Datenschutz-Blog der SDG

Schlussanträge des Generalanwalts Emiliou zur Verhängung von Bußgeldern

27. Juni 2023 von Julian Halbhuber

In diesem Beitrag sollen die Schlussanträge des Generalanwalts Emiliou in der Rechtssache C 683/21 aufgegriffen werden. Diese sind aktuell nicht auf Deutsch erhältlich, vorliegend wird sich daher auf den englischen Ursprungstext bezogen.

In seiner Argumentation setzt sich der Generalanwalt (im folgenden GA) im Rahmen des Art. 83 DSGVO mit dem Verantwortlichkeitsbegriff, inklusive den Voraussetzungen gemeinsamer Verantwortlichkeit, sowie der Bußgeldverhängung im Falle der Auftragsverarbeitung auseinander.




Besonders hervorzuheben sind die folgenden Positionen des GA:

  • Ein Bußgeld nach Art. 83 DSGVO darf nur verhängt werden, sofern auch ein Verschulden vorliegt (also im Fall von Vorsatz oder Fahrlässigkeit).
  • Gegenüber einem Verantwortlichen kann auch dann ein Bußgeld verhängt werden, wenn die rechtswidrige Verarbeitung unmittelbar durch einen Auftragsverarbeiter durchgeführt wurde.
  • Eine rechtswidrige Verarbeitung, welche nicht vom Auftrag gedeckt ist, kann jedoch zu keinem Bußgeld für den Verantwortlichen führen (kein Bußgeld für den Verantwortlichen im Falle eines Auftragsexzesses).

Der Fall

Im behandelten Fall ging es um die Entwicklung einer App, welche der Nachverfolgung der Kontaktpersonen von Corona-Infizierten dienen sollte. Dabei beauftragte das Litauische Nationale Öffentliche Gesundheitszentrum ein Unternehmen mit der Umsetzung einer solchen Applikation nach seinen Vorgaben. Die Anwendung wurde programmiert und stand im Weiteren auch zum Download zur Verfügung. Der juristische Erwerbsprozess durch das Gesundheitszentrum war jedoch zur Zeit der Veröffentlichung noch nicht offiziell abgeschlossen und scheiterte zuletzt mangels finanzieller Mittel. Schließlich verhängte die zuständige litauische Aufsichtsbehörde ein Bußgeld gegen den Entwickler sowie das Gesundheitszentrum, aufgrund behaupteten Verstoßes gegen die DSGVO.

Zu den Ausführungen

Zunächst wurde die Frage nach dem datenschutzrechtlichen Verhältnis des Zentrums und des Entwicklers aufgeworfen. Der GA weist in diesem Rahmen darauf hin, dass die Klärung der Verantwortlichkeit sich danach richtet, wer das „Warum und Wie“ („why and how“) der Datenverarbeitung bestimmt. Dabei sei nicht etwa eine rein formale, sondern eine faktische Betrachtung anzustellen. In Bezug auf das Gesundheitszentrum führt er aus, dass in einem Vorbringen, juristisch seien die Rechte an der App noch nicht übergegangen, eine solche formale Feststellung zu sehen sei. Tatsächlich habe eine fortlaufende Anpassung an die Ziele des Gesundheitszentrums stattgefunden.

Laut dem Generalanwalt ist es jedoch auch erforderlich, dass der Beginn der Datenverarbeitung, hier also der Veröffentlichung der App, mit Zustimmung des Gesundheitszentrums erfolgte. Nur dann sei eine tatsächliche Verbindung zur fraglichen Datenverarbeitung gegeben. Auf die formal-rechtliche Zustimmung soll es aber auch hier nicht ankommen, eine faktische Billigung genügt demnach. Aufgrund dieser Überlegungen qualifiziert der Generalanwalt das Zentrum als Verantwortlichen.

Der Entwickler könnte darüber hinaus entweder gemeinsamer Verantwortlicher mit dem Nationalen Öffentlichen Gesundheitszentrum sein oder für dieses als Auftragsverarbeiter gehandelt haben. Hierzu macht der Generalanwalt keine abschließende Aussage, führt jedoch Kriterien für die erforderliche Abgrenzung an. Zur Annahme einer gemeinsamen Verantwortlichkeit betont der GA wiederum die Erforderlichkeit eines „substantive and functional approach“, im Ergebnis somit einer faktischen, nicht bloß formalen Erwägung.

Als nächstes wendet sich der GA der Frage zu, ob eine Bußgeldverhängung nach Art. 83 DSGVO zwingend ein Verschulden voraussetzt. Die rechtliche Argumentation hierzu hängt er insbesondere an der Auslegung des Art. 83 II 2 b) DSGVO auf, welcher ausführt, dass bei Bußgeldern die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ zu berücksichtigen ist. Er meint, daraus könne man, nach vertretbarer Ansicht schließen, dass diese Feststellungen zwar gegebenenfalls Eingang in die Bußgeldentscheidung zu finden haben, aber auch gänzlich ohne Vorsatz oder Fahrlässigkeit ein (wenngleich geringeres) Bußgeld möglich bliebe.




Dieser Ansicht schließt sich der GA jedoch nicht an. Vielmehr führt er eine ganze Reihe von Argumenten an, welche aus seiner Sicht die Position stützen, ein Bußgeld erfordere zwingend auch Verschulden. Unter anderem bringt er an:

  • Zwar sei in Art. 83 II 2 c), e) und k) DSGVO auch ohne Vorliegen der dort beschriebenen Kriterien ein Bußgeld möglich. Dort werde dies jedoch, im Gegensatz zu lit. b, semantisch angezeigt (im Deutschen „jegliche“ bzw. „etwaige“, im Englischen in allen drei Fällen „any“).
  • Im Art. 83 III DSGVO ist die Bußgeldbegrenzung hinsichtlich des Gesamtbetrags bei Verstößen gegen mehrere Bestimmungen nur für den Fall vorsätzlicher oder fahrlässiger Verstöße erwähnt. Wenn aber auch ohne Verschulden ein Bußgeld verhängt werden könne, dann müsse diese Erleichterung erst recht auch für diese Fälle gelten.
  • Außerdem sei ohnehin regelmäßig bei Verstößen auch im Mindestmaß leichte Fahrlässigkeit zu bejahen, weshalb die Ziele der DSGVO im Rahmen der Bußgeldverhängung auch praktisch nicht durch ein entsprechendes Verschuldenserfordernis gefährdet würden.

Schlussendlich wendet er sich der Erörterung der bußgeldlichen Relevanz von DSGVO-Verstößen durch den Auftragsverarbeiter zu. Dabei verweist er auf die Definition des Auftragsverarbeiters im Art. 4 Nr. 8 DSGVO, wo die Rede davon ist, dieser müsse „im Auftrag des Verantwortlichen“ („on behalf oft the controller“) tätig sein. Durch diese Formulierung werde klar, dass solange eine Verarbeitung im Auftrag des Verantwortlichen stattfindet, dieser für dadurch entstandene DSGVO-Verstöße seines Auftragsverarbeiters im Hinblick auf ein Vorgehen der Aufsichtsbehörde haftbar ist. Für Verarbeitungshandlungen, welche über den konkreten Auftrag hinaus gehen bzw. nicht im Einklang mit den rechtmäßigen Weisungen des Verantwortlichen stehen, werde ein Bußgeld für diesen jedoch nicht fällig.

Fazit

An den Begründungen des Generalanwalts zeigt sich einmal mehr, dass der Zuschnitt der DSGVO grundsätzlich nicht formalistisch ist, sondern faktisch einen pragmatischen Blick auf die tatsächlichen Verhältnisse erfordert. Ein Verstecken hinter technischen Konstruktionen oder juristischen Feinsinnigkeiten ist insoweit, mehr noch als in manchen anderen Rechtsbereichen, oft wenig zielführend.

Sollte der EuGH sich dem Generalanwalt im Hinblick auf das Verschuldenserfordernis bei der Bußgeldvergabe anschließen, ergäbe sich daraus, dass die Aufsichtsbehörden in entsprechenden Fällen auch greifbare Überlegungen zum Verschulden anstellen müssten. Insoweit aber in der Tat bei Verstößen gegen die DSGVO sehr häufig wenigstens Fahrlässigkeit zu erwarten sein wird, dürfte eine entsprechende Entscheidung keine übermäßige Entlastung für Unternehmen bedeuten.

Ferner ist an den Erläuterungen zum Auftragsverarbeiter gut zu erkennen, weshalb die Ausgestaltung des Auftrags im Rahmen des gesetzlich nach Art. 28 DSGVO erforderten Auftragsverarbeitungsvertrags auch aus Bußgeldsicht von erheblicher Bedeutung sein kann. Fasst man den Aufgabenbereich zu eng, kann der Auftragsverarbeiter seine Aufgabe nicht erfüllen. Wird er allerdings zu weit oder zu unbestimmt aufgesetzt, erhöht sich auch die Gefahr, dass eine in diesem Rahmen erfolgte rechtswidrige Verarbeitung zu einem Bußgeld für den Verantwortlichen führt. Auch eine fortwährende Kontrolle gegenüber dem Auftragsverarbeiter, um im Zweifelsfall mit konkretisierenden Weisungen einschreiten zu können, wird zur Minimierung entsprechender Risiken weiterhin ratsam bleiben.