Im Zuge des EuGH-Rundumschlags zum Datenschutz am 4. Mai 2023 (wir berichteten) kam es zu einer für die Praxis hoch relevanten, wenn auch nicht überraschenden Stellungnahme: Der Generalanwalt Emiliou äußerte sich in der Rechtssache C-683/21 zu der Frage, ob Bußgelder gemäß Art. 83 DSGVO gegen Verantwortliche (Art. 4 Nr. 7 DSGVO) verhängt werden können, wenn ihre Auftragsverarbeiter (Art. 28 DSGVO) personenbezogene Daten rechtswidrig verarbeiten.
Bestehende Haftungsrisiken
Das Haftungsrisiko für Verantwortliche wurde bestätigt, zugleich aber auch eingegrenzt: Nur wenn feststehe, dass die rechtswidrige Datenverarbeitung des Auftragsverarbeiter innerhalb des Auftrags für den Verantwortlichen erfolgte, bestehe die Möglichkeit einer Geldbuße für den Verantwortlichen.
Bei eigenmächtigen Verarbeitungen des Auftragsverarbeiters – ohne rechtmäßige Anweisung des Verantwortlichen – zu eigenen Zwecken, könne hingegen kein Bußgeld gegen den Verantwortlichen verhängt werden, solange eindeutig keine gemeinsame Verantwortlichkeit beider Parteien vorliege.
Konsequenzen
Der Generalanwalt schließt sich damit bereits bestehenden Auffassungen an bzw. betont nunmehr ausdrücklich das Haftungsrisiko für Verantwortliche bei der Auswahl ihrer Dienstleister.
Dies bestätigt nun mehr auch die Gefahren, die bei einem Einsatz von Auftragsverarbeitern aus Ländern außerhalb der Europäischen Union/des EWR bestehen. Findet eine Verarbeitung von personenbezogenen Daten im Auftrag des Verantwortlichen in einem unsicheren Drittstaat statt, ohne dass geeignete Garantien für einen wirksamen Schutz dieser Daten existieren, kann der Verantwortliche dafür haften. Dies wäre ferner auch bei eingesetzten Unterauftragsverarbeitern in derartigen Staaten anzunehmen, sofern ein angemessener Schutz dieser Daten nicht garantiert werden kann.
Doch wie können Verantwortliche dem Haftungsrisiko entgegenwirken?
Besonderes Augenmerk auf die Weisungsbefugnis
Die konkrete vertragliche Ausgestaltung bzw. Dokumentation der Weisungen des Verantwortlichen an den Auftragsverarbeiter i. S. v. Art. 28 Abs. 3 S. 2 lit a DSGVO kann als Nachweis für eine (Nicht-)Haftung herhalten. Eigentlich soll die Dokumentationspflicht von Weisungen in erster Linie dem ausreichenden Schutz der betroffenen Personen bei Auslagerungen von Datenverarbeitungen dienen: Der Verantwortliche bzw. Auftraggeber bleibt für Verarbeitungen trotzdem datenschutzrechtlich verantwortliche Stelle und hat die Anforderungen aus der DSGVO vollständig umzusetzen, während der Auftragsverarbeiter in diesem Rahmen nur als „verlängerter Arm“ agiert. Der Auftragsverarbeiter kann sich insofern darauf berufen, gerade nicht selbst verantwortlich zu sein, z. B. für Rechtmäßigkeit der beauftragten Datenverarbeitung und deren Nachweis.
Durch die Stellungnahme des GA Emiliou hat die Dokumentationspflicht interessanterweise nun aber umkehrt auch für den Verantwortlichen eine erhöhte Relevanz, indem er gegenüber Aufsichtsbehörden oder Gerichten im Zweifel nachweisen kann, dass der Auftragsverarbeiter eben nicht im Rahmen der vorgebenden Weisungen bzw. eigenmächtig Daten verarbeitet hat.
Konsequenzen
In der Vertragsgestaltung und gelebten Praxis sollten Verantwortliche Art und Form der zu dokumentierenden Weisung hinreichend präzise fassen (Gebot der Weisungsklarheit) und dem Auftragsverarbeiter keinen Auslegungsspielraum für die Datenverarbeitung bieten. Vor diesem Hintergrund ist es auch zu empfehlen, Klauseln in Auftragsverarbeitungsverträgen, wonach der Auftragsverarbeiter personenbezogene Daten zu bestimmten Zwecken anonymisieren darf, zu streichen. Es könnte in diesem Fall z. B. argumentiert werden, dass die Anonymisierung (als Datenverarbeitung, die eine Rechtsgrundlage erfordert) auf vertragliche Weisung des Verantwortlichen erfolgt und somit zum Auftrag gehört, woraus prinzipiell ein Haftungsrisiko für den Verantwortlichen entstehen könnte.
Im Zweifel lieber eine gemeinsame Verantwortlichkeit?
Fraglich ist auch – da dies von Generalanwalt Emiliou angedeutet wurde – wann bei einer Datenverarbeitung des Auftragsverarbeiters ohne dokumentierte Weisung des Verantwortlichen eine gemeinsame Verantwortlichkeit beider Parteien vorliegen könnte. Die Trennlinie der Abgrenzung zwischen getrennter und gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) ist oftmals nicht eindeutig zu erkennen und wird mutmaßlich nie ausdiskutiert sein. Die Abgrenzung ist dabei von der (gemeinsamen) Entscheidung über Zwecke und Mittel der Datenverarbeitung und den Umständen des Einzelfalls abhängig.
Insbesondere bei einer weitgefassten Verarbeitung könnte, mit Verweis auf die Stellungnahme des Generalanwalts, angenommen werden, dass bei nicht eindeutiger Zuordnung welchem Zweck die eigenmächtige Verarbeitung des Auftragsverarbeiters dient, eine gemeinsame Verantwortlichkeit vorliegt. Bei einer solchen Betrachtung dürften das Risiko und die Eintrittswahrscheinlichkeit eines DSGVO-Verstoßes bereits aufgrund einer unzureichenden vertraglichen Ausgestaltung (fehlender Vertrag zur gemeinsamen Verantwortlichkeit) deutlich höher einzustufen sein, als bei der Annahme einer getrennten Verantwortlichkeit für die eigenmächtige Verarbeitung des Auftragsverarbeiters. Daher sollte insbesondere vorsichtig agiert werden, wenn der Verantwortliche durch diese Datenverarbeitung (mit)profitiert, da der Begriff der gemeinsamen Verantwortlichkeit von der Rechtsprechung weit ausgelegt wird.
Auswirkungen auf Bestimmung der Bußgeldhöhe?
Die Feststellung der Haftungsverantwortung kann sich letztlich auch, nach Art. 83 Abs. 2 S. 2 DSGVO, auf die Höhe von Geldbußen bei Datenschutzverstößen auswirken: Fraglich ist z. B., ob eine unzureichende Ausgestaltung von Weisungen ein Indiz für Fahrlässigkeit des Verantwortlichen nach lit. b sein kann. Weiterhin wirkt sich nach lit d auch der Grad der Verantwortung auf die Bemessung des Bußgeldes aus, was bei der Ausgestaltung des Auftrages berücksichtigt werden sollte. Sofern bspw. vertraglich vereinbart wird, dass der Auftragsverarbeiter personenbezogene Daten anonymisieren und damit verarbeiten darf, könnte dem Verantwortlichen ggf. auch ein gewisser Grad der Verantwortung bei einem DSGVO-Verstoß beigemessen werden. Verantwortliche sind gut beraten, den Auftrag bzw. die Weisungen an den Auftragsverarbeiter so eng wie möglich zu formulieren und keine weitergehenden Verarbeitungen zu gestatten.
Fazit
Es darf mit Spannung erwartet werden ob sich der EuGH der Stellungnahme des Generalanwalts anschließt oder Abstriche vornimmt. In jedem Fall wäre eine eindeutige Positionierung des Gerichts begrüßenswert, da eine abschließende Rechtssicherheit in der Frage der Haftungsabgrenzung und Bemessung der Bußgeldhöhe für alle an der Datenverarbeitung Beteiligte von großer Relevanz ist. Die Stellungnahme sollte in jedem Fall als Anreiz (oder Warnung) verstanden werden, die Ausgestaltung und Dokumentation einer Auftragsverarbeitung und die daran geknüpfte Weisungsbefugnis mit der notwendigen Sorgfalt und entsprechend dem Status quo einer Datenverarbeitung vorzunehmen.