Am 5.12.2023 ergingen gleich zwei Urteile des Europäischen Gerichtshof zum Datenschutzrecht. Wir erläutern, worauf sich Unternehmen bei Bußgeldern und gemeinsamer Verantwortlichkeit nun einstellen müssen.

Bußgelder

Das Urteil im Fall Deutsche Wohnen SE (C-807/21) beschäftigt sich mit den Voraussetzungen für die Verhängung von Bußgeldern durch die datenschutzrechtlichen Aufsichtsbehörden.

Hintergrund

Bislang war zwischen den deutschen Gerichten strittig, ob bei der Verhängung eines Bußgeldes gegen ein Unternehmen erst die Person, die den Datenschutzverstoß unmittelbar verursacht hat – also z.B. ein bestimmter Mitarbeiter – identifiziert werden muss. Ebenso war unklar, ob gegebenenfalls ein schuldhaftes Verhalten des Unternehmens vorliegen musste oder ob bereits der rein objektive Datenschutzverstoß ausreicht. Es stellte sich also im Wesentlichen die Frage, wie aufwändig eine Aufsichtsbehörde einen vermeintlichen Datenschutzverstoß ausermitteln musste.

Entscheidung

Der EuGH urteilte nun hinsichtlich der Vorlagefragen zum einen, dass ein Bußgeld auch dann ergehen kann, wenn die Aufsichtsbehörde den vermeintlichen Datenschutzverstoß nicht bereits einer bestimmten Person zugeordnet hat. Andererseits sei aber ein Verschulden des Unternehmens erforderlich, also ein vorsätzliches oder fahrlässiges Verhalten in Bezug auf den Verstoß. Im Zusammenhang mit der ersten Frage stellte der EuGH zudem fest, dass für die Höhe des Bußgeldes auch der weltweite Umsatz des Konzerns, dem ein Unternehmen angehört, maßgeblich sein kann.

Praktische Auswirkungen

Für die Aufsichtsbehörden gibt das Urteil nicht nur Anlass zur Freude. Sie müssen zwar beim Verhängen eines Bußgelds den Sachverhalt nicht komplett durchermitteln, aber trotzdem ein vorsätzliches oder fahrlässiges Verhalten des Unternehmens feststellen. Gerade im Hinblick auf ein fahrlässiges Verhalten es nun für Unternehmen wichtig sein, dass sie im Rahmen ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachweisen können, dass sie alle Vorgaben der DSGVO umgesetzt haben. Hier ist an die Klassiker wie technische und organisatorische Maßnahmen, Informationspflichten, Auftragsverarbeitungsverträge und Schulungen der Mitarbeiter zu denken. In dem EuGH vorgelegten Sachverhalt ging es etwa um ein fehlendes Löschkonzept. Ob es aufgrund des Urteils nun vermehrt zu Bußgeldern kommt, bleib abzuwarten.

Gemeinsame Verantwortlichkeit

In einem anderen Urteil vom selben Tag (C-683/21) beschäftigte sich der EuGH mit den Voraussetzungen einer gemeinsamen Verantwortlichkeit.

Hintergrund

In der Rechtsprechung war bislang unklar, ob für eine gemeinsame Verantwortlichkeit zum einen zumindest eine anteilige Verarbeitung durch alle Beteiligten notwendig ist und zum anderen ob irgendeine Art von Vereinbarung in Bezug auf Zwecke und Mittel der Verarbeitung zwischen gemeinsam Verantwortlichen im Vorfeld der Verarbeitung notwendig ist.

In dem Fall, der dem EuGH vorlag, hatte das litauische Gesundheitsministerium ein Unternehmen wegen der Entwicklung einer App zur Erfassung und Überwachung des Corona-Geschehens kontaktiert. Im Rahmen der Entwicklung wurde auch eine Datenschutzerklärung ausgearbeitet, in der das Ministerium und das Unternehmen als Verantwortliche benannt wurden. Die App wurde später dann in App Stores bereitgestellt und es wurden Daten erfasst. Allerdings kam es in der Folge nicht zu einer offiziellen Beauftragung des Unternehmens. Das Gesundheitsministerium machte im Rahmen des Rechtstreits geltend, nur das Unternehmen sei Verantwortlicher, das Unternehmen sah sich wiederum als Auftragnehmer.

Entscheidung

Der EuGH folgt mit dem Urteil weiter seiner bisher weiten Auslegung der gemeinsamen Verantwortlichkeit (zuletzt C-40/17). Nach den Feststellungen des EuGH sind das Ministerium und das Unternehmen gemeinsam Verantwortliche.

Dabei war für den EuGH ausschlaggebend, ob das Ministerium aus Eigeninteresse auf die Verarbeitung Einfluss nimmt. Dies sei im Hinblick auf die das Ziel der Erfassung und Überwachung des Corona-Geschehens der Fall. Dem Ministerium sei bewusst gewesen, das personenbezogene Daten verarbeitet würden und es habe Einfluss auf die Entwicklung der App genommen.

Unerheblich für die Feststellung der gemeinsamen Verantwortlichkeit seien hingegen die Angaben über die Verantwortlichen in der Datenschutzerklärung, die fehlende eigene Verarbeitung von Daten durch das Ministerium, der fehlende Vertrag über die App oder die fehlende Genehmigung des Vertriebs der App in den App Stores. Damit das Ministerium nicht als gemeinsam Verantwortlicher angesehen werden könnte, hätte es der Bereitstellung der App ausdrücklich widersprechen müssen, so der EuGH.

Auch die für die gemeinsame Verantwortlichkeit notwendige gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung liegt laut EuGH vor. Die gemeinsame Entscheidung könne entweder gemeinsam oder aber auch übereinstimmend erfolgen. Bei einer überstimmenden Entscheidung müssten sich die jeweiligen Entscheidungen der Beteiligten so ergänzen, dass sich jede Entscheidung konkret auf die Zwecke und Mittel der Verarbeitung auswirke. Eine förmliche Vereinbarung über Zwecke und Mittel der Verarbeitung sei aber nicht erforderlich. Ebenso grenzte der EuGH diese Entscheidung von der Vereinbarung nach Art. 26 Abs. 1 DSGVO ab. Letztere sei Folge, nicht Voraussetzung der gemeinsamen Verantwortlichkeit.

Praktische Auswirkungen

Auch dieses Urteil dürften den Anwendungsbereich der gemeinsamen Verantwortlichkeit weiter ausdehnen. Neu hinzugekommen ist dabei die „fahrlässige“ gemeinsame Verantwortlichkeit im Gewand der übereinstimmenden Entscheidung. Dienstleister sollten nun erst recht vor Vertragsschluss prüfen, inwiefern eine Auftragsverarbeitung seitens des Verantwortlichen notwendig und möglich ist. Allerdings sollten auch Verantwortliche notwendige Maßnahmen treffen, um ungewollte Verarbeitungen durch Dritte ausdrücklich zu unterbinden. Insgesamt dürften Gerichte und Aufsichtsbehörden in Zukunft weitaus häufiger eine gemeinsame Verantwortlichkeit annehmen.

(EuGH, Urt. v. 05.12.2023 - C-807/21)

(EuGH, Urt. v. 05.12.2023 - C-683/21, C-807/21)

(EuGH, 29.07.2019 - C-40/17)