Kanzlei Dr. Bahr
Navigation
Kategorie: Datenschutzrecht

EuGH: Neues zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO

Der EuGH präzisiert die Bedingungen für eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO im Datenschutz.

Der EuGH hat in der aktuellen Entscheidung präzisiert, wann und unter welchen Umständen eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt (EuGH, Urt. v. 05.12.2023 - Az.: C-683/21).

Die Einordnung als gemeinsame Verantwortliche hat ganz erhebliche praktische Bedeutungen, insbesondere die gemeinsame Haftung für Datenschutzverletzungen.

Dem Sachverhalt lag die Programmierung einer Covid-App in Litauen zugrunde. Hier stellte sich die Frage, ob eine gemeinsame Verantwortlichkeit oder nur ein Auftragsverhältnis bestand.

Die Leitsätze des EuGH dazu lauten:

"1.  Art. 4 Nr. 7 (…) ist dahin auszulegen, dass

eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.

2. Art. 4 Nr. 7 und Art. 26 Abs. 1 (…) sind dahin auszulegen, dass

die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.

3. Art. 4 Nr. 2 (…) ist dahin auszulegen, dass

die Verwendung personenbezogener Daten für IT‑Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.

4.  Art. 83 (…) ist dahin auszulegen, dass

zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne der Abs. 4 bis 6 dieses Artikels begangen hat, und

zum anderen eine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden, verhängt werden kann, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte."

Eine gemeinsame Verantwortlichkeit kann somit auch dann vorliegen, wenn

a) eine der Partei die Daten gar nicht speichert und auf diese auch keinerlei Zugriff hat und

b) auch keine gemeinsamen Zwecke und Mittel der Verarbeitung festgelegt wurden.

Anmerkung von RA Dr. Bahr:

Der EuGH bekräftigt damit seine bisherige extensive Rechtsansicht über die Reichweite der gemeinsamen Verantwortlichkeit. In der Praxis führt dies nicht selten zu einer uferlosen Anwendung des Art. 26 DSGVO.

Rechts-News durch­suchen

24. April 2024
Sondernutzungserlaubnis für E-Scooter-Verleih darf von Identitätsprüfung der Nutzer abhängig gemacht werden.
ganzen Text lesen
22. April 2024
Kein DSGVO-Schadensersatz für Weitergabe von Positivdaten an SCHUFA, da kein immaterieller Schaden nachgewiesen.
ganzen Text lesen
22. April 2024
Entschädigung in Fällen von Facebook-Scraping nicht selbstverständlich.
ganzen Text lesen
19. April 2024
Trotz Newsletter-Abmeldung weiter unerwünschte Werbe-E-Mails = DSGVO-Schadensersatz iHv. 500,- EUR.
ganzen Text lesen

Rechts-News durchsuchen