In einem weiteren Urteil hat der EuGH die Voraussetzungen für eine „gemeinsame Verantwortlichkeit“ geschärft. Sind mehrere Akteure derart gemeinsam verantwortlich, müssen sie dazu eine Vereinbarung schließen und die Rollen klar verteilen. In der Praxis ist besonders relevant, dass die Akteure dann auch gemeinsam (gesamtschuldnerisch) haften. Dies führt in vielen Fällen zu dem Bemühen, eine gemeinsame Verantwortlichkeit zu vermeiden, um Haftungsdiffusionen auszuschließen. Wann dies noch möglich ist, erläutern wir im nachfolgenden Beitrag.
Dem Urteil des EuGH vom 05.12.2023 in der Rs. C-683/21 liegt ein litauischer Sachverhalt zugrunde: Das nationale Zentrum für öffentliche Gesundheit beim litauischen Gesundheitsministerium (NZÖG) beauftragte ein IT-Unternehmen mit der Entwicklung einer App zur epidemiologischen Erfassung und Überwachung von Daten von mit Covid-19 infizierten Personen. Wegen Verstößen gegen die DSGVO bei der Verarbeitung personenbezogener Daten in dieser App wurde ein Bußgeld gegen das NZÖG sowie gegen das IT-Unternehmen als gemeinsam Verantwortliche verhängt. Jedoch sahen sich weder das NZÖG noch das IT-Unternehmen als Verantwortlicher i.S.d. DSGVO und somit nicht als richtiger Adressat des Bußgeldbescheids.
Laut DSGVO ist „verantwortlich“, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Davon ausgehend fällt laut EuGH auch eine Einrichtung (hier: das NZÖG) unter diesen Begriff, die ein Unternehmen mit der Erstellung einer App beauftragt und in diesem Zusammenhang an der Entscheidung über die Verarbeitungszwecke und -mittel mitwirkt.
Hierbei kommt es alleine auf die tatsächlichen Umstände an. Eine vorherige Vereinbarung dazu ist nicht erforderlich. Vielmehr kann diese Mitwirkung unabhängig von einer förmlichen Vereinbarung in verschiedenen Formen erfolgen. Aus der Einstufung als gemeinsame Verantwortliche – aber auch erst dann – ergibt sich anschließend die Pflicht, einen Vertrag gem. Art. 26 DSGVO zu schließen und zu vereinbaren, wer welche Pflichten aus der DSGVO erfüllt.
Für die Annahme einer gemeinsamen Verantwortlichkeit war vorliegend für den EuGH entscheidend, dass das NZÖG die Ziele gesetzt hat, die mit der App umgesetzt werden sollten, und damit zugleich die Zwecke der Verarbeitung personenbezogener Daten mitbestimmt hat. Dass NZÖG als Verantwortlicher in der Datenschutzerklärung genannt war, hatte dagegen keinen maßgeblichen Einfluss – dies sei nur dann der Fall, wenn NZÖG dem (stillschweigend) zugestimmt hätte.
Nicht maßgeblich gegen eine gemeinsame Verantwortlichkeit spricht dagegen, dass NZÖG selbst keinen Zugriff auf die personenbezogenen Daten hatte. Dies entspricht der bisherigen Rechtsprechungslinie. Die Entscheidung hilft in der Praxis enorm: Maßgeblich ist zu untersuchen, wer die Zwecke und Mittel tatsächlich beeinflusst und mitbestimmt. Wenn dies nicht geschieht, wie bisweilen bei den Anwendern großer IT-Produkte, dann spricht das gegen eine gemeinsame Verantwortlichkeit.