Entscheidung des EuGH gilt dieser Grundsatz umso mehr, da dem Verantwortlichen bei jeglichen Verstößen durch den Auftragsverarbeiter ein Bußgeld gemäß Art. 83 DSGVO droht, also grundsätzlich auch dann, wenn ein Verstoß gegen die DSGVO trotz der implementierten TOMs des Auftragsverarbeiters erfolgt. Insofern sollte bereits bei der Auswahl des Auftragsverarbeiters darauf geachtet werden, dass dieser hinreichend Garantien für ein rechtskonformes Verhalten bietet und diese Garantien vertraglich so eindeutig wie möglich bezeichnet werden. Denn wenn der Verantwortliche nachweisen kann, dass der Auftragsverarbeiter z.B. eine der vereinbarten TOMs tatsächlich gar nicht oder nur unzureichend implementiert hat, kann er sich enthaften, da die Verarbeitung entgegen den Modalitäten im AVV stattgefunden hat.

Haftung des Verantwortlichen als Auftraggeber

Der EuGH stellt klar, dass der Verantwortliche stets für die Verarbeitung durch den Auftragsverarbeiter haftet, wenn dieser im Namen des Verantwortlichen tätig wird. Das bedeutet, dass der Verantwortliche stets haftet, wenn der Auftragsverarbeiter gegen die DSGVO verstößt, solange seine Tätigkeit vom Auftragsverarbeitungsvertrag (AVV) gedeckt ist, er also die Daten zu den im AVV genannten Zwecken und mit den dort vorgesehenen Mitteln verarbeitet.

Klare Ausgestaltung des Auftragsverarbeitungsvertrages

Die Zwecke und die Modalitäten der Verarbeitung sollten so eindeutig wie möglich in dem Auftragsverarbeitungsvertrag (AVV) geregelt werden. Auf diese Weise lässt sich für den Verantwortlichen nämlich leicht nachweisen, wenn der Auftragsverarbeiter die Daten zu eigenen Zwecken oder entgegen dem AVV verarbeitet und damit nach Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt. Darüber hinaus kann die Haftung des Verantwortlichen klar auf die im AVV dargestellten Arten der Verarbeitung begrenzt werden. Zudem sollten Weisungen, wie sich bereits aus Art. 28 Abs 3 lit. a) DSGVO ergibt, stets dokumentiert werden, damit dem Verantwortlichen bei möglichen Rechtsstreitigkeiten der Nachweis der Enthaftung gelingt.