Language of document :

Vorabentscheidungsersuchen des Vilniaus apygardos administracinis teismas (Litauen), eingereicht am 12. November 2021 – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija

(Rechtssache C-683/21)

Verfahrenssprache: Litauisch

Vorlegendes Gericht

Vilniaus apygardos administracinis teismas

Parteien des Ausgangsverfahrens

Rechtsmittelführer: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Rechtsmittelgegnerin: Valstybinė duomenų apsaugos inspekcija

Vorlagefragen

Kann der in Art. 4 Nr. 7 der DSGVO1 genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die beabsichtigt, ein Datenerhebungstool (eine mobile Anwendung) im Wege der öffentlichen Auftragsvergabe zu erwerben, ungeachtet der Tatsache, dass kein öffentlicher Auftrag vergeben wurde und das geschaffene Produkt (die mobile Anwendung), für dessen Erwerb ein öffentliches Vergabeverfahren genutzt wurde, nicht übergeben wurde?

Kann der in Art. 4 Nr. 7 DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch ein öffentlicher Auftraggeber als Verantwortlicher anzusehen ist, wenn dieser zwar kein Eigentumsrecht an dem erstellten IT-Produkt erworben und es nicht in Besitz genommen hat, aber in der endgültigen Version der erstellten Anwendung Links oder Schnittstellen zu dieser öffentlichen Einrichtung vorgesehen sind und/oder diese öffentliche Einrichtung in der Datenschutzerklärung, die von ihr nicht offiziell genehmigt oder anerkannt wurde, selbst als Verantwortliche angegeben wurde?

Kann der in Art. 4 Nr. 7 der DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die keine tatsächlichen Datenverarbeitungsvorgänge im Sinne von Art. 4 Nr. 2 der DSGVO durchgeführt hat und/oder keine eindeutige Erlaubnis/Zustimmung zur Durchführung solcher Vorgänge erteilt hat? Ist der Umstand, dass das für die Verarbeitung personenbezogener Daten verwendete IT-Produkt gemäß dem vom öffentlichen Auftraggeber formulierten Auftrag erstellt wurde, für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung?

Sofern die Bestimmung der tatsächlichen Datenverarbeitungsvorgänge für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung ist, ist dann die Definition der „Verarbeitung“ personenbezogener Daten nach Art. 4 Nr. 2 DSGVO dahin auszulegen, dass sie auch Sachverhalte erfasst, in denen Kopien personenbezogener Daten für das Testen von IT-Systemen im Rahmen des Erwerbs einer mobilen Anwendung verwendet wurden?

Kann die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten gemäß Art. 4 Nr. 7 und Art. 26 Abs. 1 der DSGVO ausschließlich dahin ausgelegt werden, dass sie bewusst koordinierte Handlungen in Bezug auf die Festlegung des Zwecks der und der Mittel zur Datenverarbeitung erfasst, oder kann dieser Begriff auch dahin ausgelegt werden, dass die gemeinsame Verantwortlichkeit auch Sachverhalte umfasst, in denen es keine eindeutige „Vereinbarung“ in Bezug auf den Zweck der und die Mittel zur Datenverarbeitung gibt und/oder die Handlungen zwischen den Einrichtungen nicht koordiniert werden? Sind die Umstände in Bezug auf die Phase der Schaffung der Mittel zur Verarbeitung personenbezogener Daten (der IT-Anwendung), in der personenbezogene Daten verarbeitet wurden, und der Zweck der Schaffung der Anwendung rechtlich für die Auslegung des Begriffs der gemeinsamen Verantwortlichkeit für die Daten von Bedeutung? Kann eine „Vereinbarung“ zwischen gemeinsam für die Verarbeitung Verantwortlichen ausschließlich als eine klare und definierte Festlegung von Bedingungen für die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten verstanden werden?

Ist die Bestimmung in Art. 83 Abs. 1 der DSGVO, wonach „Geldbußen … wirksam, verhältnismäßig und abschreckend“ sein müssen, so auszulegen, dass sie auch Fälle der Haftung des „Verantwortlichen“ erfasst, wenn der Entwickler bei der Erstellung eines IT-Produkts auch Handlungen der personenbezogenen Datenverarbeitung durchführt, und führen die vom Auftragsverarbeiter vorgenommenen unzulässigen Verarbeitungen personenbezogener Daten immer automatisch zu einer rechtlichen Haftung des Verantwortlichen? Ist diese Bestimmung dahin auszulegen, dass sie auch Fälle der verschuldensunabhängigen Haftung des für die Verarbeitung Verantwortlichen erfasst?

____________

1     Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).