In diesem Monat haben wir bereits über mehrere wegweisende Entscheidungen des Europäischen Gerichtshofs (EuGH) berichtet. Dieser Linie folgend, befassen wir uns heute für Sie mit der sehr interessanten EuGH-Entscheidung vom 05.12.2023 (Az. C-683/21) zur gemeinsamen Verantwortlichkeit im Datenschutz.
Was wussten wir bislang zur gemeinsamen Verantwortung?
Man könnte ja meinen, dass die gesetzlichen Regeln zur gemeinsamen Verantwortung recht einfach liegen. Dabei gehört die gemeinsame Verantwortung zu den wohl umstrittensten Bereichen des Datenschutzes.
Das Gesetz besagt: „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“ (Art. 26 Abs. 1 S. 1 DSGVO, Hervorhebungen nicht im Original)
Liegt eine gemeinsame Verantwortung vor, sollen nach dem Willen des Gesetzgebers die jeweiligen Verantwortungsanteile in einem „Vertrag zur gemeinsamen Verantwortlichkeit“ geregelt werden – landläufig auch bekannt als „Joint Controller Contract“. Doch was in der Theorie leicht und verständlich aussieht, zeigt sich vor dem Hintergrund zunehmend komplexer Datenflüsse und zahlloser Datenmittler als enorme Herausforderung. Was bedeutet „gemeinsam festlegen“, was sind die „Mittel zur Verarbeitung“ und was bezweckt der Gesetzgeber mit dieser Regelung überhaupt?
Einfache Antworten gibt es auf diese Fragen noch nicht. Wie ein weißer Fleck auf der Landkarte wird dieses rechtlich unerschlossene Terrain in der Praxis gemieden. Auch nach fünf Jahren DSGVO werden bisher kaum Verträge zur gemeinsamen Verantwortung abgeschlossen. Und allgemein hat sich der Wunschgedanke der Datenschützer zu einer baldigen Klärung der gemeinsamen Verantwortung längst verflüchtigt. Vielmehr werden die langsamen Mühlen der Rechtsprechung sich wohl jedes Einzelfalls annehmen müssen – es ist ein Geduldsspiel.
Also sprach Justitia
In dem heutigen Fall streiten die litauische Datenschutzaufsichtsbehörde (VDAI) und das Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium (NÖGZ) von Litauen vor dem regionalen Verwaltungsgericht. Es geht darum, ob das NÖGZ mitverantwortlich ist an einer datenschutzwidrig eingesetzten Corona-App namens KARANTINAS, die der Hersteller IT sprendimai sėkmei UAB (ITSS) wohl weitgehend eigenständig entwickelt und veröffentlicht hat. ITSS startete die App leider bevor der öffentliche Auftrag vom NÖGZ formal erteilt wurde.
Das litauische Verwaltungsgericht befragte den EuGH zur Einordnung einer Stelle als Verantwortliche nach Art. 4 Nr. 7 DSGVO und zu den Anforderungen an eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, wenn sich das NÖGZ sehr geringfügig und vor allem bewusst unverbindlich an einer Datenverarbeitung beteiligt hat.
Grundsätzliche Einordnung als Verantwortlicher
Der EuGH äußerte sich zur Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO so, dass eine Verantwortlichkeit schon dann besteht, wenn aus Eigeninteresse ein Einfluss auf die Datenverarbeitung genommen wird und damit die Zwecke und Mittel der Verarbeitung entsprechend der Gesetzesdefinition mitbestimmt werden.
Dies dürfte nun die wenigsten noch überraschen. Sicherlich gibt es auch hier noch Diskussionsbedarf, insbesondere, wenn die Einflussmöglichkeiten verschwindend gering sind. Wie es sich hierzu beim NZÖG verhält, das muss das Verwaltungsgericht aus Litauen nun final noch entscheiden.
Abgrenzungskriterien zur gemeinsamen Verantwortlichkeit
Zur gemeinsamen Verantwortlichkeit stellt der EuGH unter Verweis auf seine Fashion ID-Entscheidung klar, dass die betreffenden Stellen jeweils eigenständig der Definition des „Verantwortlichen“ entsprechen müssen.
Sodann erinnert der EuGH daran, dass eine gemeinsame Verantwortlichkeit nicht zwangsläufig gleichwertige Verantwortungsanteile der beteiligten Stellen bedeutet – eine bekannte Feststellung des EuGH aus dessen Fanpage-Entscheidung. Der Grad der Verantwortlichkeit ist nach den Umständen des Einzelfalls zu beurteilen.
Nebenbei erwähnt der EuGH, dass eine förmliche Vereinbarung zwischen den Verantwortlichen nicht für die Einstufung als gemeinsam Verantwortliche vorausgesetzt wird. Vielmehr sind die nach Art. 26 DSGVO gemeinsam Verantwortlichen rechtlich verpflichtet, eine solche Vereinbarung zu schließen.
Bis hierhin hat der EuGH nichts Neues entschieden! Aber dann führt der EuGH etwas genauer aus, wie die Entscheidungsanteile der gemeinsam Verantwortlichen ausgestaltet sein können.
Einheitliche Entscheidungen und integrierte Entscheidungen
Motiviert durch die Ausführungen in den Schlussanträgen des Generalanwalts, führt der EuGH nun noch weiter aus, worauf es bei einer gemeinsamen Verantwortlichkeit ankommt:
Einerseits können die gemeinsam Verantwortlichen durch gemeinsame Entscheidungen die Mittel und Zwecke der Verarbeitung bestimmen.
Andererseits können auch übereinstimmende Entscheidungen der gemeinsam Verantwortlichen vorliegen, die sich „[…] in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und ‑mittel auswirkt.“ (Rn. 43, Hervorhebungen nicht im Original)
Dies bietet durchaus neues Potenzial zur Abgrenzung zur gemeinsamen Verantwortlichkeit. Denn führen die Fallkonstellationen einer „einheitlichen Entscheidung“ oder einer „integrierten Entscheidung“, wie vom EuGH ausgeführt, zur Begründung einer gemeinsamen Verantwortlichkeit, dann liegt im Umkehrschluss keine gemeinsame Verantwortlichkeit vor, sofern die Entscheidungen der Verantwortlichen sich nicht ergänzen und sich jeweils nicht konkret auf die Entscheidung über die Verarbeitungszwecke und -mittel auswirken.
Ob dies zur Abgrenzung tatsächlich hilfreich ist und ob wir in der Rechtsanwendung zur gemeinsamen Verantwortlichkeit künftig neue Wege beschreiten, das lässt sich noch nicht abschätzen. Interessant ist dieser Gedanke allemal! Und vielleicht passt das ganz gut zusammen mit den aktuellen Bestrebungen der EU zur Förderung des Datenaustauschs mit Hilfe des Data Governance Acts (DGA) oder es hilft uns bei der datenschutzrechtlichen Bewertung von Trainingsdaten weiter, die für Large Language Models (LLMs), wie ChatGPT, verwendet wurden. 🤔
Bei der Entscheidung des EuGH in der Rechtssache C-683/21 handelt es sich um ein Vorabentscheidungsersuchen, d. h. es gibt keine Entscheidung zum konkreten Rechtsstreit zwischen dem NÖGZ und der Aufsichtsbehörde VDAI. Dieses Urteil muss das zuständigen Regionalverwaltungsgericht in Litauen noch fällen. Also wieder warten …
Morgen, Kinder, wird’s was geben
Um Ihnen bis dahin die Wartezeit aber etwas zu versüßen, werden wir schon morgen wieder über ein spannendes Thema berichten. Kommen Sie gut durch das restliche Jahr!