Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters

Eine weitere wichtige DSGVO-Interpretation vom 4.5.2023 (dem Datenschutztag am EuGH), die bisher kaum beachtet wurde: in der Rechtssache C-683/21 hat Generalanwalt Emiliou seine Schlussanträge (bisher nur auf Englisch verfügbar) zu einigen relevanten Fragen zur Anwendung der DSGVO vorgelegt. Zu der Frage der Voraussetzungen einer gemeinsamen Verantwortlichkeit hatte ich hier im Blog bereits berichtet.

Zudem befasst sich der Generalanwalt aber unter anderem auch noch mit der Frage, ob gegen einen für die Verarbeitung Verantwortlichen in Anwendung von Art. 83 DSGVO eine Geldbuße verhängt werden kann, wenn die rechtswidrige Verarbeitung personenbezogener Daten nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde.

Also: die Haftung des Verantwortlichen für seinen Auftragsverarbeiter. Ein für die Praxis extrem relevantes Thema, wenn wir an die vielen Geschäfts- und Verarbeitungsprozesse denken, in denen Dienstleister als Auftragsverarbeiter eingesetzt werden.

Die kurze Antwort des Generalanwalts: „Meines Erachtens ist diese Frage zu bejahen.“

Zunächst stellt der Generalanwalt klar, dass ein für die Verarbeitung Verantwortlicher keine personenbezogenen Daten selbst verarbeiten muss, solange er das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge bestimmt. Er kann sich hierfür eines Auftragsverarbeiters bedienen.

Die Definition des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, dass „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ werden, bestätigt nach Ansicht des Generalanwalts, dass im Rahmen der Anwendung der DSGVO ein Verantwortlicher haftbar gemacht und nach Art. 83 DSGVO mit einer Geldbuße belegt werden kann,

wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde“. (Rz. 94)

Die Haftung des Verantwortlichen gilt jedoch nicht für jede Tätigkeit des Auftragsverarbeiters, sondern nur, soweit ein Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm von dem für die Verarbeitung Verantwortlichen erteilten Auftrags handelt und die Daten gemäß den rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet“. (Rz. 95)

Wichtig: die Haftung für den Dienstleister greift also nur, solange dieser im Rahmen des Auftrages agiert.

 „Wenn der Auftragsverarbeiter jedoch über den Rahmen dieses Auftrags hinausgeht und die als Auftragsverarbeiter erhaltenen Daten für seine eigenen Zwecke verwendet …, kann gegen den für die Verarbeitung Verantwortlichen meines Erachtens keine Geldbuße“ für die unrechtmäßige Verarbeitung verhängt werden.

Ein Bußgeld kann daher auch dann gegen einen Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters verhängt werden, wenn personenbezogene Daten nur vom Auftragsverarbeiter rechtswidrig verarbeitet wurden und der Verantwortliche an der Verarbeitung nicht beteiligt ist.

Die Erkenntnisse des Generalanwalt werden viele eventuell nicht als „bahnbrechend“ ansehen. Meines Erachtens ist aber zum einen beachtenswert, dass das Haftungsrisiko des Auftraggebers für seine Dienstleister nun durch einen Generalanwalt am EuGH klar herausgestellt wurde. Zum anderen verdeutlichen die Schlussanträge für die Praxis noch einmal, dass man als Verantwortlicher genaues Augenmerk auf seine vertraglichen Beziehungen zu Auftragsverarbeitern legen sollte.

Was ist also wichtig:

  • Haftung für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der rechtmäßigen Weisungen agiert
  • Daher ist sehr relevant, die das System der Weisungserteilung in der Praxis ausgestaltet ist (wer erteilt in welcher Form welche Weisungen?)
  • Zudem muss unbedingt klar definiert werden, was der Auftrag ist. Denn, je unbestimmter und damit umfassender der Auftrag an den Dienstleister ausgestaltet ist, desto höher ist mein Haftungsrisiko als Verantwortlicher

Generalanwalt: Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) kann auch bei Fehlen einer Vereinbarung oder einer gemeinsamen Entscheidung zwischen den Verantwortlichen vorliegen

In der Rechtssache C-683/21 (derzeit noch nicht auf Deutsch verfügbar) hatte sich Generalanwalt Emiliou (Schlussanträge vom 4. Mai 2023) u.a. mit der Frage zu befassen, wann eine gemeinsame Verantwortlichkeit nach Art. 4 Nr. 7 und Art. 26 DSGVO anzunehmen ist. Nach Ansicht des Generalanwalts hängt die gemeinsame Verantwortlichkeit von der Erfüllung von nur zwei objektiven Voraussetzungen ab (Rn. 41).

  • Erstens muss jeder gemeinsam für die Verarbeitung Verantwortliche die Kriterien erfüllen, die in der Definition des Begriffs „für die Verarbeitung Verantwortlicher“ in Art. 4 Nr. 7 DSGVO enthalten sind. Jede Partei muss also für sich als Verantwortlicher qualifiziert werden können.
  • Zweitens muss der Einfluss der für die Verarbeitung Verantwortlichen über die Verarbeitung gemeinsam ausgeübt werden. Die gemeinsame Beteiligung an der Verarbeitung kann in verschiedenen Formen erfolgen und muss nicht auf einer gemeinsamen Entscheidung der Beteiligten beruhen.

Dies ist ein wichtiger erster Punkt: Es ist keine gemeinsame Entscheidung der beteiligten Parteien erforderlich.

Der Generalanwalt stellt klar, dass der inhaltliche und funktionale Ansatz, der erforderlich ist, um festzustellen, ob eine Person oder Einrichtung als „für die Verarbeitung Verantwortlicher“ anzusehen ist, auch für die gemeinsame Verantwortlichkeit gilt. Es geht am Ende also um rein faktische Einflussmöglichkeiten auf die Verarbeitung.

Die logischen Konsequenzen sind, dass

  • das Fehlen einer Vereinbarung oder Absprache oder sogar einer gemeinsamen Entscheidung zwischen zwei oder mehreren für die Verarbeitung Verantwortlichen an sich die Feststellung nicht ausschließt, dass sie „gemeinsam für die Verarbeitung Verantwortliche“ sind (Randnummer 42)
  • allein die Tatsache, dass zwei Unternehmen ihre Handlungen nicht koordiniert oder anderweitig miteinander zusammengearbeitet zu haben scheinen, nicht bedeutet, dass sie nicht als „gemeinsam für die Verarbeitung Verantwortliche“ angesehen werden können (Randnummer 43).

Wichtiger zweiter Punkt: Vereinbarung oder Absprache nicht zwingend erforderlich.

Laut der Stellungnahme kommt es darauf an, „dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre“. Die Anforderungen für die Annahme einer gemeinsamen Verantwortlichkeit sind daher äußerst niedrig und werden in der Praxis wahrscheinlich häufig erfüllt.

EuGH: Nicht jeder Verstoß gegen die DSGVO führt zu einer rechtswidrigen Verarbeitung

Gestern wurde in der Datenschutz-Community natürlich vor allem über die Urteile des EuGH in der Rechtssache C-487/21 und der Rechtssache C-300/21 diskutiert. Etwas untergegangen ist hierbei ein drittes Urteil des EuGH zum Datenschutzrecht (C-60/22). Die Praxisrelevanz dieses dritten Urteils ist meines Erachtens aber nicht zu unterschätzen. Der EuGH setzt sich mit der Frage auseinander, inwiefern Verstöße gegen Pflichten aus der DSGVO, die nicht direkt eine Verarbeitung personenbezogener Daten betreffen, zu einer Rechtswidrigkeit dieser Datenverarbeitung führen. Aus der Praxis kennen wir diese Diskussion etwa in Bezug auf fehlerhafte Datenschutzhinweise (Art. 12, 13 DSGVO) oder nicht abgeschlosse Verträge zur Auftragsvearbeitung (Art. 28 DSGVO).

Sachverhalt

Das VG Wiesbaden legte dem EuGH unter anderem die Frage vor, ob ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) oder eine fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) dazu führt, dass eine Datenverarbeitung „unrechtmäßig“ im Sinne von Art. 17 Abs. 1 lit. d DSGVO ist.

Entscheidung des EuGH

Der EuGH arbeitet in seinem Urteil sehr schön den Unterschied zwischen jenen Artikeln der DSGVO heraus, die die Rechtmäßigkeit der Datenverarbeitung betreffen und solchen Vorschriften, die gerade keinen Einfluss auf die Rechtmäßigkeit haben.

Voraussetzungen der Rechtmäßigkeit – Art. 6 Abs. 1 DSGVO

Der Startpunkt ist für den EuGH der Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“. Die dort geforderte Rechtmäßigkeit wird aber nach Ansicht des EuGH nicht in jedem Artikel der DSGVO geregelt oder durch jede Pflicht berührt.

Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt.“ (Rz. 55)

Die Liste der in Art. 6 Abs. 1 DSGVO genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend. Die Einhaltung der in Art. 26 DSGVO und in Art. 30 DSGVO verankerten Pflichten zählen aber nach Ansicht des EuGH

nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung“. (Rz. 59)

Der EuGH folgert hieraus, dass sich aus dem Wortlaut von Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 Unterabs. 1 DSGVO ableiten lässt,

dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt“. (Rz. 61)

Erweiterte Voraussetzungen aus Kap. II DSGVO

Der EuGH weitet die für die Rechtmäßigkeit der Datenverarbeitung relevanten Artikel dann aber doch etwas über Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO hinaus aus.

Er orientiert sich hierbei an dem Umfang von Kapitel II DSGVO. Die Art. 7 bis 11 DSGVO betreffen, genau wie die Art. 5 und 6 DSGVO, die Grundsätze die zum Ziel haben,

den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen“ (Rz. 58).

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie diese anderen Bestimmungen des Kapitels II einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen.

Dann ist aus Sicht des EuGH aber auch Schluss. Weitere Artikel und Pflichten der DSGVO betreffen nicht die Frage der Rechtmäßigkeit einer Datenverarbeitung. Aus der Struktur und aus der Systematik der DSGVO gehe eindeutig hervor, dass sie zum einen zwischen den „Grundsätzen“, die in ihrem Kapitel II geregelt werden,

und zum anderen den „allgemeinen Pflichten“ unterscheidet, die zu Abschnitt 1 des Kapitels IV der Verordnung gehören, das die Verantwortlichen betrifft; zu diesen Pflichten zählen die Pflichten nach den Art. 26 und 30 ebendieser Verordnung.“ (Rz. 62)

Zuletzt für der EuGH auch das Ziel der DSGVO als Argument an, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten. Das Fehlen einer Vereinbarung nach Art. 26 DSGVO oder eines Verzeichnisses im Sinne von Art. 30 DSGVO reicht aber

für sich genommen nicht aus, um nachzuweisen, dass ein Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten vorliegt“. (Rz. 65)

Auswirkung für die Praxis

Der EuGH befasst sich in seinem Urteil natürlich nur mit den ihm vorgelegten Fragen und hier den Art. 26 und 30 DSGVO. Meiner Ansicht nach ist die Begründung des EuGH hinsichtlich der Frage, welche Artikel der DSGVO für die Rechtmäßigkeit der Verarbeitung relevant sind, aber so eindeutig, dass das Urteil auch auf andere Konstellationen und andere Pflichten aus der DSGVO übertragbar ist.

In der Praxis dürften hier vor allem die Informationspflichten nach Art. 12-14 DSGVO eine Rolle spielen. Einige Datenschutzbehörden gehen ja davon aus, dass ein Verstoß gegen Art. 13 DSGVO zu einer Rechtswidrigkeit der Verarbeitung führt. Diese Argumentation ist mit dem Urteil des EuGH nun meines Erachtens nicht mehr haltbar. Deklinieren wir es mit den Argumenten des EuGH durch:

  • Art. 12-14 DSGVO sind nicht in Art. 6 Abs. 1 DSGVO enthalten
  • Art. 12-14 DSGVO sind nicht Teil des Kapitel II der DSGVO

Dasselbe dürfte meines Erachtens insbesondere auch für Art. 28 DSGVO, also fehlende Verträge zur Auftragsverarbeitung oder auch einen Verstoß gegen Art. 32-36 DSGVO gelten, wenn also zB keine saubere DSFA durchgeführt wurde. Aber: natürlich sind Verstöße gegen diese Artikel weiter bußgeldbewehrt und evtl. entstehen auch Schadenersatzansprüche für Betroffene.