Abo

Urteil : Unternehmenshaftung für Verarbeitungsvorgänge eines Auftragsverarbeiters möglich : aus der RDV 1/2024, Seite 41-44

(EuGH, Urteil vom 5. Dezember 2023 – C 683/21–)

Rechtsprechung
Lesezeit 13 Min.

Relevanz für die Praxis

Das Urteil betrifft, ebenso wie das Urteil des EuGH in der Rechtssache C-807/21 vom selben Tag, Fragen datenschutzrechtlicher Unternehmenshaftung. Es stellt genauso wie das Urteil gegen die Deutsche Wohnen klar, dass ein Bußgeld nach Art. 83 DS-GVO Vorsatz oder Fahrlässigkeit des Unternehmens erfordert. Eine verschuldensunabhängige Haftung gibt es in der DS-GVO nicht. Jedoch haften Verantwortliche, so das Gericht, nicht nur für eigene Verstöße, sondern auch für Datenschutzverstöße ihrer Auftragsverarbeiter. Etwas anders gilt nur in drei Fällen. Erstens, wenn der Auftragsverarbeiter Verarbeitungen für eigene Zwecke vorgenommen hat, zweitens, wenn er die Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden vereinbar ist (Verstoß gegen ausdrücklichen Willen des Verantwortlichen) , oder drittens, er die Daten auf eine Weise verarbeitet hat, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche der Verarbeitung zugestimmt hätte (Verstoß gegen hypothetischen Willen des Verantwortlichen). Nach Art. 28 Abs. 10 DS-GVO gilt der Auftragsverarbeiter in einem solchen Fall nämlich in Bezug auf die Verarbeitung selbst als Verantwortlicher.

Darüber hinaus untermauert das Gericht seine bisherige Rechtsprechung zur gemeinsamen Verantwortlichkeit sowie zum Personenbezug von Daten.

  1. Art.  4 Nr. 7 der Verordnung (EU) 2016/679 […] ist dahin auszulegen, dass eine Einrichtung, die ein Unterneh‑ men mit der Entwicklung einer mobilen IT‑Anwen‑ dung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personen‑ bezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstel‑ lung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öf‑ fentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personen‑ bezogener Daten ausdrücklich widersprochen.
  2. Art.  4 Nr. 7 und Art.  26 Abs.  1 der Verordnung 2016/679 sind dahin auszulegen, dass die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Ver‑ einbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbei‑ tung festgelegt sind.
  3. Art. 4 Nr. 2 der Verordnung 2016/679 ist dahin auszulegen, dass die Verwendung personenbezogener Daten für IT‑Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.
  4. Art.  83 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne der Abs.  4 bis 6 dieses Artikels begangen hat, und zum anderen eine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchge‑ führt wurden, verhängt werden kann, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbei‑ tungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

Zu den Vorlagefragen:

Zu sechsten Frage:

Mit der sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art.  83 DS-GVO dahin auszulegen ist, dass zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne von Art. 83 Abs. 4 bis 6 DS-GVO begangen hat, und zum anderen eine solche Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.

Was erstens die Frage betrifft, ob eine Geldbuße gemäß Art.  83 DS-GVO nur verhängt werden darf, wenn feststeht, dass der Verantwortliche oder der Auftragsverarbeiter vorsätzlich oder fahrlässig einen Verstoß im Sinne von Art.  83 Abs.  4 bis 6 DS-GVO begangen hat, geht aus Art.  83 Abs.  1 DS-GVO hervor, dass diese Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. In Art. 83 DS-GVO ist dagegen nicht ausdrücklich bestimmt, dass ein solcher Verstoß nur dann mit einer Geldbuße geahndet werden kann, wenn er vorsätzlich oder zumindest fahrlässig begangen wurde.

Die litauische Regierung und der Rat der Europäischen Union leiten daraus ab, dass der Unionsgesetzgeber den Mitgliedstaaten bei der Durchführung von Art. 83 der DS-GVO ein gewisses Ermessen habe einräumen wollen, das es ihnen erlaube, die Verhängung von Geldbußen gemäß dieser Bestimmung ggf. auch dann vorzusehen, wenn nicht feststehe, dass der mit dieser Geldbuße geahndete Verstoß gegen die DS-GVO vorsätzlich oder fahrlässig begangen worden sei.

Einer solchen Auslegung von Art.  83 DS-GVO kann nicht gefolgt werden.

Nach Art. 288 AEUV haben Verordnungen im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären. Allerdings kann es vorkommen, dass manche Bestimmungen einer Verordnung zu ihrer Durchführung des Erlasses von Durchführungsmaßnahmen durch die Mitgliedstaaten bedürfen (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 58 und die dort angeführte Rechtsprechung).

Dies gilt insbesondere für die DS-GVO, die einige Bestimmungen enthält, die den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche – strengere oder einschränkende – nationale Vorschriften vorzusehen, und ihnen ein Ermessen hinsichtlich der Art und Weise ihrer Durchführung lassen (Urteil vom 28. April 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, Rn. 57).

Ebenso ist es mangels besonderer Verfahrensregeln in der DS-GVO Sache der Rechtsordnung der einzelnen Mitgliedstaaten, vorbehaltlich der Wahrung der Grundsätze der Äquivalenz und der Effektivität die Modalitäten für Klagen festzulegen, die den Schutz der dem Einzelnen aus den Bestimmungen dieser Verordnung erwachsenden Rechte gewährleisten sollen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 53 und 54 sowie die dort angeführte Rechtsprechung).

Der Wortlaut von Art. 83 Abs. 1 bis 6 DS-GVO enthält jedoch keinen Anhaltspunkt dafür, dass der Unionsgesetzgeber den Mitgliedstaaten ein Ermessen hinsichtlich der materiellen Voraussetzungen einräumen wollte, die von einer Aufsichtsbehörde einzuhalten sind, wenn sie beschließt, gegen einen Verantwortlichen eine Geldbuße wegen eines Verstoßes im Sinne von Art. 83 Abs. 4 bis 6 DS-GVO zu verhängen.

Zwar sieht zum einen Art. 83 Abs. 7 DS-GVO vor, dass jeder Mitgliedstaat Vorschriften dafür festlegen kann, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Zum anderen ergibt sich aus Art.  83 Abs.  8 DS-GVO in Verbindung mit dem 129. Erwägungsgrund der DS-GVO, dass die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.

Dass die DS-GVO den Mitgliedstaaten damit die Möglichkeit gibt, Ausnahmen für Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, und Anforderungen an das Verfahren vorzusehen, das von den Aufsichtsbehörden einzuhalten ist, wenn sie eine Geldbuße verhängen, bedeutet jedoch nicht, dass sie über diese Ausnahmen und verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorsehen dürften, die erfüllt sein müssen, um die Haftung des Verantwortlichen zu begründen und ihm gemäß Art.  83 DS-GVO eine Geldbuße auferlegen zu können. Darüber hinaus wird dadurch, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche materiellen Voraussetzungen vorzusehen, bestätigt, dass er den Mitgliedstaaten insoweit kein Ermessen eingeräumt hat.

Diese Feststellung wird auch durch Art.  83 in Verbindung mit Art.  84 DS-GVO gestützt. Nach Art.  84 Abs.  1 DS-GVO sind die Mitgliedstaaten nämlich weiterhin dafür zuständig, die Vorschriften über „andere Sanktionen“ für Verstöße gegen diese Verordnung – „insbesondere für Verstöße, die keiner Geldbuße gemäß Art. 83 unterliegen“ – festzulegen. Aus der Zusammenschau dieser Bestimmungen ergibt sich somit, dass die Festlegung der materiellen Voraussetzungen für die Verhängung solcher Geldbußen dieser Zuständigkeit entzogen ist. Diese Voraussetzungen fallen daher ausschließlich unter das Unionsrecht.

Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DS-GVO die Gesichtspunkte aufzählt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Gesichtspunkten gehört nach Buchst. b) dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen lässt sich keinem der in dieser Bestimmung aufgezählten Gesichtspunkte eine Möglichkeit entnehmen, den Verantwortlichen haftbar zu machen, wenn kein schuldhaftes Verhalten seinerseits vorliegt.

Darüber hinaus ist Art.  83 Abs.  2 DS-GVO in Verbindung mit Abs.  3 dieses Artikels zu lesen, der die Folgen der Kumulierung von Verstößen gegen die DG-SVO regelt und in dem es heißt: „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“

Aus dem Wortlaut von Art. 83 Abs. 2 DS-GVO ergibt sich somit, dass nur bei Verstößen gegen die Bestimmungen dieser Verordnung, die vom Verantwortlichen schuldhaft, d.h. vorsätzlich oder fahrlässig, begangen werden, nach diesem Artikel eine Geldbuße gegen ihn verhängt werden kann.

Die allgemeine Systematik und der Zweck der DS-GVO bestätigen diese Auslegung.

Zum einen hat der Unionsgesetzgeber ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, je nach den Umständen des Einzelfalls die am besten geeigneten Sanktionen zu verhängen.

Art.  58 DS-GVO, in dem die Befugnisse der Aufsichtsbehörden geregelt sind, sieht in Abs. 2 Buchst. i) vor, dass diese Behörden Geldbußen gemäß Art. 83 DS-GVO verhängen können, „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 DS-GVO aufgeführten Abhilfemaßnahmen wie Warnungen, Verwarnungen oder Anweisungen. Im 148. Erwägungsgrund der DS-GVO heißt es u.a., dass die Aufsichtsbehörden, wenn es sich um einen geringfügigeren Verstoß handelt oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, davon absehen dürfen, eine Geldbuße zu verhängen, und stattdessen eine Verwarnung erteilen können.

Zum anderen geht insbesondere aus dem 10. Erwägungsgrund der DS-GVO hervor, dass mit deren Bestimmungen u.a. ein gleichmäßiges und hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union gewährleistet werden soll und zu diesem Zweck die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewandt werden sollten. In den Erwägungsgründen 11 und 129 der DS-GVO heißt es außerdem, dass im Hinblick auf eine einheitliche Anwendung dieser Verordnung sichergestellt werden muss, dass die Aufsichtsbehörden über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten verfügen und im Fall von Verstößen gegen diese Verordnung gleiche Sanktionen verhängen können.

Durch ein Sanktionssystem, das es ermöglicht, in Fällen, in denen die besonderen Umstände des Einzelfalls dies rechtfertigen, eine Geldbuße nach Art.  83 DS-GVO zu verhängen, werden die Verantwortlichen und Auftragsverarbeiter dazu angehalten, diese Verordnung einzuhalten. Geldbußen tragen durch ihre abschreckende Wirkung dazu bei, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verbessert wird, und sind daher ein Schlüsselelement, um sicherzustellen, dass die Rechte dieser Personen im Einklang mit dem Ziel der Verordnung, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, gewahrt werden.

Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus die Verhängung von Geldbußen auch bei fehlendem Verschulden vorzusehen. Da die DS-GVO auf ein gleichwertiges und homogenes Schutzniveau abzielt und deshalb in der gesamten Union einheitlich angewandt werden muss, liefe es diesem Zweck zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 der DS-GVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u.a. in den Erwägungsgründen 9 und 13 der DS-GVO zum Ausdruck gebrachten Zielen zuwiderliefe.

Demnach ist festzustellen, dass Art.  83 DS-GVO die Verhängung einer Geldbuße wegen eines Verstoßes im Sinne von Art. 83 Abs. 4 bis 6 DS-GVO nicht zulässt, wenn nicht feststeht, dass dieser Verstoß vom Verantwortlichen vorsätzlich oder fahrlässig begangen wurde, und ein schuldhafter Verstoß daher eine Voraussetzung für die Verhängung einer solchen Geldbuße darstellt.

Insoweit ist hinsichtlich der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und deshalb mit einer Geldbuße nach Art. 83 DS-GVO geahndet werden kann, darauf hinzuweisen, dass gegen einen Verantwortlichen wegen eines Verhaltens, das in den Anwendungsbereich der DS-GVO fällt, Sanktionen verhängt werden können, wenn sich dieser Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DS-GVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u.a., C-681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C-591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C-601/16 P, EU:C:2021:244, Rn. 97).

Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist außerdem zu beachten, dass die Anwendung von Art. 83 DS-GVO keine Handlung oder gar Kenntnis des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u.a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C-94/15 P, EU:C:2017:124, Rn. 28 und die dort angeführte Rechtsprechung).

Was zweitens die Frage betrifft, ob gegen einen Verantwortlichen gemäß Art. 83 der DS-GVO eine Geldbuße für die von einem Auftragsverarbeiter durchgeführten Verarbeitungsvorgänge verhängt werden kann, ist daran zu erinnern, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DS-GVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle [ist], die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Da ein Verantwortlicher, wie in Rn. 36 des vorliegenden Urteils ausgeführt, nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist, kann gegen ihn eine Geldbuße nach Art. 83 der DS-GVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist.

Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters kann sich jedoch nicht auf Fälle erstrecken, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte. Nach Art. 28 Abs. 10 DS-GVO gilt der Auftragsverarbeiter in einem solchen Fall nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.

Nach alledem ist auf die sechste Frage zu antworten, dass Art. 83 der DS-GVO dahin auszulegen ist, dass zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne von Art. 83 Abs. 4 bis 6 DS-GVO begangen hat, und zum anderen eine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden, verhängt werden kann, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.

Zur Vertiefung

Schwartmann/Burkhardt, Rechts- oder Funktionsträgerprinzip? Unternehmenshaftung nach der Datenschutz-Grundverordnung auf dem rechtlichen Prüfstand= RDV 5/2022