News
EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?
Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.
Hintergrund
Im Rahmen der Corona-Pandemie beauftragte der Gesundheitsminister der Republik Litauen den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) mit dem Erwerb eines IT-Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Corona-Pandemie. Ein Mitarbeiter des NZÖG schrieb ein IT-Unternehmen an und teilte diesem mit, dass das NZÖG dieses Unternehmen für die Entwicklung einer mobilen Anwendung zur epidemiologischen Überwachung ausgewählt habe. In der Folge übersendete der Mitarbeiter weitere E-Mails an dieses IT-Unternehmen mit verschiedenen Aspekten zur Entwicklung der App. Zudem wurde eine Datenschutzerklärung erstellt, in der sowohl das IT-Unternehmen als auch das NZÖG als Verantwortliche genannt wurden. Ein Vergabeverfahren wurde nie durchgeführt und am Ende wurde die App auch nicht gekauft. In dem Vorlageverfahren ging es um die Frage der Verantwortlichkeit in Bezug auf die in der App stattfindende Verarbeitung personenbezogener Daten sowie um die Haftung eines Verantwortlichen für die Verarbeitung durch einen Auftragsverarbeiter.
Entscheidung des EuGH zur Haftung des Verantwortlichen für den Auftragsverarbeiter
Zunächst stellt der EuGH fest, dass eine Haftung des Verantwortlichen nach Art. 83 Abs. 2 DSGVO nur dann möglich ist, wenn dieser schuldhaft, also vorsätzlich oder fahrlässig, gegen die Bestimmungen der DSGVO verstoßen hat (Rn. 73, 80).
Zudem ist der Verantwortliche auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich, die durch einen Auftragsverarbeiter durchgeführt werden. Insofern kann auch dann gegen ihn eine Geldbuße nach Art. 83 DSGVO verhängt werden, wenn personenbezogene Daten durch einen Auftragsverarbeiter unrechtmäßig verarbeitet werden, der im Namen des Verantwortlichen handelt (Rn. 84).
Dieser Grundsatz wird nach Ansicht des EuGH in folgenden Fallgruppen durchbrochen, da der Auftragsverarbeiter in solchen Konstellationen gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt (Rn. 84 f.) (Anmerkung: Die dargestellten Beispiele stammen nicht vom EuGH, sondern wurden durch uns zur besseren Veranschaulichung ergänzt):
- Auftragsverarbeiter verarbeitet die Daten für eigene Zwecke.
- Beispiel: Der Verantwortliche beauftragt einen Personalvermittlungsdienst als Auftragsverarbeiter mit der Suche von geeigneten Bewerbern. Dabei legt der Verantwortliche die Zwecke und Mittel eigenständig fest. Wenn der Auftragsverarbeiter die Daten der Bewerber jedoch auch für den Aufbau eines eigenen Bewerberpools verwendet, liegt eine Verarbeitung zu eigenen Zwecken vor und dieser gilt gemäß Art. 28 Abs. 10 DSGVO nicht mehr als Auftragsverarbeiter, sondern als Verantwortlicher.
- Datenverarbeitung durch den Auftragsverarbeiter ist nicht mit dem vom Verantwortlichen festgelegten Rahmen / vorgegebenen Modalitäten der Verarbeitung vereinbar.
- Beispiel: Der Verantwortliche beauftragt einen Softwareentwickler mit der Entwicklung einer App zur epidemiologischen Überwachung und gibt vor, dass nur die Namen und die geografischen Koordinaten der betroffenen Personen verarbeitet werden dürfen. Wenn der Auftragsverarbeiter nun entgegen dieser Vorgabe, z.B. auch die E-Mail-Adresse oder die Ausweisnummer erhebt, handelt dieser gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher und nicht mehr als Auftragsverarbeiter.
- Datenverarbeitung durch den Auftragsverarbeiter erfolgt in einer Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
- Beispiel: Der Verantwortliche beauftragt einen Auftragsverarbeiter damit, Werbeanzeigen für Glücksspiele an einen vordefinierten Adressatenkreis auszuspielen. Der Auftragsverarbeiter spielt die Werbeanzeigen überwiegend an Minderjährige aus und verstößt damit gegen § 5 Abs. 2 Glücksspielstaatsvertrag 2021. Vernünftigerweise ist davon auszugehen, dass der Verantwortliche nicht mit der Anzeige von Werbung gegenüber Minderjährigen einverstanden war, auch wenn er dies nicht explizit vorgegeben hat. Der Auftragsverarbeiter ist somit auch in diesem Beispiel gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher anzusehen.
Auswirkungen für die Praxis
Auch wenn der EuGH in seinem Urteil nur allgemeine Grundsätze aufstellt und keine konkreten Vorgaben definiert, lassen sich für die Praxis dennoch wichtige Schlussfolgerungen ableiten.
Auswahl des Auftragsverarbeiters
Art. 28 Abs. 1 DSGVO gibt bereits vor, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten soll, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Nach der Entscheidung des EuGH gilt dieser Grundsatz umso mehr, da dem Verantwortlichen bei jeglichen Verstößen durch den Auftragsverarbeiter ein Bußgeld gemäß Art. 83 DSGVO droht, also grundsätzlich auch dann, wenn ein Verstoß gegen die DSGVO trotz der implementierten TOMs des Auftragsverarbeiters erfolgt. Insofern sollte bereits bei der Auswahl des Auftragsverarbeiters darauf geachtet werden, dass dieser hinreichend Garantien für ein rechtskonformes Verhalten bietet und diese Garantien vertraglich so eindeutig wie möglich bezeichnet werden. Denn wenn der Verantwortliche nachweisen kann, dass der Auftragsverarbeiter z.B. eine der vereinbarten TOMs tatsächlich gar nicht oder nur unzureichend implementiert hat, kann er sich enthaften, da die Verarbeitung entgegen den Modalitäten im AVV stattgefunden hat.
Haftung des Verantwortlichen als Auftraggeber
Der EuGH stellt klar, dass der Verantwortliche stets für die Verarbeitung durch den Auftragsverarbeiter haftet, wenn dieser im Namen des Verantwortlichen tätig wird. Das bedeutet, dass der Verantwortliche stets haftet, wenn der Auftragsverarbeiter gegen die DSGVO verstößt, solange seine Tätigkeit vom Auftragsverarbeitungsvertrag (AVV) gedeckt ist, er also die Daten zu den im AVV genannten Zwecken und mit den dort vorgesehenen Mitteln verarbeitet.
Klare Ausgestaltung des Auftragsverarbeitungsvertrages
Die Zwecke und die Modalitäten der Verarbeitung sollten so eindeutig wie möglich in dem Auftragsverarbeitungsvertrag (AVV) geregelt werden. Auf diese Weise lässt sich für den Verantwortlichen nämlich leicht nachweisen, wenn der Auftragsverarbeiter die Daten zu eigenen Zwecken oder entgegen dem AVV verarbeitet und damit nach Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt. Darüber hinaus kann die Haftung des Verantwortlichen klar auf die im AVV dargestellten Arten der Verarbeitung begrenzt werden. Zudem sollten Weisungen, wie sich bereits aus Art. 28 Abs 3 lit. a) DSGVO ergibt, stets dokumentiert werden, damit dem Verantwortlichen bei möglichen Rechtsstreitigkeiten der Nachweis der Enthaftung gelingt.
News
Prof. Piltz im Interview mit ICC Germany zu den Incoterms® 2020
Incoterms® bieten einen global gültigen Standard für die Lieferbedingungen bei internationalen Geschäften. Seit nunmehr 5 Jahren greifen die Incoterms® 2020, Zeit um einen Rückblick auf die erste Halbzeit zu werfen.
Dr. David Saive und Prof. Burghard Piltz haben sich hierzu zu einem Interview der ICC Germany getroffen. Hören Sie doch gerne rein: Interview: Fünf Jahre Incoterms® 2020 mit Prof. Piltz.
Bundesverwaltungsgericht Österreich zum Cookie-Banner: Einfache Möglichkeit zum Ablehnen ist Pflicht
Das Österreichische Bundesverwaltungsgericht (BVwG) hat in einem Erkenntnis vom 31. Juli 2024 (Az. W108 2284491-1/15E) klargestellt, dass ein Cookie-Banner neben der Option Cookies und andere Technologien zu „akzeptieren“ auch eine optisch gleichwertige Option zum Ablehnen enthalten muss. Die Entscheidung ist aus mehreren Gründen bemerkenswert.
Neue Auszeichnungen für unsere Kanzlei!
Wir freuen uns sehr, dass Piltz Legal weitere Auszeichnungen u.a. im Bereich Datenschutzrecht erhalten hat.
Barrierefreiheitsstärkungsgesetz (Teil 3) – Was bedeutet Barrierefreiheit für meine Website oder App?
Nachdem wir uns in Teil 2 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) damit befasst haben für welche Apps und Websites das BFSG gilt, stellen wir Ihnen in Teil 3 vor, welche konkreten Anforderungen an die Barrierefreiheit gelten.
Meldepflichten nach dem geplanten BSIG (Umsetzung NIS-2)
Als Umsetzung des Art. 23 Abs. 4 S. 1 NIS-2-Richtlinie finden sich in § 32 des Entwurfs zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) Ausführungen zu Meldepflichten für besonders wichtige Einrichtungen sowie wichtige Einrichtungen. Das BSIG-E ist Teil des Entwurfs zum Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.
Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG
Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.