News
EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?
Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.
Hintergrund
Im Rahmen der Corona-Pandemie beauftragte der Gesundheitsminister der Republik Litauen den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) mit dem Erwerb eines IT-Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Corona-Pandemie. Ein Mitarbeiter des NZÖG schrieb ein IT-Unternehmen an und teilte diesem mit, dass das NZÖG dieses Unternehmen für die Entwicklung einer mobilen Anwendung zur epidemiologischen Überwachung ausgewählt habe. In der Folge übersendete der Mitarbeiter weitere E-Mails an dieses IT-Unternehmen mit verschiedenen Aspekten zur Entwicklung der App. Zudem wurde eine Datenschutzerklärung erstellt, in der sowohl das IT-Unternehmen als auch das NZÖG als Verantwortliche genannt wurden. Ein Vergabeverfahren wurde nie durchgeführt und am Ende wurde die App auch nicht gekauft. In dem Vorlageverfahren ging es um die Frage der Verantwortlichkeit in Bezug auf die in der App stattfindende Verarbeitung personenbezogener Daten sowie um die Haftung eines Verantwortlichen für die Verarbeitung durch einen Auftragsverarbeiter.
Entscheidung des EuGH zur Haftung des Verantwortlichen für den Auftragsverarbeiter
Zunächst stellt der EuGH fest, dass eine Haftung des Verantwortlichen nach Art. 83 Abs. 2 DSGVO nur dann möglich ist, wenn dieser schuldhaft, also vorsätzlich oder fahrlässig, gegen die Bestimmungen der DSGVO verstoßen hat (Rn. 73, 80).
Zudem ist der Verantwortliche auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich, die durch einen Auftragsverarbeiter durchgeführt werden. Insofern kann auch dann gegen ihn eine Geldbuße nach Art. 83 DSGVO verhängt werden, wenn personenbezogene Daten durch einen Auftragsverarbeiter unrechtmäßig verarbeitet werden, der im Namen des Verantwortlichen handelt (Rn. 84).
Dieser Grundsatz wird nach Ansicht des EuGH in folgenden Fallgruppen durchbrochen, da der Auftragsverarbeiter in solchen Konstellationen gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt (Rn. 84 f.) (Anmerkung: Die dargestellten Beispiele stammen nicht vom EuGH, sondern wurden durch uns zur besseren Veranschaulichung ergänzt):
- Auftragsverarbeiter verarbeitet die Daten für eigene Zwecke.
- Beispiel: Der Verantwortliche beauftragt einen Personalvermittlungsdienst als Auftragsverarbeiter mit der Suche von geeigneten Bewerbern. Dabei legt der Verantwortliche die Zwecke und Mittel eigenständig fest. Wenn der Auftragsverarbeiter die Daten der Bewerber jedoch auch für den Aufbau eines eigenen Bewerberpools verwendet, liegt eine Verarbeitung zu eigenen Zwecken vor und dieser gilt gemäß Art. 28 Abs. 10 DSGVO nicht mehr als Auftragsverarbeiter, sondern als Verantwortlicher.
- Datenverarbeitung durch den Auftragsverarbeiter ist nicht mit dem vom Verantwortlichen festgelegten Rahmen / vorgegebenen Modalitäten der Verarbeitung vereinbar.
- Beispiel: Der Verantwortliche beauftragt einen Softwareentwickler mit der Entwicklung einer App zur epidemiologischen Überwachung und gibt vor, dass nur die Namen und die geografischen Koordinaten der betroffenen Personen verarbeitet werden dürfen. Wenn der Auftragsverarbeiter nun entgegen dieser Vorgabe, z.B. auch die E-Mail-Adresse oder die Ausweisnummer erhebt, handelt dieser gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher und nicht mehr als Auftragsverarbeiter.
- Datenverarbeitung durch den Auftragsverarbeiter erfolgt in einer Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
- Beispiel: Der Verantwortliche beauftragt einen Auftragsverarbeiter damit, Werbeanzeigen für Glücksspiele an einen vordefinierten Adressatenkreis auszuspielen. Der Auftragsverarbeiter spielt die Werbeanzeigen überwiegend an Minderjährige aus und verstößt damit gegen § 5 Abs. 2 Glücksspielstaatsvertrag 2021. Vernünftigerweise ist davon auszugehen, dass der Verantwortliche nicht mit der Anzeige von Werbung gegenüber Minderjährigen einverstanden war, auch wenn er dies nicht explizit vorgegeben hat. Der Auftragsverarbeiter ist somit auch in diesem Beispiel gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher anzusehen.
Auswirkungen für die Praxis
Auch wenn der EuGH in seinem Urteil nur allgemeine Grundsätze aufstellt und keine konkreten Vorgaben definiert, lassen sich für die Praxis dennoch wichtige Schlussfolgerungen ableiten.
Auswahl des Auftragsverarbeiters
Art. 28 Abs. 1 DSGVO gibt bereits vor, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten soll, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Nach der Entscheidung des EuGH gilt dieser Grundsatz umso mehr, da dem Verantwortlichen bei jeglichen Verstößen durch den Auftragsverarbeiter ein Bußgeld gemäß Art. 83 DSGVO droht, also grundsätzlich auch dann, wenn ein Verstoß gegen die DSGVO trotz der implementierten TOMs des Auftragsverarbeiters erfolgt. Insofern sollte bereits bei der Auswahl des Auftragsverarbeiters darauf geachtet werden, dass dieser hinreichend Garantien für ein rechtskonformes Verhalten bietet und diese Garantien vertraglich so eindeutig wie möglich bezeichnet werden. Denn wenn der Verantwortliche nachweisen kann, dass der Auftragsverarbeiter z.B. eine der vereinbarten TOMs tatsächlich gar nicht oder nur unzureichend implementiert hat, kann er sich enthaften, da die Verarbeitung entgegen den Modalitäten im AVV stattgefunden hat.
Haftung des Verantwortlichen als Auftraggeber
Der EuGH stellt klar, dass der Verantwortliche stets für die Verarbeitung durch den Auftragsverarbeiter haftet, wenn dieser im Namen des Verantwortlichen tätig wird. Das bedeutet, dass der Verantwortliche stets haftet, wenn der Auftragsverarbeiter gegen die DSGVO verstößt, solange seine Tätigkeit vom Auftragsverarbeitungsvertrag (AVV) gedeckt ist, er also die Daten zu den im AVV genannten Zwecken und mit den dort vorgesehenen Mitteln verarbeitet.
Klare Ausgestaltung des Auftragsverarbeitungsvertrages
Die Zwecke und die Modalitäten der Verarbeitung sollten so eindeutig wie möglich in dem Auftragsverarbeitungsvertrag (AVV) geregelt werden. Auf diese Weise lässt sich für den Verantwortlichen nämlich leicht nachweisen, wenn der Auftragsverarbeiter die Daten zu eigenen Zwecken oder entgegen dem AVV verarbeitet und damit nach Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt. Darüber hinaus kann die Haftung des Verantwortlichen klar auf die im AVV dargestellten Arten der Verarbeitung begrenzt werden. Zudem sollten Weisungen, wie sich bereits aus Art. 28 Abs 3 lit. a) DSGVO ergibt, stets dokumentiert werden, damit dem Verantwortlichen bei möglichen Rechtsstreitigkeiten der Nachweis der Enthaftung gelingt.
News
Datenschutzkonferenz zum Online-Handel – Behörden argumentieren für Pflicht zum Anbieten eines Gastzugangs und tendieren stark zur Einwilligung
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Beschluss zum datenschutzkonformer Online-Handel mittels Gastzugang veröffentlicht. Der Beschluss enthält 4 Kernthesen zu Anforderungen, die laut der DSK für Online-Händler bestehen. Viele der darin enthaltenen Aussagen kann man zumindest als kontrovers bezeichnen. So verlangt die DSK von Online-Händlern, dass diese immer auch einen Gastzugang für Bestellungen anbieten. Zudem gehen die Behörden davon aus, dass für das Einrichten eines fortlaufen geführten Kundenkontos immer eine Einwilligung erforderlich sei und eine solche Einwilligung nicht freiwillig erteilt werden kann, wenn nicht auch ein Gastzugang ohne Registrierung angeboten werden würde. Die Nutzung von im Vertragsverhältnis erhobene Daten für Werbezwecke soll laut der DSK ebenfalls nur mit einer Einwilligung rechtfertigbar sein. Dasselbe gilt laut der Behördenansicht auch für die Speicherung von Zahlungsdaten. Im Folgenden werden die Kernaussagen der DSK zusammengefasst und hinterfragt.
Das Krankenhauszukunftsgesetz – Anforderungen an Datenschutz und IT-Sicherheit bei der Umsetzung von Digitalisierungsmaßnahmen in Krankenhäusern
Bereits am 18. September 2020 wurde vom Bundestag das Gesetz für ein Zukunftsprogramm Krankenhäuser (Krankenhauszukunftsgesetz - KHZG) verabschiedet. Das KHZG dient der Umsetzung des von der Bundesregierung im Juni 2020 beschlossenen „Zukunftsprogramms Krankenhäuser“ und soll vor allem Digitalisierungsmaßnahmen in Krankenhäusern fördern; hierfür werden insgesamt 4,3 Milliarden Euro bereitgestellt.
Neues Framework für Datenübermittlungen in die USA (coming soon)
Am 25. März 2022 gaben die Präsidentin der Europäischen Kommission Ursula von der Leyen und US-Präsident Joe Biden in einer gemeinsamen Pressekonferenz bekannt, dass man sich im Rahmen eines Trans-Atlantic Data Privacy Framework (TDPF) auf gemeinsame Regelungen bezüglich der Übermittlung personenbezogener Daten in die USA verständigt habe. Begleitend wurden von Seiten der EU-Kommission und des Weißen Hauses jeweils Fact Sheets mit den wesentlichen Inhalten der Vereinbarung bereitgestellt (EU / US).
Datenschutzbehörde Baden-Württemberg veröffentlicht umfassende FAQ zum Einsatz von Cookies und ähnlichen Technologien
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWÜ) hat am 4. März 2022 eine FAQ zu Cookies und Tracking durch Betreiber von Websites und Hersteller von Smartphone-Apps veröffentlicht.
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.