ZUSATZ INFORMATIONEN
Der EuGH hat mit seiner Entscheidung vom 05. Dezember 2023 (Az. C-683/21) zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO Stellung genommen.
Die gemeinsame Verantwortung nach Art. 26 DSGVO gehört zu den wohl umstrittensten Bereichen des Datenschutzes.
Die DSGVO besagt: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“ (Art. 26 Abs. 1 S. 1 DSGVO). Liegt eine gemeinsame Verantwortung vor, sollen nach dem Willen des EU-Gesetzgebers die jeweiligen Verantwortungsanteile in einem „Vertrag zur gemeinsamen Verantwortlichkeit“ geregelt werden – landläufig auch bekannt als „Joint Controller Contract“. Doch was in der Theorie leicht und verständlich aussieht, zeigt sich vor dem Hintergrund zunehmend komplexer Datenflüsse und zahlloser Datenmittler als enorme Herausforderung. Was bedeutet „gemeinsam festlegen“, was sind die „Mittel zur Verarbeitung“ und was bezweckt die DSGVO mit dieser Regelung überhaupt?
In dem vorliegenden Fall streiten die litauische Datenschutzaufsichtsbehörde (VDAI) und das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium (NÖGZ) von Litauen vor dem regionalen Verwaltungsgericht. Es geht darum, ob das NÖGZ mitverantwortlich ist an einer datenschutzwidrig eingesetzten Corona-App namens KARANTINAS, die der Hersteller IT sprendimai sėkmei UAB (ITSS) wohl weitgehend eigenständig entwickelt und veröffentlicht hat. ITSS startete die App leider bevor der öffentliche Auftrag vom NÖGZ formal erteilt wurde.
Das litauische Verwaltungsgericht befragte den EuGH zur Einordnung einer Stelle als Verantwortliche nach Art. 4 Nr. 7 DSGVO und zu den Anforderungen an eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, wenn sich das NÖGZ sehr geringfügig und vor allem bewusst unverbindlich an einer Datenverarbeitung beteiligt hat.
Grundsätzliche Einordnung als Verantwortlicher
Der EuGH äußerte sich zur Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO so, dass eine Verantwortlichkeit schon dann besteht, wenn aus Eigeninteresse ein Einfluss auf die Datenverarbeitung genommen wird und damit die Zwecke und Mittel der Verarbeitung entsprechend der Gesetzesdefinition mitbestimmt werden. Wie es sich hierzu beim NZÖG verhält, das muss das Verwaltungsgericht aus Litauen nun final noch entscheiden.
Abgrenzungskriterien zur gemeinsamen Verantwortlichkeit
Zur gemeinsamen Verantwortlichkeit stellt der EuGH klar, dass die betreffenden Stellen jeweils eigenständig der Definition des „Verantwortlichen“ entsprechen müssen. Sodann erinnert der EuGH daran, dass eine gemeinsame Verantwortlichkeit nicht zwangsläufig gleichwertige Verantwortungsanteile der beteiligten Stellen bedeutet – eine bekannte Feststellung des EuGH aus dessen Fanpage-Entscheidung. Der Grad der Verantwortlichkeit ist nach den Umständen des Einzelfalls zu beurteilen. Nebenbei erwähnt der EuGH, dass eine förmliche Vereinbarung zwischen den Verantwortlichen nicht für die Einstufung als gemeinsam Verantwortliche vorausgesetzt wird. Vielmehr sind die nach Art. 26 DSGVO gemeinsam Verantwortlichen rechtlich verpflichtet, eine solche Vereinbarung zu schließen.
Dann führt der EuGH etwas genauer aus, wie die Entscheidungsanteile der gemeinsam Verantwortlichen ausgestaltet sein können.
Einheitliche Entscheidungen und integrierte Entscheidungen
Einerseits können die gemeinsam Verantwortlichen durch gemeinsame Entscheidungen die Mittel und Zwecke der Verarbeitung bestimmen. Andererseits können auch übereinstimmende Entscheidungen der gemeinsam Verantwortlichen vorliegen, die sich „[…] in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und -mittel auswirkt.“
Dies bietet durchaus neues Potenzial zur Abgrenzung zur gemeinsamen Verantwortlichkeit. Denn führen die Fallkonstellationen einer „einheitlichen Entscheidung“ oder einer „integrierten Entscheidung“, wie vom EuGH ausgeführt, zur Begründung einer gemeinsamen Verantwortlichkeit, dann liegt im Umkehrschluss keine gemeinsame Verantwortlichkeit vor, sofern die Entscheidungen der Verantwortlichen sich nicht ergänzen und sich jeweils nicht konkret auf die Entscheidung über die Verarbeitungszwecke und -mittel auswirken.
Bei der Entscheidung des EuGH in der Rechtssache C-683/21 handelt es sich um ein Vorabentscheidungsersuchen, d.h. es gibt keine Entscheidung zum konkreten Rechtsstreit zwischen dem NÖGZ und der Aufsichtsbehörde VDAI. Dieses Urteil muss das zuständige Regionalverwaltungsgericht in Litauen noch fällen.
(Quelle: DSN Group, datenschutz notizen vom 21. Dezember 2023)