ZUSATZ INFORMATIONEN

EuGH klärt Verantwortlichkeit nach der DSGVO und daraus folgende Pflichten bei mehreren Akteuren

„Verantwortlicher“ zur Einhaltung des Datenschutzes nach der DSGVO bei Verarbeitungsketten

In einem Urteil des Europäischen Gerichtshofs (EuGH) vom 11. Januar 2024 (C-231/22) hat dieser sich zur Verantwortlichkeit nach der Datenschutzgrundverordnung (DSGVO) und daraus folgenden Pflichten bei mehreren Akteuren geäußert. Dabei trifft der EuGH insbesondere verschiedene Feststellungen für Verantwortliche nach Art. 4 Nr. 7 Hs. 2 DSGVO.

Zusammenfassung des Falls

Der Gerichtshof beantwortete mit seinem Urteil zwei Vorlagefragen, die im Kontext eines Rechtsstreits zwischen dem belgischen Staat und der belgischen Datenschutzaufsichtsbehörde entstanden sind.

Hintergrund ist, dass in einer Gesellschaft in einer außerordentlichen Hauptversammlung zur Herabsetzung des Kapitals eine Satzungsänderung beschlossen wurde. Entsprechend gesetzlicher Vorgaben wurde ein Beschlussauszug vom Notar an die Geschäftsstelle des Gerichts und von dieser an die Direktion des „Moniteur belge“, dem belgischen Amtsblatt, das dem Föderalen Öffentlichen Dienst Justiz (FÖD Justiz) unterstellt ist, weitergeleitet und im Anschluss veröffentlicht. Aufgrund einer fehlerhaften Übermittlung durch den Notar enthielt der übermittelte Auszug neben den gesetzlich geforderten Angaben, jedoch auch den Namen der Gesellschafter, die Höhe der ihnen ausgezahlten Beträge und ihre Kontodaten. Deshalb stellte der Mehrheitsgesellschafter beim FÖD Justiz einen Antrag auf Löschung nach Art. 17 DSGVO.

Da der FÖD Justiz dieses Begehren mit Bescheid zurückgewiesen hatte, wendete sich der Gesellschafter mit einer Beschwerde an die belgische Datenschutzaufsichtsbehörde. In einem Beschluss ordnete diese an, dass der FÖD Justiz, dem Löschungsbegehren stattgeben sollte. Gegen diesen Beschluss ging der belgische Staat im Anschluss gerichtlich vor.

Die erste Vorlagefrage

Die erste Vorlagefrage bezog sich darauf, ob das „Moniteur belge“ (oder der FÖD Justiz) als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen sei. Als Verantwortliche für die ohne Rechtsgrundlage veröffentlichten personenbezogenen Daten kommen nämlich auch der Notar oder die Geschäftsstelle des Gerichts in Betracht.

Das rechtliche Problem

Problematisch an der Verantwortlichkeit des „Moniteur belge“ ist, dass es nach belgischem nationalem Recht den Auftrag hat, die Inhalte unverändert und ohne Entscheidungsspielraum über die Mittel und Zwecke der Datenverarbeitung so zu veröffentlichen, wie sie von öffentlichen Stellen übermittelt werden, nachdem diese Stellen selbst die personenbezogenen Daten verarbeitet haben.

Die Entscheidung des EuGHs

Trotzdem bejahte der EuGH die Klassifizierung als Verantwortlichen. Er argumentierte, dass zwar keine Entscheidungsbefugnis übertragen worden sei, eine Verantwortlichkeit allerdings nach Art. 4 Nr. 7 Hs. 2 DSGVO bestehen könnte. Dafür müssten die Zwecke und Mittel der Datenverarbeitung durch belgisches Recht vorgegeben sein und das „Moniteur belge“ als Verantwortlicher vorgesehen sein oder es hierfür Kriterien zur Einstufung geben. Um der weiten Definition des Begriffs „Verantwortlicher“ und dem damit verbundenem effektivem Schutz des Betroffenen gerecht zu werden, reicht laut EuGH hierfür auch eine implizite Verankerung im nationalen Recht. Für eine implizite Benennung muss sich die Verantwortlichenposition jedoch hinreichend bestimmt aus „der Rolle, dem Auftrag und den Aufgaben“ ergeben. Das ist nach Auffassung des EuGHs hier der Fall, auch wenn das „Moniteur belge“ keine eigene Rechtspersönlichkeit hat und die Daten nicht kontrollieren muss.

Die zweite Vorlagefrage

In der zweiten Vorlagefrage war zu klären, ob das „Moniteur belge“ (falls es als Verantwortlicher einzustufen ist) gemäß Art. 5 Abs. 2 DSGVO allein für die Einhaltung der DSGVO-Pflichten verantwortlich ist, oder ob daneben auch der Notar und die Geschäftsstelle des Gerichts als gemeinsame Verantwortliche nach Art. 26 DSGVO heranzuziehen sind.

Das rechtliche Problem

Fraglich an einer alleinigen Verantwortlichkeit könnte die Tatsache sein, dass in der gesetzlich vorgeschriebenen Verarbeitungskette noch weitere Akteure beteiligt waren, die die Daten zuvor bearbeitet hatten. Ob eine unrechtmäßige Datenverarbeitung im Sinne des Art. 17 DSGVO vorliegt, wenn ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommt, hatte der EuGH bereits im Mai 2023 entschieden.

Die Entscheidung des EuGHs

Zunächst erklärt der EuGH, dass es sich bei der Verarbeitung durch die anderen Akteure um eine vorgelagerte und technisch unterschiedliche und damit insgesamt andere Datenverarbeitung handle. Deshalb trage das „Moniteur belge“ gemäß Art. 5 Abs. 2, Abs. 1 DSGVO die Rechenschaftspflicht.

Der EuGH stellt zudem klar, dass das „Moniteur belge“ allein für die Einhaltung der Grundsätze verantwortlich ist, es sei denn, das nationale Recht bestimmt eine gemeinsame Verantwortlichkeit gemäß Art. 4 Nr. 7 Hs. 2 DSGVO. Das ginge entsprechend des Wortlauts des Art. 26 Abs. 1 DSGVO auch ohne eine Vereinbarung zwischen den Akteuren. Voraussetzung für eine solche gemein- same Verantwortlichkeit gemäß Art. 26 Abs. 1 DSGVO i. V. m. Art. 4 Nr. 7 Hs. 2 DSGVO sei, dass das nationale Recht durch die Zwecke und Mittel eine Verbindung der Verarbeitungsschritte vorgebe und die jeweiligen Pflichten bestimme. Auch hierfür reiche eine mittelbare Verankerung, die hinreichend bestimmt ist.

Fazit

Diese Entscheidung des EuGH hat weitreichende Folgen für Verantwortliche nach Art. 4 Nr. 7 Hs. 2 DSGVO. Insbesondere betont der EuGH, dass die Vorgabe der Zwecke und Mittel der Datenverarbeitung nicht nur explizit, sondern auch implizit durch nationales Recht erfolgen kann. Gerade für Stellen, die nach dem Gesetz nicht dazu verpflichtet sind, die zu verarbeitenden Informationen vor Veröffentlichung zu überprüfen, könnte sich hiermit eine Änderung ergeben.

(Quelle: KINAST Rechtsanwälte, Datenschutzticker vom 18. Januar 2024)