Sachverhalt
Im zugrundeliegenden Fall hatte das Nationale Zentrum für öffentliche Gesundheit in Litauen (NZÖG) ein IT-Unternehmen (ITSS) mit der Entwicklung einer Softwareanwendung (im Zusammenhang mit der durch das Covid‑19-Virus verursachten Pandemie) beauftragt. Die Entwicklung erfolgte dabei teilweise unter Einbeziehung der NZÖG. Die Anwendung wurde anschließend durch die ITSS, jedoch ohne Zustimmung der NZÖG, für einen befristeten Zeitraum im Google Play Store und Apple App Store bereitgestellt. Während dieses Zeitraums wurden Daten von Nutzern erhoben. Die Anwendung wurde jedoch letztlich nicht durch das NZÖG erworben.
Bußgeld der Aufsichtsbehörde
Mit Beschluss vom 24. Februar 2021 verhängte die Aufsichtsbehörde eine Geldbuße in Höhe von 12 000 Euro gegen das NZÖG wegen Verstoßes gegen die Art. 5, 13, 24, 32 und 35 DSGVO sowie gegen ITSS (als gemeinsam für die Verarbeitung Verantwortlicher) in Höhe von 3 000 Euro.
EuGH zur Frage der Verantwortlichkeit
Der EuGH wurde im anschließenden Rechtsstreit zur Klärung herangezogen. Das vorlegende Gericht wollte zunächst wissen, ob das NZÖG als Verantwortlicher angesehen werden, obwohl es selbst keine personenbezogenen Daten verarbeitete.
Der Gerichtshof führte hierzu zunächst aus, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung von Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für diese Verarbeitung Verantwortlicher angesehen werden kann. Dabei ist nicht erforderlich, dass über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des Verantwortlichen entschieden wird (vgl. in diesem Sinne Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 67 und 68) oder dass dieser förmlich als solcher bezeichnet wurde.
Vorliegend wurde die Entwicklung der in Rede stehenden mobilen Anwendung zwar vom NZÖG in Auftrag gegeben. Die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, wurden jedoch an den Bedarf des NZÖG angepasst. Das NZÖG hat bei ihrer Festlegung eine aktive Rolle gespielt. Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.
Die Umstände, dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat, dass kein Vertrag zwischen dem NZÖG und ITSS bestand und dass das NZÖG die mobile Anwendung nicht erworben hat schließen es laut Urteil des EuGH nicht aus, dass das NZÖG als Verantwortlicher eingestuft werden kann.
EuGH zur gemeinsamen Verantwortlichkeit
Weiterhin wollte das vorlegende Gericht wissen, ob die Einstufung von zwei Akteuren als gemeinsam Verantwortliche voraussetzt, dass zwischen diesen Akteuren eine Vereinbarung bestehen muss, in der etwa die Zwecke und Mittel oder die Bedingungen der gemeinsamen Verantwortlichkeit festgelegt sind.
Nach Art. 26 Abs. 1 DSGVO handelt es sich um „gemeinsam Verantwortliche“, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.
Laut EuGH kann die Mitwirkung an der Festlegung über die Zwecke und Mittel der Verarbeitung verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen als auch aus einer übereinstimmenden Entscheidungen ergeben. Zudem weist der EuGH darauf hin, dass nicht zwingend eine gleichwertige Verantwortlichkeit unter den verschiedenen Akteure vorliegen muss. Vielmehr können die Akteure in die Verarbeitung in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Der Grad der Verantwortlichkeit eines jeden von ihnen ist unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen (Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, Rn. 43). Im Übrigen ist für eine gemeinsame Verantwortlichkeit nicht erforderlich, dass jeder Akteur Zugang zu den betreffenden personenbezogenen Daten hat (Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, Rn. 69).
Laut EuGH ist für die Einstufung als gemeinsam Verantwortliche zudem unerheblich, ob eine förmliche Vereinbarung nach Art. 26 besteht. Eine solche Vereinbarung stelle keine Voraussetzung für eine Einstufung als gemeinsam Verantwortliche dar, sondern eine Pflicht, die den gemeinsam Verantwortlichen, sobald sie als solche eingestuft sind, auferlegt wird.
Fazit
Das Urteil unterstreicht die Bedeutung einer sorgfältigen Analyse der Rollen und Verantwortlichkeiten in einer Datenverarbeitung. Es zeigt auf, dass bereits indirekte Einflussnahmen und Mitentscheidungen zu Verantwortlichkeiten führen können. In Bezug auf die gemeinsame Verantwortlichkeit stellt der EuGH klar, dass der Abschluss einer Vereinbarung nach Art. 26 keine Voraussetzung für die Einstufung, sondern eine Rechtsfolge der gemeinsamen Verantwortlichkeit ist.
EPVO 
Hinterlasse einen Kommentar