News
EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?
Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.
Hintergrund
Im Rahmen der Corona-Pandemie beauftragte der Gesundheitsminister der Republik Litauen den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) mit dem Erwerb eines IT-Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Corona-Pandemie. Ein Mitarbeiter des NZÖG schrieb ein IT-Unternehmen an und teilte diesem mit, dass das NZÖG dieses Unternehmen für die Entwicklung einer mobilen Anwendung zur epidemiologischen Überwachung ausgewählt habe. In der Folge übersendete der Mitarbeiter weitere E-Mails an dieses IT-Unternehmen mit verschiedenen Aspekten zur Entwicklung der App. Zudem wurde eine Datenschutzerklärung erstellt, in der sowohl das IT-Unternehmen als auch das NZÖG als Verantwortliche genannt wurden. Ein Vergabeverfahren wurde nie durchgeführt und am Ende wurde die App auch nicht gekauft. In dem Vorlageverfahren ging es um die Frage der Verantwortlichkeit in Bezug auf die in der App stattfindende Verarbeitung personenbezogener Daten sowie um die Haftung eines Verantwortlichen für die Verarbeitung durch einen Auftragsverarbeiter.
Entscheidung des EuGH zur Haftung des Verantwortlichen für den Auftragsverarbeiter
Zunächst stellt der EuGH fest, dass eine Haftung des Verantwortlichen nach Art. 83 Abs. 2 DSGVO nur dann möglich ist, wenn dieser schuldhaft, also vorsätzlich oder fahrlässig, gegen die Bestimmungen der DSGVO verstoßen hat (Rn. 73, 80).
Zudem ist der Verantwortliche auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich, die durch einen Auftragsverarbeiter durchgeführt werden. Insofern kann auch dann gegen ihn eine Geldbuße nach Art. 83 DSGVO verhängt werden, wenn personenbezogene Daten durch einen Auftragsverarbeiter unrechtmäßig verarbeitet werden, der im Namen des Verantwortlichen handelt (Rn. 84).
Dieser Grundsatz wird nach Ansicht des EuGH in folgenden Fallgruppen durchbrochen, da der Auftragsverarbeiter in solchen Konstellationen gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt (Rn. 84 f.) (Anmerkung: Die dargestellten Beispiele stammen nicht vom EuGH, sondern wurden durch uns zur besseren Veranschaulichung ergänzt):
- Auftragsverarbeiter verarbeitet die Daten für eigene Zwecke.
- Beispiel: Der Verantwortliche beauftragt einen Personalvermittlungsdienst als Auftragsverarbeiter mit der Suche von geeigneten Bewerbern. Dabei legt der Verantwortliche die Zwecke und Mittel eigenständig fest. Wenn der Auftragsverarbeiter die Daten der Bewerber jedoch auch für den Aufbau eines eigenen Bewerberpools verwendet, liegt eine Verarbeitung zu eigenen Zwecken vor und dieser gilt gemäß Art. 28 Abs. 10 DSGVO nicht mehr als Auftragsverarbeiter, sondern als Verantwortlicher.
- Datenverarbeitung durch den Auftragsverarbeiter ist nicht mit dem vom Verantwortlichen festgelegten Rahmen / vorgegebenen Modalitäten der Verarbeitung vereinbar.
- Beispiel: Der Verantwortliche beauftragt einen Softwareentwickler mit der Entwicklung einer App zur epidemiologischen Überwachung und gibt vor, dass nur die Namen und die geografischen Koordinaten der betroffenen Personen verarbeitet werden dürfen. Wenn der Auftragsverarbeiter nun entgegen dieser Vorgabe, z.B. auch die E-Mail-Adresse oder die Ausweisnummer erhebt, handelt dieser gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher und nicht mehr als Auftragsverarbeiter.
- Datenverarbeitung durch den Auftragsverarbeiter erfolgt in einer Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
- Beispiel: Der Verantwortliche beauftragt einen Auftragsverarbeiter damit, Werbeanzeigen für Glücksspiele an einen vordefinierten Adressatenkreis auszuspielen. Der Auftragsverarbeiter spielt die Werbeanzeigen überwiegend an Minderjährige aus und verstößt damit gegen § 5 Abs. 2 Glücksspielstaatsvertrag 2021. Vernünftigerweise ist davon auszugehen, dass der Verantwortliche nicht mit der Anzeige von Werbung gegenüber Minderjährigen einverstanden war, auch wenn er dies nicht explizit vorgegeben hat. Der Auftragsverarbeiter ist somit auch in diesem Beispiel gemäß Art. 28 Abs. 10 DSGVO als Verantwortlicher anzusehen.
Auswirkungen für die Praxis
Auch wenn der EuGH in seinem Urteil nur allgemeine Grundsätze aufstellt und keine konkreten Vorgaben definiert, lassen sich für die Praxis dennoch wichtige Schlussfolgerungen ableiten.
Auswahl des Auftragsverarbeiters
Art. 28 Abs. 1 DSGVO gibt bereits vor, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten soll, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Nach der Entscheidung des EuGH gilt dieser Grundsatz umso mehr, da dem Verantwortlichen bei jeglichen Verstößen durch den Auftragsverarbeiter ein Bußgeld gemäß Art. 83 DSGVO droht, also grundsätzlich auch dann, wenn ein Verstoß gegen die DSGVO trotz der implementierten TOMs des Auftragsverarbeiters erfolgt. Insofern sollte bereits bei der Auswahl des Auftragsverarbeiters darauf geachtet werden, dass dieser hinreichend Garantien für ein rechtskonformes Verhalten bietet und diese Garantien vertraglich so eindeutig wie möglich bezeichnet werden. Denn wenn der Verantwortliche nachweisen kann, dass der Auftragsverarbeiter z.B. eine der vereinbarten TOMs tatsächlich gar nicht oder nur unzureichend implementiert hat, kann er sich enthaften, da die Verarbeitung entgegen den Modalitäten im AVV stattgefunden hat.
Haftung des Verantwortlichen als Auftraggeber
Der EuGH stellt klar, dass der Verantwortliche stets für die Verarbeitung durch den Auftragsverarbeiter haftet, wenn dieser im Namen des Verantwortlichen tätig wird. Das bedeutet, dass der Verantwortliche stets haftet, wenn der Auftragsverarbeiter gegen die DSGVO verstößt, solange seine Tätigkeit vom Auftragsverarbeitungsvertrag (AVV) gedeckt ist, er also die Daten zu den im AVV genannten Zwecken und mit den dort vorgesehenen Mitteln verarbeitet.
Klare Ausgestaltung des Auftragsverarbeitungsvertrages
Die Zwecke und die Modalitäten der Verarbeitung sollten so eindeutig wie möglich in dem Auftragsverarbeitungsvertrag (AVV) geregelt werden. Auf diese Weise lässt sich für den Verantwortlichen nämlich leicht nachweisen, wenn der Auftragsverarbeiter die Daten zu eigenen Zwecken oder entgegen dem AVV verarbeitet und damit nach Art. 28 Abs. 10 DSGVO als Verantwortlicher gilt. Darüber hinaus kann die Haftung des Verantwortlichen klar auf die im AVV dargestellten Arten der Verarbeitung begrenzt werden. Zudem sollten Weisungen, wie sich bereits aus Art. 28 Abs 3 lit. a) DSGVO ergibt, stets dokumentiert werden, damit dem Verantwortlichen bei möglichen Rechtsstreitigkeiten der Nachweis der Enthaftung gelingt.
News
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.
Musterverträge für internationale Geschäfte
Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.
Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien
Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben: