OLG Dresden: Haftung des Verantwortlichen für seinen Auftragsverarbeiter, wenn dieser Daten nicht löscht – Konkrete Anforderungen an Umfang und Tiefe der Kontrollpflichten

Das OLG Dresden (Urt. v. 15.10.2024 – 4 U 940/24, abrufbar über die Suchfunktion des OLG) hat sich in einem Schadenersatzverfahren nach Art. 82 DSGVO mit der Frage befasst, inwiefern ein Verantwortlicher für Fehler seines Auftragsverarbeiters gegenüber Betroffenen haftet. Das Gericht legt einen strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1 DSGVO an und sprach, dem Grunde nach, einen Schadenersatzanspruch zu.

Sachverhalt

Das beklagte Unternehmen betreibt einen Online-Musikstreamingdienst und bediente sich in der Vergangenheit eines Auftragsverarbeiters nach Art. 28 DSGVO Sitz in Israel. Der Vertrag endete zum 1.12.2019. Am 30.11.2019 teilte der Auftragsverarbeiter per E-Mail mit, die Daten würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, bestätigte der Auftragsverarbeiter aber erst mit E-Mail vom 22.2.2023 nach dem Bekanntwerden eines Datenhacks der Daten von Kunden der Beklagten. Hiervon umfasst waren auch Daten des klagenden Betroffenen.

Entscheidung

Das OLG Dresden geht davon aus, dass der Verantwortliche dem klagenden Betroffenen dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet ist.

Konkret nimmt das Gericht einen Verstoß gegen die „Pflicht zur sorgfältigen Überwachung des … beauftragten externen Auftragsdatenverarbeiters“ nach Art. 28, 32 DSGVO an. Diese Begründung ist für die Praxis sehr relevant, da die Überwachungspflicht zwar durchaus bekannt ist. Jedoch gibt es zu deren konkreten Inhalt praktisch kaum Entscheidungen und Vorgaben von Gerichten.

Haftung des Auftraggebers für den Auftragsverarbeiter

Zunächst äußert sich das OLG zum Haftungsumfang des Verantwortlichen. Dieses haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Bedeutet nach Ansicht des Gerichts: missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür.

Zwar bestehe in diesem Fall auch eine eigene Haftung des Auftragsdatenverarbeiters. Der Verantwortliche könne den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO entgegenstünde.

Nicht nur ordentliche Auswahl, sondern auch Überwachungspflicht

Danach geht das Gericht auf die konkrete Pflicht des Verantwortlichen, die es hier als verletzt ansieht. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen im Einklang mit der DSGVO durchgeführt werden.

Das Gericht erstreckt diese ausdrückliche Pflicht zur ordentlichen Auswahl jedoch weiter, in das Auftragsverhältnis.

Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen“.

Diese Pflicht zur Überwachung des Auftragsverarbeiters sei in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Zudem setze die Pflicht nach Art. 28 Abs. 3 lit h) DSGVO eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Danach muss der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen ermöglichen. Nach Art. 28 Abs. 3 lit. g) DSGVO hat der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen, alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben. Dies ergebe sich auch als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Die Pflichten des Auftragsverarbeiters korrespondieren mit Pflichten des Verantwortlichen.

Konkrete Umsetzung der Überwachungspflicht

Besonders praxisrelevant ist die Begründung des OLG, wie die vorgenannte Überwachungspflicht durch den Verantwortlichen konkret umgesetzt werden kann – welche Maßnahmen also (zumindest aus Sicht des Gerichts) erforderlich und auch ausreichend sind.

Zunächst gibt das OLG zu bedenken, dass „die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden“ dürfen.

Das Gericht vertritt einen risikobasierten Ansatz hinsichtlich des Umfangs und der Tiefe der Überwachung des Auftragsverarbeiters.

  • Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen. Eine „vollkommen praxisfremde“ Vor-Ort-Kontrolle sei dann grundsätzlich nicht erforderlich.
  • Gesteigerte Anforderungen ergeben sich nach Ansicht des OLG, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen.
  • Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9 DSGVO.

Vorliegend betraf die Verarbeitung nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte zu einer Überwachung ihres Auftragsverarbeiters dahingehend angehalten, dass

dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt“.

Diese Anforderung leitet das OLG direkt aus der Überwachungspflicht nach Art. 28 Abs. 1 DSGVO ab.

Der Verantwortliche ist hierbei verpflichtet,

die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen“.

Anforderungen an die Löschbestätigung

Vorliegend wurde eine solche Bestätigung der Löschung jedoch nicht vom Verantwortlichen verlangt.

Den Pflichtenverstoß erkennt das OLG hier vor allem darin, dass die (eigentlich auch vertraglich geregelte Bestätigung der Löschung) nicht eingeholt wurde. Der Verantwortliche habe hier gegen seine Kontrollpflichten aus Art. 28 DSGVO verstoßen, da er nicht nach Ablauf der vertraglich geregelten Frist von dem Auftragsverarbeiter

die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt“.

Bedeutet: das Gericht verlangt

  1. eine Bestätigung der Löschung durch den Auftragsverarbeiter, die der Verantwortliche zur Not anfordern muss. Die reine Ankündigung des Auftragsverarbeiters, dass Daten gelöscht werden, genügte im konkreten Fall nicht.
  2. dass die Bestätigung Details dazu enthält, in welchem Umfang Daten gelöscht wurden.

Nach Ansicht des OLG wiegt hier vor allem der erste Punkt schwer. Die E-Mail des Auftragsverarbeiters enthielt lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung.

Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können“.

Der Verantwortliche hätte sich mit der formal und inhaltlich nicht hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen.

Grundsätzlich bestünde für den Verantwortlichen die Möglichkeit, die Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO in Anspruch zu nehmen. Dies jedoch nur, wenn ihm selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies war hier vorliegend angesichts des eigenen Pflichtenverstoßes aber nicht der Fall.

Im Ergebnis lehnte das OLG hier aber einen Schadenersatzanspruch nach Art. 82 DSGVO ab, da der Kläger keinen tatsächlich erlittenen Schaden nachweisen konnte.

Fazit

Das OLG befasst sich recht ausführlich mit den Anforderungen an die Überwachungspflicht des Verantwortlichen für Auftragsverarbeiter. Sicherlich muss man nicht alle Ansichten des Gerichts teilen. Relevant ist aus meiner Sicht aber insbesondere die Auffassung, dass die Kontroll- bzw. Überwachungspflicht durchaus risikobasiert ausgestaltet sein darf. Gleichzeitig sollten Verantwortliche darauf achten, dass „bloße Ankündigungen“ durch Auftragsverarbeiter im Zweifel gerade nicht die tatsachliche Erfüllung bzw. Umsetzung von Pflichten, wie etwa der Löschung von Daten, belegen.

Landgericht Lübeck: fehlender Vertrag zur (Unter-)Auftragsverarbeitung führt zur Rechtswidrigkeit der Übermittlung?

Das Landgericht Lübeck (Urteil vom 04.10.2024 – 15 O 216/23) hatte sich in einem Verfahren zum Schadenersatz nach Art. 82 DSGVO, in dem im Ergebnis 350 EUR zugesprochen wurden, u.a. auch mit der Frage befasst, wie sich das Fehlen eines Vertrages nach Art. 28 DSGVO zwischen dem Verantwortlichen und Auftragsverarbeiter oder Auftragsverarbeiter und Unterauftragsverarbeiter auswirkt. Ob insbesondere das Fehlen des Vertrages zu einer Rechtswidrigkeit der Datenübermittlung führt.

Ansicht des Gerichts

Zunächst stellt das Gericht seine Ansicht zu Art. 28 DSGVO dar. Die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Danach setze die Verarbeitung von Daten durch Auftragsverarbeiter voraus, dass ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht.

Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, Art. 28 Abs. 4 DSGVO.“

Im konkreten Fall fehlte jedoch ein solcher Vertrag. Daraus folgert das Gericht: 

Fehlt es an diesen Voraussetzungen, so stellt sich (…) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar“.

Das Gericht sieht das (formelle) Erfordernis eines Vertrages nach Art. 28 Abs. 3 zw. Abs. 4 DSGVO also offensichtlich als Rechtmäßigkeitsvoraussetzung an. 

Zudem stellt das Gericht klar, dass als Folge eine wirksame Übertragung von Datenschutzverpflichtungen entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vorlag.

Andere Ansicht: EuGH?

Die Schlussfolgerung des Gerichts, dass ein Verstoß gegen Art. 28 Abs. 3 DSGVO auch zu einer rechtswidrigen Verarbeitung führe, halte ich jedoch für durchaus diskutabel. 

Denn zum ersten ergeben sich die Anforderungen für die Rechtmäßigkeit einer Verarbeitung (wie hier, eine Übermittlung) allein aus den Vorgaben der Art. 5 und 6 DSGVO. Dies hat der EuGH bereits entschieden. Jede Verarbeitung muss mit den in Art. 5 Abs. 1 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (C‑60/22, Rz. 57). Der Verantwortliche muss nach Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 lit. a DSGVO sicherstellen, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ ist. „Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt“ (C‑60/22, Rz. 55).

Und zweitens hat der EuGH bereits für Art. 26 DSGVO entschieden, dass „die Einhaltung der in Art. 26 der DS-GVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung …, nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählen“ (C-60/22, Rz. 59). Man wird sicher darüber nachdenken können, diese Begründung auch auf den Vertrag nach Art. 28 DSGVO zu übertragen. Andererseits mag man anführen, dass im Rahmen des Art. 28 DSGVO die Vereinbarung gerade die „Erlaubnis“ des Auftragsverarbeiters darstellt. Dem jedoch könnte man entgegenhalten, dass das Gericht hier die Übermittlung als rechtswidrig ansieht – also die vorgelagerte Weitergabe der Daten an den Auftragsverarbeiter.

Automatische Verpflichtung der Töchter durch Vertragsschluss der Mutter?

Interessant sind zudem die Ansichten des Gerichts zu der von dem beklagten Unternehmen vorgebrachten Argument, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. 

Dies überzeugt das Gericht nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. 

Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten.

Vorliegend schien also der Hauptvertrag der Mutter keine Regelung zu einer Verpflichtung der anderen Gesellschaften zu enthalten. 

VG Wiesbaden: Inkassounternehmen sind in der Regel keine Auftragsverarbeiter

Das Verwaltungsgericht (VG) Wiesbaden hat ich in seinem Beschluss vom 13.05.2024 (Az. 6 K 1306/22.WI; derzeit leider nur kostenpflichtig zugänglich, zB via BeckRS 2024, 11305) mit der Frage auseinandergesetzt, welche datenschutzrechtliche Rolle Inkassodienstleiter nach der DSGVO einnehmen, wenn sie personenbezogene Daten verarbeiten: Auftragsverarbeiter oder Verantwortliche?

Das VG verweist zunächst auf Ansichten in der Rechtsprechung und Literatur, wonach überwiegend die Auffassung vertreten werde, dass Inkassounternehmen eigene Verantwortliche seien, da sie regelmäßig die Zwecke und Mittel der Datenverarbeitung weitgehend selbst bestimmen und nur ausnahmsweise, beispielsweise bei der teilweisen weisungsgebundenen Übertragung des Forderungsmanagements auch Auftragsverarbeitungen i. S. d. Art. 28 DSGVO denkbar seien.

Als Argumente gegen eine Einordnung als Auftragsverarbeiter führt das VG dann folgende Aspekte an:

  • Auch bei der (teilweise) weisungsgebundenen Überragung des Forderungsmanagements ist diese durch eine weitgehend selbstständige Aufgabenwahrnehmung des Inkassounternehmens geprägt, die deren Einordnung als Verantwortliche nahelegen.
  • Aus der sog. teilweisen weisungsabhängigen „Einziehungsermächtigung“, bei der der Auftraggeber rechtlicher Eigentümer der Forderung bleibt, folgt nach Ansicht des VG auch keine andere Bewertung. Denn das Rechtsdienstleistungsgesetz (RDG) unterscheide nicht zwischen der Einziehung fremder oder zum Zwecke der Einziehung auf fremde Rechnung abgetretener Forderungen. Die rechtliche Inhaberschaft einer Forderung bleibe auf die Zulässigkeit der Rechtsdienstleistung ohne Einfluss, wie auch die Ausführung der Inkassotätigkeit vom Status der Forderung nicht abhängt.
  • Gegen eine Einordnung als Auftragsverarbeiter spreche auch der nur graduelle Unterschied zu Rechtsanwälten im erforderlichen Knowhow und Professionalisierungsgrad.
  • Zudem die häufig völlige Freiheit bei der Wahl der Mittel zur Umsetzung, die sehr weitgehende Freiheit bei der Bestimmung des Zwecks bzw. die erheblichen Eigeninteressen an dieser Dienstleistung.
  • Bei einem externem Inkassomanagement stehe der Einordnung einer Auftragsverarbeitung auch regelmäßig entgegen, dass eine vollständige Bestimmung über die Mittel der Verarbeitung durch die Verantwortlichen nicht mehr gewährleistet sein dürfte.
  • Zudem verweist das Gericht auf die Entscheidung des VG Mainz aus 2020, wonach eine Auftragsverarbeitung bei der Übermittlung von Daten im Rahmen einer Forderungsabtretung eines Tierarztes an ein Inkassobüro mangels Weisungsgebundenheit aus scheide (Az. 1 K 467/19.MZ).
  • Gegen eine Einordnung als Verantwortlicher spreche auch nicht, dass die Unabhängigkeit des Inkassodienstleisters nicht gesetzlich verpflichtend vorgegeben sei.  Das Inkassounternehmen bestimme faktisch die Zwecke und Mittel der Datenverarbeitung derart autonom, dass es datenschutzrechtlich als der für die Datenverarbeitung personenbezogener Daten Verantwortliche erscheine.

Im Ergebnis geht des VG daher davon aus: „In aller Regel ist daher auch das Inkassounternehmen im Mandatsverhältnis für die Verarbeitung personenbezogener Daten Verantwortlicher und nicht Auftragsverarbeiter“.

EuGH: Verantwortliche haftet für Datenverarbeitungen des Auftragsverarbeiters

Neben dem Urteil in der Rechtssache C-807/21 (Deutsche Wohnen) hat der EuGH am 5. Dezember 2023 eine weitere wichtige Entscheidung (C-683/21) getroffen. Die dortigen Feststellungen sind aus meiner Sicht für die alltägliche Praxis im Datenschutzrecht besonders wichtig – denn es geht um das Verhältnis zwischen dem Verantwortlichen und seinem Auftragsverarbeiter und die Haftung für Tätigkeiten des Dienstleisters.

Sachverhalt

Der Hintergrund der Entscheidung ist einigermaßen skurril. Der Gesundheitsminister der Republik Litauen beauftragte den Direktor des Nationalen Zentrums für öffentliche Gesundheit (NZÖG) damit, den Erwerb eines IT‑Systems zur Erfassung und Überwachung der Daten von Personen im Rahmen der Covid-Pandemie zu organisieren.

Eine Person, die sich als Vertreter des NZÖG ausgab, teilte einem Unternehmen (App-Entwickler) mit, dass das NZÖG das Unternehmen als Entwickler einer entsprechenden mobilen Anwendung ausgewählt habe. Diese Person versendete in der Folge E‑Mails an das Unternehmen (mit Kopie an den Direktor des NZÖG) hinsichtlich verschiedener Aspekte der Entwicklung dieser Anwendung.

Die App, in der der App-Entwickler und das NZÖG in der Datenschutzerklärung gemeinsam genannt waren, war irgendwann im Google Play Store und im Apple App Store zum Herunterladen verfügbar und wurde von mehreren Tausend Personen genutzt.

An den App-Entwickler wurde aber nie ein öffentlicher Auftrag zum Erwerb der App vergeben. Das NZÖG forderte dann den App-Entwickler auf, es in der mobilen Anwendung in keiner Weise zu erwähnen. Außerdem teilte es mit, dass das Vergabeverfahren wegen fehlender Mittel für den Erwerb der Anwendung beendet worden sei.

Wer ist Verantwortlicher?

Die erste durch den EuGH zu beantwortende Frage war, ob das NZÖG in dieser Konstellation datenschutzrechtlich Verantwortlicher für die Datenverarbeitung über App sein konnte. Wohlgemerkt wurde ein offizieller Auftrag im Rahmen einer Ausschreibung nicht erteilt.

Der EuGH geht aber dennoch davon aus, dass

die Entwicklung der in Rede stehenden mobilen Anwendung vom NZÖG in Auftrag gegeben wurde und dazu dienen sollte, das von ihm gesetzte Ziel umzusetzen, nämlich die Covid‑19-Pandemie durch ein IT‑Tool zur Erfassung und Überwachung der Daten von Personen, die mit Trägern des Covid‑19-Virus in Kontakt standen, zu bewältigen“.

Zudem habe das NZÖG vorgesehen, dass zu diesem Zweck personenbezogene Daten der Nutzer der mobilen Anwendung verarbeitet werden.

Außerdem, so der EuGH, geht aus der Vorlageentscheidung hervor, dass die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.

Der EuGH prüft also hier die zwei entscheidenden Merkmale der Verantwortlichkeit: Entscheidung über Mittel und Zwecke der Verarbeitung und kommt zu folgendem Ergebnis:

Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.“

Der EuGH nimmt hier also eine Rolle als Verantwortlicher für NZÖG an.

Wichtig für die Praxis sind die Hinweise des EuGH dazu, welche Kriterien nicht zwingend für eine Verantwortlichkeit sprechen:

  • Der bloße Umstand, dass das NZÖG in der Datenschutzerklärung der mobilen Anwendung als Verantwortlicher genannt wurde
  • Dass die Anwendung Links zum NZÖG enthielt

Diese Umstände sind auch Sicht des EuGH nur dann für die Frage der Verantwortlichkeit relevant,

„wenn feststeht, dass das NZÖG dem ausdrücklich oder stillschweigend zugestimmt hat.“

Gleichzeitig macht der EuGH (wieder einmal) deutlich, wie weit er die Figur der Verantwortlichkeit nach der DSGVO versteht.

Die Umstände

  • dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat
  • dass kein Vertrag zwischen dem NZÖG und dem App-Entwickler bestand
  • dass das NZÖG die mobile Anwendung nicht erworben hat
  • dass es die Verbreitung dieser App über Online-Shops nicht genehmigt hat

schließen es nach Ansicht des EUGH gerade nicht aus,

dass das NZÖG als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann.“

Bedeutet für uns in der Praxis: die Verantwortlichkeit beginnt früh und eventuell schneller als man denkt. Der EuGH stellt sehr klar allein auf die entscheidenden Merkmale der Entscheidung über Mittel und Zwecke ab. Für die Verantwortlichkeit spielen rein formelle Aspekte, wie etwa ein Vertrag oder der Erwerb der Anwendung, keine Rolle, solange Anhaltspunkte dafür vorhanden sind, dass eine Stelle an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt.

Beauftragt also eine Stelle ein anderes Unternehmen mit der Entwicklung einer App und hat es in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die App vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt, kann dies Stelle als Verantwortlicher angesehen werden, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt.

Bußgeld gegen den Verantwortlichen für Tätigkeiten des Auftragsverarbeiters

Als Parallele zu dem Verfahren Deutsche Wohnen, ging es auch hier um die Frage der Haftung des Verantwortlichen.

Im hiesigen Fall war nun aber die Besonderheit, dass die NZÖG ja selbst keine Daten verarbeitet hat. Dies erfolgte vielmehr durch den App-Entwickler.

Die Frage war dann, ob eine Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.

Der EuGH ist in diesem Punkt, dass muss man so sagen, ganz klar und beantwortet die Frage mit „ja“.

In seiner Begründung erinnert der EuGH etwa daran, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle ist, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Hierauf folgt, dass ein Verantwortlicher,

nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist“.

Die rechtliche Verantwortlichkeit und damit Haftung erstreckt also auch auf Tätigkeiten des eingesetzten Auftragsverarbeiters.

Daher, so der EuGH,

kann gegen ihn eine Geldbuße nach Art. 83 der DSGVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist“.

Von der Bußgeldhaftung des Verantwortlichen für den Auftragsverarbeiter gibt es jedoch Ausnahmen, die der EuGH benennt:

  • In Fällen, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet
  • diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist
  • auf eine Weise verarbeitet, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

In diesen drei Fällen gilt der Auftragsverarbeiter nach Art. 28 Abs. 10 DSGVO nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.

Die Ausführungen des EuGH bedeuten in der Praxis, dass man besonderes Augenmerk auf den Inhalt der Auftragsverarbeitungsverträge und der Weisungen zur Verarbeitung legen sollte. Im Grunde haftet der Verantwortliche für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der Weisungen bleibt. Je weiter eine Weisung bzw. der Zweck der beauftragten Verarbeitung aber nun definiert ist, desto größer ist natürlich auch ein potentielles Haftungsrisiko für den Verantwortlichen.

Die Formulierung „Zur Durchführung des Hauptvertrages“ in einem AV-Vertrag wird in der Praxis viel mehr Interpretationsspielraum bieten, ob eine Verarbeitung wirklich im Rahmen des Auftrages erfolgt, als etwa eine genau Beschreibung der einzelnen Leistungen und Datenverarbeitungen.

BayLDA: Frist zur Auskunftserteilung beginnt auch, wenn Anfrage beim Auftragsverarbeiter eingeht

In seinem aktuellen Tätigkeitsbericht 2022 (PDF) geht des BayLDA auf ein praxisrelevantes Thema bei der Erfüllung von Betroffenenrechten ein. Es geht, unter anderem, um die Frage, ob die in Art. 12 Abs. 3 DSGVO vorgesehene Monatsfrist bereits dann beginnt, wenn ein Betroffener eine Auskunftsanfrage nach Art. 15 DSGVO nicht an den Verantwortlichen, sondern dessen Auftragsverarbeiter richtet (S. 28).

Bsp: Der Betroffen sieht in den Datenschutzhinweisen eines Online-Shops, dass der Betreiber einen Hosting-Anbieter als Auftragsverarbeiter angibt. Der Betroffene und Kunde des Shops richtet nun einen Auskunftsanspruch in Bezug auf seine Kundendaten nicht an den Shop-Betreiber, sondern den Hosting-Anbieter.

Pflichten des Auftragsverarbeiters

Das BayLDA stellt zunächst fest, dass in dem Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 lit. e) DSGVO vorzusehen ist, dass der Verantwortliche nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt wird, seiner Pflicht zur Beantwortung von Ersuchen gem. Art. 12 ff. DS-GVO, somit auch eines Auskunftsersuchens nachzukommen.

Achtung. Hiervon zu unterscheiden ist die Situation, dass ein Verantwortlicher einen Dienstleister als Auftragsverarbeiter konkret für die Bearbeitung von Betroffenenanfragen einsetzt. Dies ist möglich, jedoch muss auch hier der Prozess sauber implementiert und geprüft werden, wie ein Bußgeld in Höhe von 50.000 EUR durch das LDA Brandenburg aus der Vergangenheit zeigt (Tätigkeitsbericht 2019, S. 29, PDF). Dort wurde unter anderem gegen Art. 12 DSGVO verstoßen, da die Korrespondenz im Rahmen der Auskunftserteilung unter dem Logo des Dienstleisters durchgeführt wurde und das Unternehmen die Betroffenen nach Antragstellung zur Auskunftserteilung zunächst nur in englischer Sprache kontaktierte.

Zurück zum Fall des BayLDA. Die Aufsichtsbehörde verlangt, wenn Betroffenenanfragen bei dem Auftragsverarbeiter eingehen, dass

z.B. Auskunftsersuchen bezüglich der im Auftrag verarbeiteten personenbezogenen Daten unverzüglich an den Verantwortlichen weitergeleitet werden“.

Fristbeginn bereits bei Eingang beim Auftragsverarbeiter

Jedoch geht das BayLDA noch einen Schritt weiter. Hinsichtlich der in Art. 12 Abs. 3 DSGVO geregelten Frist von einem Monat zur Beantwortung der Auskunftsanfrage vertritt die Aufsichtsbehörde:

Geht also das Ersuchen beim Auftragsverarbeiter ein, bewirkt dies den Fristbeginn beim Verantwortlichen, nachdem diesen das Handeln des Auftragsverarbeiters insoweit zuzurechnen ist.“

Im Ergebnis bedeutet dies, dass sich der Verantwortliche die Tatsache des Eingangs des Auskunftsersuchens beim Auftragsverarbeiter wie ein Eingang bei sich zurechnen lassen muss. Für die Praxis kann dies dazuführen, dass der Verantwortliche faktisch noch gar nichts weiß, dass eine Auskunftsanfrage gestellt wurde. Wenn der Auftragsverarbeiter sich 1-2 Wochen mit der Weiterleitung Zeit lässt, hat der Verantwortliche entsprechend weniger Zeit zur Beantwortung. Will sich ein Verantwortlicher in diesem Fall darauf berufen, dass der Auftragsverarbeiter nicht ordentlich gearbeitet habe, ist dies aber ebenso ein Risiko. Denn nach Art. 28 Abs. 1 DSGVO muss der Verantwortliche seine Auftragsverarbeiter ordentlich auswählen und nur solche einsetzen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die DSGVO eingehalten wird.

Kritik an der Ansicht des BayLDA

Meines Erachtens muss man die Auffassung des BayLDA hier nicht zwingend teilen.

Zum einen könnte man recht schlicht auf die Vorgaben und den Wortlaut des Art. 12 Abs. 3 DSGVO abstellen. Dort wird nur der „Verantwortliche“ adressiert, nicht aber der Auftragsverarbeiter. Andererseits verstehe ich auch die Auffassung des BayLDA, dass es den Auftragsverarbeiter quasi in der rechtlichen Sphäre des Verantwortlichen sieht.

Gegen die Ansicht des BayLDA spricht aber aus meiner Sicht insbesondere ein vergelichender Blick auf die ähnliche Situation, wenn bei dem Auftragsverarbeiter eine potentielle Datenschutzverletzung passiert.

Die DSGVO sieht für diesen Fall in Art. 33 Abs. 2 DSGVO gerade keinen Fristenlauf der 72 Stunden vor. Sondern verpflichtet den Auftragsverarbeiter vielmehr „nur“, die mögliche Datenschutzverletzung unverzüglich an den Verantwortlichen zu melden. Diese Regelung wäre aber überflüssig, wenn der Verantwortliche sich die Kenntnis des Auftragsverarbeiters zurechnen lassen müsste und die 72 Stunden schon zu laufen beginnen, wenn der der Auftragsverarbeiter Kenntnis hat. Der Gesetzgeber scheint also gerade nicht automatisch von einer Zurechnung des Wissens oder der Kenntnis an den Verantwortlichen auszugehen.

Auch die europäischen Datenschutzbehörden gehen ausdrücklich für Art. 33 DSGVO davon aus, dass Fristen gerade noch nicht beginnen, wenn nur der Auftragsverarbeiter Kenntnis einer potentiellen Verletzung hat.

In den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 (WP250rev.01) heißt es (S. 15):

Der Verantwortliche nutzt den Auftragsverarbeiter, um seine Ziele zu erreichen; deshalb gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat.“

Die Kenntnis des Verantwortlichen wird klar an den Zeitpunkt der Meldung vom Auftragsverarbeiter an den Verantwortlichen geknüpft.

Und auch in seinen Guidelines 9/2022 on personal data breach notification under GDPR (PDF) geht der EDSA davon aus (S. 14):

The controller uses the processor to achieve its purposes; therefore, in principle, the controller should be considered as “aware” once the processor has informed it of the breach.”

Und auch in den Leitlinien des EDSA zu Art. 15 DSGVO (PDF) wird klar auf den Eingang beim Verantwortlichen abgestellt (S. 50):

„The time limit starts when the controller has received an Art. 15 request, meaning when the request reaches the controller through one of its official channels“

Folgen für die Praxis

Folgt man der Ansicht des BayLDA, ist in der Praxis eine enge Kontrolle und strenge Vorgaben an die eigenen Auftragsverarbeiter absolut geboten. Jeder weiß, wie schnell die Frist von einem Monat abläuft. Wenn der Auftragsverarbeiter hier eher gemütlich unterwegs ist, kann dies im schlimmsten Fall dazu führen, dass man als Verantwortlicher gegen die DSGVO verstößt. Eventuell sollte man dieses Risiko auch in Verträgen mit den Auftragsverarbeitern adressieren (Ersatzpflicht bei verspäteter Weiterleitung).

Wie beschrieben, gibt es aber aus meiner Sicht auch valide Argumente, der Ansicht des BayLDA nicht zu folgen. Zumindest Verantwortliche in Bayern sollten hier aber natürlich wissen, dass ihre Aufsichtsbehörde dies im Streitfall ggfs. anders sieht und eine entsprechend valide Argumentation vorweisen.

Generalanwalt am EuGH: Bußgeldhaftung des Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters

Eine weitere wichtige DSGVO-Interpretation vom 4.5.2023 (dem Datenschutztag am EuGH), die bisher kaum beachtet wurde: in der Rechtssache C-683/21 hat Generalanwalt Emiliou seine Schlussanträge (bisher nur auf Englisch verfügbar) zu einigen relevanten Fragen zur Anwendung der DSGVO vorgelegt. Zu der Frage der Voraussetzungen einer gemeinsamen Verantwortlichkeit hatte ich hier im Blog bereits berichtet.

Zudem befasst sich der Generalanwalt aber unter anderem auch noch mit der Frage, ob gegen einen für die Verarbeitung Verantwortlichen in Anwendung von Art. 83 DSGVO eine Geldbuße verhängt werden kann, wenn die rechtswidrige Verarbeitung personenbezogener Daten nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde.

Also: die Haftung des Verantwortlichen für seinen Auftragsverarbeiter. Ein für die Praxis extrem relevantes Thema, wenn wir an die vielen Geschäfts- und Verarbeitungsprozesse denken, in denen Dienstleister als Auftragsverarbeiter eingesetzt werden.

Die kurze Antwort des Generalanwalts: „Meines Erachtens ist diese Frage zu bejahen.“

Zunächst stellt der Generalanwalt klar, dass ein für die Verarbeitung Verantwortlicher keine personenbezogenen Daten selbst verarbeiten muss, solange er das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge bestimmt. Er kann sich hierfür eines Auftragsverarbeiters bedienen.

Die Definition des Auftragsverarbeiters in Art. 4 Nr. 8 DSGVO, dass „personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ werden, bestätigt nach Ansicht des Generalanwalts, dass im Rahmen der Anwendung der DSGVO ein Verantwortlicher haftbar gemacht und nach Art. 83 DSGVO mit einer Geldbuße belegt werden kann,

wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem für die Verarbeitung Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde“. (Rz. 94)

Die Haftung des Verantwortlichen gilt jedoch nicht für jede Tätigkeit des Auftragsverarbeiters, sondern nur, soweit ein Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm von dem für die Verarbeitung Verantwortlichen erteilten Auftrags handelt und die Daten gemäß den rechtmäßigen Anweisungen des für die Verarbeitung Verantwortlichen verarbeitet“. (Rz. 95)

Wichtig: die Haftung für den Dienstleister greift also nur, solange dieser im Rahmen des Auftrages agiert.

 „Wenn der Auftragsverarbeiter jedoch über den Rahmen dieses Auftrags hinausgeht und die als Auftragsverarbeiter erhaltenen Daten für seine eigenen Zwecke verwendet …, kann gegen den für die Verarbeitung Verantwortlichen meines Erachtens keine Geldbuße“ für die unrechtmäßige Verarbeitung verhängt werden.

Ein Bußgeld kann daher auch dann gegen einen Verantwortlichen für Tätigkeiten seines Auftragsverarbeiters verhängt werden, wenn personenbezogene Daten nur vom Auftragsverarbeiter rechtswidrig verarbeitet wurden und der Verantwortliche an der Verarbeitung nicht beteiligt ist.

Die Erkenntnisse des Generalanwalt werden viele eventuell nicht als „bahnbrechend“ ansehen. Meines Erachtens ist aber zum einen beachtenswert, dass das Haftungsrisiko des Auftraggebers für seine Dienstleister nun durch einen Generalanwalt am EuGH klar herausgestellt wurde. Zum anderen verdeutlichen die Schlussanträge für die Praxis noch einmal, dass man als Verantwortlicher genaues Augenmerk auf seine vertraglichen Beziehungen zu Auftragsverarbeitern legen sollte.

Was ist also wichtig:

  • Haftung für Tätigkeiten des Auftragsverarbeiters, solange dieser im Rahmen der rechtmäßigen Weisungen agiert
  • Daher ist sehr relevant, die das System der Weisungserteilung in der Praxis ausgestaltet ist (wer erteilt in welcher Form welche Weisungen?)
  • Zudem muss unbedingt klar definiert werden, was der Auftrag ist. Denn, je unbestimmter und damit umfassender der Auftrag an den Dienstleister ausgestaltet ist, desto höher ist mein Haftungsrisiko als Verantwortlicher

EuGH: Nicht jeder Verstoß gegen die DSGVO führt zu einer rechtswidrigen Verarbeitung

Gestern wurde in der Datenschutz-Community natürlich vor allem über die Urteile des EuGH in der Rechtssache C-487/21 und der Rechtssache C-300/21 diskutiert. Etwas untergegangen ist hierbei ein drittes Urteil des EuGH zum Datenschutzrecht (C-60/22). Die Praxisrelevanz dieses dritten Urteils ist meines Erachtens aber nicht zu unterschätzen. Der EuGH setzt sich mit der Frage auseinander, inwiefern Verstöße gegen Pflichten aus der DSGVO, die nicht direkt eine Verarbeitung personenbezogener Daten betreffen, zu einer Rechtswidrigkeit dieser Datenverarbeitung führen. Aus der Praxis kennen wir diese Diskussion etwa in Bezug auf fehlerhafte Datenschutzhinweise (Art. 12, 13 DSGVO) oder nicht abgeschlosse Verträge zur Auftragsvearbeitung (Art. 28 DSGVO).

Sachverhalt

Das VG Wiesbaden legte dem EuGH unter anderem die Frage vor, ob ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) oder eine fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) dazu führt, dass eine Datenverarbeitung „unrechtmäßig“ im Sinne von Art. 17 Abs. 1 lit. d DSGVO ist.

Entscheidung des EuGH

Der EuGH arbeitet in seinem Urteil sehr schön den Unterschied zwischen jenen Artikeln der DSGVO heraus, die die Rechtmäßigkeit der Datenverarbeitung betreffen und solchen Vorschriften, die gerade keinen Einfluss auf die Rechtmäßigkeit haben.

Voraussetzungen der Rechtmäßigkeit – Art. 6 Abs. 1 DSGVO

Der Startpunkt ist für den EuGH der Grundsatz nach Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden [müssen]“. Die dort geforderte Rechtmäßigkeit wird aber nach Ansicht des EuGH nicht in jedem Artikel der DSGVO geregelt oder durch jede Pflicht berührt.

Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt.“ (Rz. 55)

Die Liste der in Art. 6 Abs. 1 DSGVO genannten Fälle, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, ist erschöpfend und abschließend. Die Einhaltung der in Art. 26 DSGVO und in Art. 30 DSGVO verankerten Pflichten zählen aber nach Ansicht des EuGH

nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung“. (Rz. 59)

Der EuGH folgert hieraus, dass sich aus dem Wortlaut von Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 Unterabs. 1 DSGVO ableiten lässt,

dass ein Verstoß des Verarbeiters gegen die in den Art. 26 und 30 dieser Verordnung vorgesehenen Pflichten keine „unrechtmäßige Verarbeitung“ im Sinne von Art. 17 Abs. 1 Buchst. d und Art. 18 Abs. 1 Buchst. b der Verordnung darstellt“. (Rz. 61)

Erweiterte Voraussetzungen aus Kap. II DSGVO

Der EuGH weitet die für die Rechtmäßigkeit der Datenverarbeitung relevanten Artikel dann aber doch etwas über Art. 5 Abs. 1 lit. a DSGVO und Art. 6 Abs. 1 DSGVO hinaus aus.

Er orientiert sich hierbei an dem Umfang von Kapitel II DSGVO. Die Art. 7 bis 11 DSGVO betreffen, genau wie die Art. 5 und 6 DSGVO, die Grundsätze die zum Ziel haben,

den Umfang der dem Verarbeiter nach Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung obliegenden Pflichten näher zu bestimmen“ (Rz. 58).

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn sie diese anderen Bestimmungen des Kapitels II einhält, die im Wesentlichen die Einwilligung, die Verarbeitung besonderer Kategorien sensibler personenbezogener Daten und die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten betreffen.

Dann ist aus Sicht des EuGH aber auch Schluss. Weitere Artikel und Pflichten der DSGVO betreffen nicht die Frage der Rechtmäßigkeit einer Datenverarbeitung. Aus der Struktur und aus der Systematik der DSGVO gehe eindeutig hervor, dass sie zum einen zwischen den „Grundsätzen“, die in ihrem Kapitel II geregelt werden,

und zum anderen den „allgemeinen Pflichten“ unterscheidet, die zu Abschnitt 1 des Kapitels IV der Verordnung gehören, das die Verantwortlichen betrifft; zu diesen Pflichten zählen die Pflichten nach den Art. 26 und 30 ebendieser Verordnung.“ (Rz. 62)

Zuletzt für der EuGH auch das Ziel der DSGVO als Argument an, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten, insbesondere des Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten. Das Fehlen einer Vereinbarung nach Art. 26 DSGVO oder eines Verzeichnisses im Sinne von Art. 30 DSGVO reicht aber

für sich genommen nicht aus, um nachzuweisen, dass ein Verstoß gegen das Grundrecht auf den Schutz personenbezogener Daten vorliegt“. (Rz. 65)

Auswirkung für die Praxis

Der EuGH befasst sich in seinem Urteil natürlich nur mit den ihm vorgelegten Fragen und hier den Art. 26 und 30 DSGVO. Meiner Ansicht nach ist die Begründung des EuGH hinsichtlich der Frage, welche Artikel der DSGVO für die Rechtmäßigkeit der Verarbeitung relevant sind, aber so eindeutig, dass das Urteil auch auf andere Konstellationen und andere Pflichten aus der DSGVO übertragbar ist.

In der Praxis dürften hier vor allem die Informationspflichten nach Art. 12-14 DSGVO eine Rolle spielen. Einige Datenschutzbehörden gehen ja davon aus, dass ein Verstoß gegen Art. 13 DSGVO zu einer Rechtswidrigkeit der Verarbeitung führt. Diese Argumentation ist mit dem Urteil des EuGH nun meines Erachtens nicht mehr haltbar. Deklinieren wir es mit den Argumenten des EuGH durch:

  • Art. 12-14 DSGVO sind nicht in Art. 6 Abs. 1 DSGVO enthalten
  • Art. 12-14 DSGVO sind nicht Teil des Kapitel II der DSGVO

Dasselbe dürfte meines Erachtens insbesondere auch für Art. 28 DSGVO, also fehlende Verträge zur Auftragsverarbeitung oder auch einen Verstoß gegen Art. 32-36 DSGVO gelten, wenn also zB keine saubere DSFA durchgeführt wurde. Aber: natürlich sind Verstöße gegen diese Artikel weiter bußgeldbewehrt und evtl. entstehen auch Schadenersatzansprüche für Betroffene.

DSGVO-Auskunftsanspruch gegenüber dem Auftragsverarbeiter? Dänische Datenschutzbehörde sagt „Nein, aber…“

Die dänische Aufsichtsbehörde hat am 20.5.2022 einen interessanten Fall (Entscheidung auf Englisch, PDF) zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden. Zudem geht sie in ihrer Entscheidung auf die Unterstützungspflichten des Auftragsverarbeiters bei Betroffenenanfragen ein.

Sachverhalt

Der Betroffene kaufte auf ebay einen Artikel bei dem Unternehmen Asus. Im Rahmen des Kaufs gab der Betroffene die E-Mail-Adresse ebay@levaria.de an. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com an die beim Kauf angegebene Adresse ebay@levaria.de, in der der Asus Online Shop als Absender angegeben war. Dort wurde der Betroffene gebeten, das Kauferlebnis bei Asus auf Trustpilot zu bewerten.

Daraufhin kontaktierte der Betroffene Trustpilot direkt, jedoch von einer anderen E-Mail-Adresse (service@levaria.de) und bat um Auskunft über die von Trustpilot möglicherweise verarbeiteten personenbezogenen Daten. Die Anfrage enthielt neben der E-Mail-Adresse auch den Namen und die Adresse. Trustpilot antwortete und teilte mit, dass Trustpilot keinen aktiven Nutzer für die E-Mail service@levaria.de ausfindig machen konnte und daher keine Daten über ihn verarbeitet.

Danach erhielt der Betroffene erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops an ebay@levaria.de, in der er erneut gebeten wurden, den Einkauf bei Asus zu bewerten. Hierauf beschwerte sich der Betroffene zunächst bei der bayerischen Behörde (BayLDA), die die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiterleitete.

Entscheidung

Die dänische Behörde ist die für Trustpilot zuständige Aufsichtsbehörde in der EU. Für die Behörde ging es um die Frage, ob Trustpilot nach Art. 15 DSGVO verpflichtet war, Auskunft zu erteilen und wenn ja, ob dies hier richtig erfolgte.

Trustpilot als Verantwortlicher?

Die dänische Behörde hebt in ihrer Begründung hervor, dass allein der Verantwortliche nach Art. 15 DSGVO verpflichtet ist, die Auskunft an Betroffene zu erteilen.

Es liegt daher in der Verantwortung des für die Verarbeitung Verantwortlichen, dass ein Antrag einer betroffenen Person auf Auskunft gemäß Artikel 15 der DSGVO bearbeitet wird“.

Im konkreten Fall gab Trustpilot an, in Bezug auf den Versand von Einladungs-E-Mails als Auftragsverarbeiter zu agieren. Dies beruhe u.a. darauf, dass Unternehmen, wie z.B. der Asus Online Shop, entscheiden, ob sie die Einladungssoftware von Trustpilot nutzen wollen oder nicht, ebenso wie die Unternehmen entscheiden, ob und wann Einladungen über die Einladungssoftware von Trustpilot verschickt werden.

Damit war aus Sicht der Aufsichtsbehörde die Frage beantwortet, ob Trustpilot verpflichtet war, im eigenen Namen die Auskunft zu erfüllen.

Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“

Identifikation des Betroffenen durch den Auftragsverarbeiter?

Zwar war Trustpilot also selbst nicht nach der DSGVO verpflichtet, die Auskunft zu erfüllen. Jedoch ist der Auftragsverarbeiter nach Art. 28 Abs. 3 e) DSGVO in dem AV-Vertrag darauf zu verpflichten, den Verantwortlichen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

Es stelle sich also noch die Frage, ob Trustpilot hier dieser Unterstützungspflicht ausreichend nachkam.

Nach Ansicht der dänischen Aufsichtsbehörde hat Trustpilot in dem Verfahren ausführlich dargelegt, dass es bei der ersten und zweiten Kontaktaufnahme des Betroffenen mit Trustpilot eine Suche über die E-Mail service@levaria.de durchgeführt hat und dass Trustpilot die betroffene Person auf dieser Grundlage nicht identifizieren konnte, da Trustpilot die E-Mail service@levaria.de nicht registriert hatte.

Denn Trustpilot verarbeitete nur die mit der E-Mail-Adresse ebay@levaria.de (jene, die bei dem Kauf verwendet wurde) verbundenen Informationen als Auftragsverarbeiter für den Asus Online Shop. Da diese E-Mail-Adresse aber im Zusammenhang mit der Auskunftsanfrage nicht verwendet wurde, konnte Trustpilot in seinen Systemen keine Daten finden.

ABER: der Betroffene hatte ja im Rahmen seiner Anfrage u.a. auch seinen Namen und die postalische Adresse angegeben.

Die dänische Datenschutzbehörde kritisiert vor diesem Hintergrund, dass Trustpilot keine einheitliche Praxis bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die die betroffene Person im Zusammenhang mit ihrer Anfrage übermittelt, umgesetzt hatte. Nach dem Namen und der Adresse konnte Trustpilot anscheinend nicht suchen und einen Abgleich durchführen.

So hätte Trustpilot die Möglichkeit der Identifizierung der betroffenen Person und könnte, in seiner Rolle als Auftragsverarbeiter, den für die Verarbeitung Verantwortlichen in dem vereinbarten Umfang unterstützen. Die dänische Behörde gab dies jedoch nur als Hinweis an Trustpilot und stellte das Verfahren ein.

Fazit

Die Aufsichtsbehörde scheint also zu empfehlen, dass Trustpilot zusätzliche Daten als Auftragsverarbeiter erhält (Name und Adresse), die zwar für die eigene Leistung (Versand der E-Mail) nicht erforderlich sind, jedoch im Rahmen der Betroffenenanfragen relevant werden können. Diese Ansicht mag man im Hinblick auf die Erleichterung von Betroffenenanfragen unterstützen. Gleichzeitig ist der Verantwortliche (für den Trustpilot hier als Auftragsverarbeiter ja auch bei Betroffenenanfragen unterstützen muss) aber nach Art. 11 DSGVO gerade nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur für den Zweck, um Betroffenenrechte zu erfüllen.

Man wird hier wohl die Besonderheit beachten müssen, dass die erforderlichen Daten (Name und Adresse) aber natürlich schon bei dem Verantwortlichen vorhanden sind. Eventuell wäre es hier eine Option gewesen, dass Trustpilot die Anfrage des Betroffenen (auch mit der eigentlich unbekannten E-Mail-Adresse) direkt an Asus weiterleitet.

Europäischer Datenschutzausschuss: was ist ein internationaler Datentransfer und in welchen Fällen sind die Pflichten des Kapitel V der DSGVO zu beachten?

Letzte Woche hat der EDSA seine Leitlinien 05/2021 über das Zusammenspiel zwischen Art. 3 DSGVO und den Bestimmungen über internationale Übermittlungen veröffentlicht (PDF). Diese Leitlinien wurden seit einiger Zeit mit Interesse erwartet, da die DSGVO keine eigene Definition für „internationale Übermittlungen“ vorsieht. Daneben enthalten die Leitlinien einige sehr praxisrelevante Feststellungen der europäischen Behörden, wann die zusätzlichen Anforderungen des Kapitel V zu beachten sind und wann nicht.

Art. 46 DSGVO? Immer die Erforderlichkeit zusätzlicher Schutzmaßnahmen prüfen

Zunächst stellt der EDSA (erneut) fest, dass bei der Inanspruchnahme eines der in Art. 46 DSGVO aufgeführten Übermittlungsinstrumente, wie etwa von EU Standarddatenschutzklauseln, stets geprüft werden muss, ob zusätzliche Schutzmaßnahmen umgesetzt werden müssen, um das Schutzniveau der übermittelten Daten auf den EU-Standard der wesentlichen Gleichwertigkeit zu bringen. Diese Ansicht ist nicht neu, für die Praxis jedoch wichtig.

Dies gilt nach Ansicht des EDSA übrigens auch in Situationen, in denen die Verarbeitung unter Art. 3 Abs. 2 DSGVO fällt. Dies, um zu vermeiden, dass der durch die DSGVO gewährte Schutz durch andere Rechtsvorschriften, denen der Importeur unterliegt, untergraben wird. Bereits hier in der Einleitung wird also klar: der EDSA geht von einer internationalen Übermittlung im Sinne des Kapitel V aus, auch wenn der Importeur der Daten bereits selbst nach Art. 3 Abs. 2 DSGVO dem europäischen Recht unterliegt (hierzu aber später noch mehr).

Was ist eine „Übermittlung an ein Drittland oder eine internationale Organisation“?

Da die DSGVO keine rechtliche Definition des Begriffs „Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation“ (vgl. Art. 44 S. 1 DSGVO) enthält, muss dieser Begriff nach Auffassung des EDSA „unbedingt geklärt werden“.

Vor diesem Hintergrund macht der EDSA einen eigenen Vorschlag für eine solche Definition. Zu beachten ist hierbei freilich, dass diese Auslegung „nur“ die Ansicht der europäischen Behörden darstellt und etwa die EU Kommission eine andere Auffassung vertreten könnte. Dennoch sind die Vorgaben des EDSA für die Praxis von besonderer Relevanz.

Der EDSA hat drei kumulative Kriterien vorgeschlagen, die eine Verarbeitung als Übermittlung qualifizieren. Es müssen also alle drei Anforderungen gemeinsam erfüllt sein:

1. Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter unterliegt in Bezug auf die betreffende Verarbeitung den Bestimmungen der DSGVO.

2. Dieser Verantwortliche oder Auftragsverarbeiter („Exporteur“) macht durch Übermittlung oder auf andere Weise personenbezogene Daten, die Gegenstand dieser Verarbeitung sind, einem anderen Verantwortlichen, gemeinsamen Verantwortlichen oder Auftragsverarbeiter („Importeur“) zugänglich.

Auch im Fall der Weitergabe von Daten zwischen gemeinsam Verantwortlichen kann also eine Übermittlung in ein Drittland vorliegen. Keine Privilegierung der Weitergabe zwischen diesen gemeinsam Verantwortlichen.

3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation, ungeachtet dessen, ob dieser Importeur in Bezug auf die betreffende Verarbeitung gemäß Art. 3 der DSGVO unterliegt oder nicht.

Wichtig: hier wird direkt eine relevante Klarstellung des EDSA deutlich. Der Exporteur muss gerade nicht (!) in der EU oder dem EWR ansässig sein. Nur der Empfänger der Daten, der Importeur, muss zwingend in einem Drittland ansässig sein. Diese Ansicht ist eigentlich auch nicht mehr überraschend, jedoch sollte man sich in der Praxis stets in Erinnerung rufen, dass für eine Anwendung der Vorschriften in Kapitel V gerade nicht Voraussetzung ist, dass der Exporteur unbedingt in der EU ansässig sein muss.

Zudem muss beachtet werden, dass es für die Frage der Anwendbarkeit von Art. 3 DSGVO stets auf die jeweilige Verarbeitung ankommt. Man muss also auf die einzelne Verarbeitung schauen und kann nicht global und allgemein die Anwendung von Art. 3 DSGVO allein mit Blick auf die datenverarbeitende Organisation prüfen.

Keine Übermittlung, wenn Betroffener selbst Daten freigibt

Das zweite Kriterium setzt nach Ansicht des EDSA stets voraus, dass entweder ein (gemeinsam) Verantwortlicher oder ein Auftragsverarbeiter handelt und die Daten durch Übermittlung oder in anderer Weise zur Verfügung stellt.

Dieses zweite Kriterium kann daher nicht als erfüllt angesehen werden, wenn die Daten direkt und auf auf eigene Initiative der betroffenen Person an den Empfänger weitergegeben werden. In diesem Fall gibt es keinen Verantwortlichen oder Auftragsverarbeiter, der die Daten übermittelt oder zur Verfügung stellt („Exporteur“).

„Übermittlung an ein Drittland“ kann auch vorliegen, wenn der Empfänger der DSGVO unterliegt

Besonders relevant ist die Ansicht des EDSA, ob die Vorgaben des Kapitel V auch dann zu beachten sind, wenn der Importeur der Daten bereits unmittelbar nach Art. 3 Abs. 2 DSGVO dieser unterliegt (derzeit arbeitet die EU Kommission wohl an weiteren Standardvertragsklauseln für genau diese Konstellation). Man könnte ja argumentieren, dass es in diesem Fall eigentlich nicht erforderlich ist, zusätzliche Übermittlungsanforderungen nach Kapitel V vorzusehen.

Der EDSA hebt hervor, dass für Verantwortliche und Auftragsverarbeiter, die nicht in der EU ansässig sind, gemäß Art. 3 Abs. 2 DSGVO für eine bestimmte Verarbeitung der DSGVO unterliegen können und daher bei der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation die Bestimmungen von Kapitel V einhalten müssen, wenn sie personenbezogene Daten in ein Drittland übermitteln oder als Importeur diese Daten erhalten.

Spannend sind hier die Aussagen des EDSA zu zukünftigen Standardvertragsklauseln für diese Konstellation. Denn nach Ansicht des EDSA sind bei der Übermittlung personenbezogener Daten an einen Verantwortlichen in einem Drittland weniger Schutzmaßnahmen/Garantien erforderlich, wenn dieser für die betreffende Verarbeitung bereits der DSGVO unterliegt. Und im Grunde adressiert der EDSA dann direkt die EU Kommission:

Daher sollte bei der Entwicklung entsprechender Übermittlungsinstrumente (die derzeit nur theoretisch zur Verfügung stehen), d. h. Standardvertragsklauseln oder Ad-hoc-Vertragsklauseln, die Situation nach Art. 3 Abs. 2 berücksichtigt werden, um die Verpflichtungen der Datenschutz-Grundverordnung nicht zu duplizieren, sondern vielmehr die „fehlenden“ Elemente und Grundsätze anzusprechen, die notwendig sind, um die Lücken zu schließen…“.

Ein Beispiel: der reisende Mitarbeiter – es müssen verschiedene juristische Personen vorliegen

In den Leitlinien sind zudem einige Beispiele enthalten. In Beispiel 5 geht der EDSA davon aus, dass durch Drittländer reisende Mitarbeiter, die remote Zugriff auf die Systeme des Arbeitgebers in der EU nehmen, keine internationale Übermittlung auslösen.

Der Grund: Exporteur und Importeur der Daten müssen nach Ansicht des EDSA stets getrennte juristische Einheiten sein. Damit es sich um eine internationale Übermittlung handeln kann, muss es einen Verantwortlichen oder einen Auftragsverarbeiter geben, der die Daten offenlegt (der Exporteur), und einen anderen Verantwortlichen oder einen anderen Auftragsverarbeiter, der die Daten erhält oder Zugang zu ihnen erhält (der Importeur). Im Fall des reisenden Mitarbeiters werden die Verarbeitungen, einschließlich des Fernzugriffs, juristisch betrachtet von seinem Arbeitgeber durchgeführt, d. h. von einem für die Verarbeitung Verantwortlichen mit Sitz in der Union.

Absender und Empfänger der Daten müssen nach Auffassung der Aufsichtsbehörden nicht verschiedene für die Verarbeitung Verantwortliche/Auftragsverarbeiter sein. Sind sie dies nicht, sollte die Weitergabe von
personenbezogener Daten nicht als Übermittlung gemäß Kapitel V DSGVO betrachtet werden, „da die Daten
innerhalb desselben für die Verarbeitung Verantwortlichen/Auftragsverarbeiters verarbeitet werden
„.

Haftungsbegrenzung in den neuen SCC – rein kommerziell oder unzulässige Abweichung?

Bereits im Rahmen des Abschlusses der noch geltenden SCC war die Frage nach der Haftungsbegrenzung zwischen Exporteur und Importeur ein praktisch relevantes Thema. Zum Teil wurden SCC selbst angepasst, zum Teil wurde auf die Haftungsklausel in Hauptverträgen verwiesen.

Fraglich und meines Erachtens diskutabel ist, ob die nun von der EU-Kommission veröffentlichten Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO eine solche Haftungsbegrenzung erlauben. Die Antwort auf diese Frage dürfte gerade für Dienstleister als Auftragsverarbeiter elementar sein. Kann, im Fall des Verstoßes gegen den Vertrag oder die DSGVO, eine Haftung der verstoßenden Partei gegenüber dem Vertragspartner begrenzt werden? Es soll hier nicht um die Begrenzung von Schadenersatzansprüchen gegenüber Betroffenen gehen. Ich denke, es gibt diesbezüglich keine Diskussion, dass dies nicht möglich ist.

Ich meine, dass es wohl für beide Ansichten Argumente gibt. Nachfolgend möchte ich einige (mir schnell in den Sinn kommende) Argumente auflisten.

Pro Haftungsbegrenzung

Es soll allein die schuldrechtliche Haftung zwischen den Parteien begrenzt werden. Gegenüber Betroffenen erfolgt keine Begrenzung. Daher sind auch deren Rechte nicht beschränkt.

Nach ErwG 3 des Beschlusses der Kommission können Exporteur und Importeur ausdrücklich weitere Klauseln hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. Die Begrenzung einer internen Haftung ist jedoch in den SCC nicht geregelt, womit auch kein Widerspruch besteht. Es handelt sich hierbei allein um eine „kommerzielle“ Regelung.

Contra Haftungsbegrenzung

Nach ErwG 14 des Beschlusses sollen die SCC Vorschriften über die Haftung zwischen den Parteien vorsehen. Also gerade die interne Haftung betreffend. Dann ist schwer zu argumentieren, dass eine solche Regelung rein „kommerziellen“ Charakter hat und von den SC nicht abweicht, wenn sie doch in dem Beschluss ausdrücklich als verpflichtender Bestandteil angesprochen ist.

Art. 12 SCC enthält ausdrücklich eine Klausel zur Haftung zwischen den Parteien (vergleiche in allen Modulen jeweils lit. a)). Dort ist keine Regelung für eine Begrenzung gegenüber dem Vertragspartner enthalten. Führt man eine solche Beschränkung aber ein, würde man von lit. a) abweichen.

Eine Haftungsbegrenzung könnte dazu führen, dass eine Partei (wegen des geringen finanziellen Risikos selbst bei Verstößen) ihre Pflichten aus dem Vertrag nicht so ernst nimmt, womit auch die Rechte der Betroffenen mittelbar beeinträchtigt sein könnten.

Aus meiner Sicht ein praktisch wahnsinnig relevantes und spannendes Thema, welches bei den nun anstehenden Abschlüssen der neuen SCC sicher auch für Diskussionen sorgt.