News
EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?
Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.
Hintergrund
Im Rahmen der Corona-Pandemie beauftragte der Gesundheitsminister der Republik Litauen den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) mit dem Erwerb eines IT-Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Corona-Pandemie. Ein Mitarbeiter des NZÖG schrieb ein IT-Unternehmen an und teilte diesem mit, dass das NZÖG dieses Unternehmen für die Entwicklung einer mobilen Anwendung zur epidemiologischen Überwachung ausgewählt habe. In der Folge übersendete der Mitarbeiter weitere E-Mails an dieses IT-Unternehmen mit verschiedenen Aspekten zur Entwicklung der App. Zudem wurde eine Datenschutzerklärung erstellt, in der sowohl das IT-Unternehmen als auch das NZÖG als Verantwortliche genannt wurden. Ein Vergabeverfahren wurde nie durchgeführt und am Ende wurde die App auch nicht gekauft. In dem Vorlageverfahren ging es um die Frage der Verantwortlichkeit in Bezug auf die in der App stattfindende Verarbeitung personenbezogener Daten sowie um die Haftung eines Verantwortlichen für die Verarbeitung durch einen Auftragsverarbeiter.
Entscheidung des EuGH zur Haftung des Verantwortlichen für den Auftragsverarbeiter
Zunächst stellt der EuGH fest, dass eine Haftung des Verantwortlichen nach Art. 83 Abs. 2 DSGVO nur dann möglich ist, wenn dieser schuldhaft, also vorsätzlich oder fahrlässig, gegen die Bestimmungen der DSGVO verstoßen hat (Rn. 73, 80).
Zudem ist der Verantwortliche auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich, die durch einen Auftragsverarbeiter durchgeführt werden. Insofern kann auch dann gegen ihn eine Geldbuße nach Art. 83 DSGVO verhängt werden, wenn personenbezogene Daten durch einen Auftragsverarbeiter unrechtmäßig verarbeitet werden, der im Namen des Verantwortlichen handelt (Rn. 84).
Dieser Grundsatz wird nach Ansicht des EuGH in folgenden Fallgruppen durchbrochen, da der Auftragsverarbeiter in solchen Konstellationen gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt (Rn. 84 f.) (Anmerkung: Die dargestellten Beispiele stammen nicht vom EuGH, sondern wurden durch uns zur besseren Veranschaulichung ergänzt):
- Auftragsverarbeiter verarbeitet die Daten für eigene Zwecke.
- Beispiel: Der Verantwortliche beauftragt einen Personalvermittlungsdienst als Auftragsverarbeiter mit der Suche von geeigneten Bewerbern. Dabei legt der Verantwortliche die Zwecke und Mittel eigenständig fest. Wenn der Auftragsverarbeiter die Daten der Bewerber jedoch auch für den Aufbau eines eigenen Bewerberpools verwendet, liegt eine Verarbeitung zu eigenen Zwecken vor und dieser gilt gemäß Art. 28 Abs. 10 DSGVO nicht mehr als Auftragsverarbeiter, sondern als Verantwortlicher.
- Datenverarbeitung durch den Auftragsverarbeiter ist nicht mit dem vom Verantwortlichen festgelegten Rahmen / vorgegebenen Modalitäten der Verarbeitung vereinbar.
- Beispiel: Der Verantwortliche beauftragt einen Softwareentwickler mit der Entwicklung einer App zur epidemiologischen Überwachung und gibt vor, dass nur die Namen und die geografischen Koordinaten der betroffenen Personen verarbeitet werden dürfen. Wenn der Auftragsverarbeiter nun entgegen dieser Vorgabe, z.B. auch die E-Mail-Adresse oder die Ausweisnummer erhebt, handelt dieser gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher und nicht mehr als Auftragsverarbeiter.
- Datenverarbeitung durch den Auftragsverarbeiter erfolgt in einer Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
- Beispiel: Der Verantwortliche beauftragt einen Auftragsverarbeiter damit, Werbeanzeigen für Glücksspiele an einen vordefinierten Adressatenkreis auszuspielen. Der Auftragsverarbeiter spielt die Werbeanzeigen überwiegend an Minderjährige aus und verstößt damit gegen § 5 Abs. 2 Glücksspielstaatsvertrag 2021. Vernünftigerweise ist davon auszugehen, dass der Verantwortliche nicht mit der Anzeige von Werbung gegenüber Minderjährigen einverstanden war, auch wenn er dies nicht explizit vorgegeben hat. Der Auftragsverarbeiter ist somit auch in diesem Beispiel gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher anzusehen.
Auswirkungen für die Praxis
Auch wenn der EuGH in seinem Urteil nur allgemeine Grundsätze aufstellt und keine konkreten Vorgaben definiert, lassen sich für die Praxis dennoch wichtige Schlussfolgerungen ableiten.
Auswahl des Auftragsverarbeiters
Art. 28 Abs. 1 DSGVO gibt bereits vor, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten soll, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Nach der Entscheidung des EuGH gilt dieser Grundsatz umso mehr, da dem Verantwortlichen bei jeglichen Verstößen durch den Auftragsverarbeiter ein Bußgeld gemäß Art. 83 DSGVO droht, also grundsätzlich auch dann, wenn ein Verstoß gegen die DSGVO trotz der implementierten TOMs des Auftragsverarbeiters erfolgt. Insofern sollte bereits bei der Auswahl des Auftragsverarbeiters darauf geachtet werden, dass dieser hinreichend Garantien für ein rechtskonformes Verhalten bietet und diese Garantien vertraglich so eindeutig wie möglich bezeichnet werden. Denn wenn der Verantwortliche nachweisen kann, dass der Auftragsverarbeiter z.B. eine der vereinbarten TOMs tatsächlich gar nicht oder nur unzureichend implementiert hat, kann er sich enthaften, da die Verarbeitung entgegen den Modalitäten im AVV stattgefunden hat.
Haftung des Verantwortlichen als Auftraggeber
Der EuGH stellt klar, dass der Verantwortliche stets für die Verarbeitung durch den Auftragsverarbeiter haftet, wenn dieser im Namen des Verantwortlichen tätig wird. Das bedeutet, dass der Verantwortliche stets haftet, wenn der Auftragsverarbeiter gegen die DSGVO verstößt, solange seine Tätigkeit vom Auftragsverarbeitungsvertrag (AVV) gedeckt ist, er also die Daten zu den im AVV genannten Zwecken und mit den dort vorgesehenen Mitteln verarbeitet.
Klare Ausgestaltung des Auftragsverarbeitungsvertrages
Die Zwecke und die Modalitäten der Verarbeitung sollten so eindeutig wie möglich in dem Auftragsverarbeitungsvertrag (AVV) geregelt werden. Auf diese Weise lässt sich für den Verantwortlichen nämlich leicht nachweisen, wenn der Auftragsverarbeiter die Daten zu eigenen Zwecken oder entgegen dem AVV verarbeitet und damit nach Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt. Darüber hinaus kann die Haftung des Verantwortlichen klar auf die im AVV dargestellten Arten der Verarbeitung begrenzt werden. Zudem sollten Weisungen, wie sich bereits aus Art. 28 Abs 3 lit. a) DSGVO ergibt, stets dokumentiert werden, damit dem Verantwortlichen bei möglichen Rechtsstreitigkeiten der Nachweis der Enthaftung gelingt.
News
Hinweisgeberschutz und das Recht auf Auskunft auf Kollisionskurs – Herausforderungen bei der parallelen Anwendung von Hinweisgeberschutz und Art. 15 DSGVO
Der Erlass und die Anwendbarkeit des deutschen Umsetzungsgesetzes zur Whistleblowing-Richtlinie (Richtlinie (EU) 2019/1937) ist endlich absehbar. Das bedeutet auch, dass die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für sehr viele deutsche Unternehmen (alle mit in der Regel mindestens 250 Beschäftigten) immer näher rückt.
Der Digital Services Act – Überblick zu den neuen Pflichten für digitale Marktplätze, Online-Plattformen und sonstigen Anbietern von Vermittlungsdiensten
Mit dem am 16. November 2022 in Kraft getretenen Digital Services Act (Verordnung (EU) 2022/2065, „DSA“) führt der EU-Gesetzgeber harmonisierte Vorgaben für Anbieter von Vermittlungsdiensten im europäischen Binnenmarkt ein, um sowohl innovative digitale Dienste zu fördern als auch ein vertrauenswürdiges Online-Umfeld zu schaffen.
NIS-2-Richtlinie: Neue Vorgaben zur Stärkung der Cyberresilienz und -sicherheit
Die am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlichte Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS-2-Richtlinie“, „NIS-2-RL“) dient der Harmonisierung der Cybersicherheitsvorgaben in der EU und schreibt Unternehmen neue Verpflichtungen im Bereich der Cybersicherheit vor. Sie wird die bisher geltende NIS-Richtlinie ersetzen.
Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema
Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.
Digital Markets Acts (DMA): Was geht uns das an?
Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).
Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.