Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 05.12.2023 (C-683/21) nicht nur mit der gemeinsamen datenschutzrechtlichen Verantwortlichkeit beschäftigt (wir berichteten). In der sechsten und letzten Vorlagefrage, die das litauische Verwaltungsgericht dem EuGH vorlegte, ging es um die Bußgeldhaftung eines Verantwortlichen für Datenverarbeitungen seines Auftragsverarbeiters.

So wurde gefragt, ob …

… von Art. 83 Abs. 1 DSGVO – worin vorgegeben wird, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen – auch Haftungen eines Verantwortlichen bei Auftragsverarbeitungen erfasst sind und unzulässige Datenverarbeitungen des Auftragsverarbeiters automatisch zur rechtlichen Haftung des Verantwortlichen führen und

… Art. 83 Abs. 1 DSGVO auch Fälle einer verschuldungsunabhängigen Haftung des Verantwortlichen umfasst.

Der EuGH hat dazu nun entschieden, dass …

… Geldbußen gegen den Verantwortlichen für Verarbeitungsvorgänge des Auftragsverarbeiters verhängt werden können, es sei denn, dass in diesem Rahmen auch Verarbeitungen für eigene Zwecke durchgeführt wurden oder die personenbezogenen Daten in unvereinbarer Weise mit den Festlegungen des Verantwortlichen oder entgegen einer vernünftigerweise anzunehmenden Zustimmung verarbeitet wurden und

… Geldbußen i. S. d. Art. 83 DSGVO nur verhängt werden können, wenn ein vorsätzlicher oder fahrlässiger Datenschutzverstoß durch den Verantwortlichen feststeht.

Die zweite Aussage wurde am selben Tag in einem weiteren Urteil (C-807/21) des EuGH bekräftigt.

Auswirkungen der Entscheidung

Der EuGH schließt sich damit der Meinung des EU-Generalanwalts Emiliou an. Dieser war in seinem Schlussantrag im Mai 2023 in dieselbe Richtung gegangen (wir berichteten).

Wahl eines geeigneten Auftragsverarbeiters und dessen regelmäßige Überprüfung

Die Entscheidung darf, wie erwartet, je nach Perspektive als Anreiz oder Warnung für die verantwortliche Stelle verstanden werden, die notwendige Sorgfalt bei der Wahl von Auftragsverarbeitern einzuhalten. Insbesondere sollte der Verantwortliche sein Weisungsrecht umfassend und in einem eindeutig präzisen Maße ausüben und dementsprechend auch vertraglich gegenüber dem Auftragsverarbeiter festhalten. Nur so kann er dem Verdacht einer eigenen Verantwortlichkeit bei einer Datenverarbeitung des Auftragsverarbeiters zu eigenen Zwecken entgegenwirken und eindeutig aufzeigen, dass der Auftragsverarbeiter in diesem Fall als eigenständig Verantwortlicher gehandelt hat und entsprechend selbst haftbar ist.

Im Rahmen der weisungsgebundenen Datenverarbeitung gewinnt hingegen eine anlassbezogene und/oder regelmäßige Überprüfung (Auditierung) durch den Verantwortlichen an zusätzlicher Bedeutung für den Verantwortlichen. Die Ergebnisse einer solchen Prüfung sollten intern dokumentiert werden und bei Anzeichen mangelhafter technisch-organisatorischer Maßnahmen sollte ein Wechsel zu einem anderen Auftragsverarbeiter in Erwägung gezogen werden.

(K)eine Büchse der Pandora geöffnet?

Fraglich ist, ob das Urteil auch auf Datenverarbeitungen von sog. Unterauftragsverarbeitern eines Auftragsverarbeiters anzuwenden ist. Inwiefern kann der Verantwortliche wiederum z. B. fahrlässig im Rahmen einer Unterbeauftragung gehandelt haben? Die Prüfmöglichkeiten des Verantwortlichen beschränken sich hierbei auf die Anforderungen nach Art. 28 Abs. 2 und 4 DSGVO, also der (allgemeinen oder spezifischen) Genehmigung bei der Hinzuziehung und die Überprüfung, dass die Datenschutzpflichten der Unterauftragsverarbeitung denen der Auftragsverarbeitung entsprechen. Da der Verantwortliche grundsätzlich in der gesamten Kette verantwortlich bleibt, ist eine Haftung wegen Fahrlässigkeit im Rahmen einer Unterauftragsverarbeitung nicht auszuschließen (bspw. Genehmigung eines Unterauftragsverarbeiters mit Sitz in einem unsicheren Drittland ohne geeignete Garantien).

Da zwischen Verantwortlichem und Unterauftragsverarbeitern kein direktes Vertragsverhältnis besteht, sollte die Pflicht zu einer regelmäßigen Überprüfung (Auditierung) von Unterauftragsverarbeitern im ursprünglichen Auftragsverarbeitungsvertag zwischen dem Verantwortlichen und dem Auftragsverarbeiter verankert werden. Die angemessene Umsetzung und die Ergebnisse dieser verpflichtenden Überprüfung, welche vom Auftragsverarbeiter vorzunehmen ist, sollte der Verantwortliche stets überwachen.

Fazit

Insgesamt sollten Verantwortliche bei dem Abschluss von Auftragsverarbeitungsverträgen eine stärkere Aufmerksamkeit auf die Definition des Gegenstands der Datenverarbeitung, der Beschreibung von deren Art und Zweck sowie der Art der personenbezogenen Daten und der Kategorien betroffener Personen legen, um den Rahmen der Weisungsgebundenheit des Auftragsverarbeiters klar abzustecken. Ferner ist dafür Rechnung zu tragen, dass das gesetzlich zu vereinbarende Kontrollrecht ausreichend vertraglich vereinbart und nicht unzulässig gekürzt wird.