SCHLUSSANTRÄGE DES GENERALANWALTS
NICHOLAS EMILIOU
vom 4. Mai 2023(1)
Rechtssache C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
gegen
Valstybinė duomenų apsaugos inspekcija,
Beteiligte:
„IT sprendimai sėkmei“ UAB,
Lietuvos Respublikos sveikatos apsaugos ministerija
(Vorabentscheidungsersuchen des Vilniaus apygardos administracinis teismas [Regionalverwaltungsgericht Vilnius, Litauen])
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Entwicklung einer mobilen Anwendung im Zusammenhang mit der Covid‑19-Pandemie – Verantwortung der für die Durchführung des Ausschreibungsverfahrens für den Erwerb der mobilen Anwendung zuständigen Behörde – Art. 4 Nr. 2 – Begriff ‚Verarbeitung‘ – Verwendung personenbezogener Daten in der Testphase einer mobilen Anwendung – Art. 26 Abs. 1 – Gemeinsame Verantwortlichkeit – Art. 83 – Verhängung von Geldbußen – Bedingungen – Voraussetzung eines bewusst oder fahrlässig begangenen Verstoßes – Verantwortlichkeit des Verantwortlichen für die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter“
I. Einleitung
1. Unter welchen Voraussetzungen können in einer Welt, in der personenbezogene Daten zum Druckmittel in der Verhandlungsmasse geworden sind und eine neu entdeckte Goldmine für Unternehmen darstellen, Geldbußen gegen Verantwortliche oder Auftragsverarbeiter für Verstöße gegen die Datenschutzvorschriften der Verordnung (EU) 2016/679(2) verhängt werden? Muss insbesondere ein Element des „Verschuldens“ gegeben sein, um solche Geldbußen gegen sie verhängen zu können? Dies ist die zentrale Frage, die das Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius, Litauen) in der vorliegenden Rechtssache stellt.
2. Der bei diesem Gericht anhängige Rechtsstreit zwischen dem Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (dem Gesundheitsministerium untergeordnetes Nationales Öffentliches Gesundheitszentrum; im Folgenden: NÖGZ) und der Valstybinė duomenų apsaugos inspekcija (Staatliche Datenschutzaufsichtsbehörde, Litauen; im Folgenden: Aufsichtsbehörde) betrifft im Wesentlichen die Rolle, die das NÖGZ bei der Entwicklung und Bereitstellung einer mobilen Anwendung für die Öffentlichkeit gespielt hat, mit der im April und Mai 2020 die personenbezogenen Daten von Personen erhoben wurden, die mit Patienten, die mit Covid‑19 infiziert waren, in Kontakt gestanden hatten.
3. In diesem Zusammenhang gibt die vorliegende Rechtssache dem Gerichtshof Gelegenheit, die Begriffe „Verantwortlicher“, „gemeinsam Verantwortliche“ und „Verarbeitung“ im Sinne der Definition in Art. 4 Nr. 7, Art. 26 Abs. 1 bzw. Art. 4 Nr. 2 DSGVO weiter zu klären und erstmals zu prüfen, ob nach Art. 83 dieser Verordnung eine Geldbuße gegen einen Verantwortlichen verhängt werden kann, der ohne Vorsatz oder Fahrlässigkeit gegen die Vorschriften der DSGVO verstoßen hat. Diese Frage verlangt vom Gerichtshof die Klarstellung, ob nach dieser Bestimmung Geldbußen auch ohne Verschulden, also auf der Grundlage einer verschuldensunabhängigen Haftung, verhängt werden können.
II. Rechtlicher Rahmen
A. Unionsrecht
4. Der 148. Erwägungsgrund der DSGVO lautet:
„Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung … Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls [die] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.“
5. Der 150. Erwägungsgrund dieser Verordnung lautet:
„Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. … Auch wenn die Aufsichtsbehörden bereits Geldbußen verhängt oder eine Verwarnung erteilt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe dieser Verordnung verhängen.“
6. In Art. 4 Nr. 7 DSGVO ist der Begriff „Verantwortlicher“ definiert als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet …“.
7. Art. 26 („Gemeinsam Verantwortliche“) dieser Verordnung bestimmt, soweit hier relevant:
„(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.
…“
8. Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) dieser Verordnung bestimmt:
„(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
…
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
…“
B. Litauisches Recht
9. Art. 72 Abs. 2 des Viešųjų pirkimų įstatymas (Gesetz über das öffentliche Auftragswesen) bestimmt:
„Der öffentliche Auftraggeber führt ein Verhandlungsverfahren ohne Veröffentlichung einer Auftragsbekanntmachung in den folgenden Phasen durch:
(1) schriftliche Aufforderung an die ausgewählten Wirtschaftsteilnehmer zur Abgabe von Angeboten;
(2) Überprüfung, ob Gründe für den Ausschluss von Wirtschaftsteilnehmern gemäß den Auftragsunterlagen vorliegen, und Überprüfung, ob die Wirtschaftsteilnehmer die geforderten Qualifikationsanforderungen und gegebenenfalls die erforderlichen Qualitätssicherungsnormen und/oder Umweltmanagementnormen erfüllen;
(3) Durchführung von Verhandlungen mit den Bietern gemäß dem in Art. 66 dieses Gesetzes festgelegten Verfahren und die Aufforderung an sie, endgültige Angebote abzugeben. Der öffentliche Auftraggeber ist nicht verpflichtet, die Abgabe eines endgültigen Angebots zu verlangen, wenn ein Wirtschaftsteilnehmer am Verhandlungsverfahren ohne Veröffentlichung einer vorherigen Bekanntmachung teilnimmt;
(4) Bewertung der endgültigen Angebote und Bestimmung des erfolgreichen Bewerbers.“
III. Sachverhalt, Ausgangsverfahren und Vorlagefragen
10. Als Reaktion auf die aus der Verbreitung von Covid‑19 entstehende Lage wies der Gesundheitsminister der Republik Litauen (im Folgenden: Gesundheitsminister) mit Entscheidung vom 24. März 2020 den Direktor des NÖGZ an, die Entwicklung und den Erwerb einer mobilen Anwendung, namentlich der Anwendung KARANTINAS, zu organisieren. Mit dieser mobilen Anwendung sollten die personenbezogenen Daten von Personen erhoben und überwacht werden, die mit Patienten, die mit Covid‑19 infiziert waren, in Kontakt gestanden hatten(3).
11. Am 27. März 2020 informierte eine Person, die sich als Vertreter des NÖGZ ausgab, das Unternehmen „IT sprendimai sėkmei“ UAB (im Folgenden: ITSS) darüber, dass es als Entwicklerin der Anwendung KARANTINAS ausgewählt worden sei. Zwischen ITSS und dieser Person sowie zwischen ITSS und mehreren Mitarbeitern und dem Direktor des NÖGZ wurden E‑Mails über die Entwicklung dieser mobilen Anwendung ausgetauscht. In dieser Phase wurde auch eine Datenschutzerklärung ausgearbeitet, in der sowohl ITSS als auch das NÖGZ als Verantwortliche genannt wurden.
12. Die schließlich entwickelte mobile Anwendung wurde der Öffentlichkeit am 4. April 2020 zum Download aus dem Google Play Store und am 6. April 2020 zum Download aus dem Apple App Store zur Verfügung gestellt. In der der Öffentlichkeit zum Download zur Verfügung gestellten Version der Anwendung KARANTINAS wurden erneut sowohl ITSS als auch das NÖGZ als Verantwortliche genannt. Zu diesem Zeitpunkt hatte das NÖGZ diese mobile Anwendung noch nicht erworben.
13. Mit Entscheidung vom 10. April 2020 wies der Gesundheitsminister den Direktor des NÖGZ an, den Erwerb der Anwendung KARANTINAS nach Art. 72 Abs. 2 des Gesetzes über das öffentliche Auftragswesen im Wege eines Verhandlungsverfahrens ohne Veröffentlichung einer Auftragsbekanntmachung vorzunehmen.
14. Dieses Verfahren wurde eröffnet, aber vom NÖGZ beendet, da es die nötigen Mittel nicht erhalten hatte. Es kam somit nicht zum Abschluss eines öffentlichen Kaufvertrags. Die Anwendung KARANTINAS war jedoch für die Öffentlichkeit weiterhin zum Download verfügbar.
15. Das NÖGZ forderte ITSS am 15. Mai 2020 auf, in der mobilen Anwendung keine Angaben zum NÖGZ zu verwenden und keine Links zum NÖGZ zu setzen. Am 18. Mai 2020 leitete die Aufsichtsbehörde eine Untersuchung sowohl gegen ITSS als auch gegen das NÖGZ wegen Verstoßes gegen die Vorschriften der DSGVO ein. Auf Anordnung der Aufsichtsbehörde wurde der Betrieb der Anwendung KARANTINAS am 26. Mai 2020 ausgesetzt. Nach Angaben von ITSS hatten vom 4. April bis 26. Mai 2020 3 802 Nutzer ihre personenbezogenen Daten über die Anwendung bereitgestellt.
16. Mit Beschluss vom 24. Februar 2021 verhängte die Aufsichtsbehörde Geldbußen gegen das NÖGZ und gegen ITSS als gemeinsam Verantwortliche wegen Verstoßes gegen die Art. 5, 13, 24, 32 und 35 DSGVO(4).
17. Gegen diesen Beschluss hat das NÖGZ beim Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius) Klage erhoben. Dieses Gericht hält im Wesentlichen für klärungsbedürftig, ob der Begriff „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO weit auszulegen ist und darunter insoweit jede natürliche oder juristische Person oder Stelle wie das NÖGZ zu verstehen ist, die zwar nicht Entwickler einer mobilen Anwendung ist, aber mit Blick auf den beabsichtigten Erwerb dieser mobilen Anwendung im Wege eines Ausschreibungsverfahrens „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ entschieden hat, oder ob dieser Begriff enger auszulegen ist und insoweit das Verfahren zur Vergabe öffentlicher Aufträge und sein Ergebnis zu berücksichtigen sind.
18. Es hält insbesondere für klärungsbedürftig, ob es hierbei darauf ankommt, dass das Ausschreibungsverfahren schließlich eingestellt wurde und es niemals zu einem Erwerb der Anwendung KARANTINAS durch das NÖGZ kam. Es hält ferner für klärungsbedürftig, ob für diese Beurteilung von Bedeutung ist, dass das NÖGZ der Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit nicht offiziell zugestimmt oder diese offiziell genehmigt hat.
19. Weiterhin fragt es nach dem Verhältnis zwischen dem NÖGZ und ITSS. Insoweit hält es für klärungsbedürftig, unter welchen Umständen diese Einrichtung und dieses Unternehmen als „gemeinsam Verantwortliche“ im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO anzusehen sind. Hilfsweise möchte es für den Fall, dass das NÖGZ und ITSS nicht als „gemeinsam Verantwortliche“, sondern als „Verantwortlicher“ bzw. „Auftragsverarbeiter“(5) im Sinne der DSGVO anzusehen sein sollten, wissen, wann das Handeln von ITSS eine Haftung des NÖGZ nach sich ziehen kann. Insoweit hält es für klärungsbedürftig, ob Art. 83 DSGVO dahin auszulegen ist, dass gegen einen Verantwortlichen wie das NÖGZ, der selbst weder vorsätzlich noch fahrlässig gegen diese Verordnung verstoßen hat, eine Geldbuße verhängt werden kann.
20. Vor diesem Hintergrund hat das Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Kann der in Art. 4 Nr. 7 DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die beabsichtigt, ein Datenerhebungstool (eine mobile Anwendung) im Wege der öffentlichen Auftragsvergabe zu erwerben, ungeachtet der Tatsache, dass kein öffentlicher Auftrag vergeben wurde und das geschaffene Produkt (die mobile Anwendung), für dessen Erwerb ein öffentliches Vergabeverfahren genutzt wurde, nicht übergeben wurde?
2. Kann der in Art. 4 Nr. 7 DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch ein öffentlicher Auftraggeber als Verantwortlicher anzusehen ist, wenn dieser zwar kein Eigentumsrecht an dem erstellten IT‑Produkt erworben und es nicht in Besitz genommen hat, aber in der endgültigen Version der erstellten Anwendung Links oder Schnittstellen zu dieser öffentlichen Einrichtung vorgesehen sind und/oder diese öffentliche Einrichtung in der Datenschutzerklärung, die von ihr nicht offiziell genehmigt oder anerkannt wurde, selbst als Verantwortliche angegeben wurde?
3. Kann der in Art. 4 Nr. 7 DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die keine tatsächlichen Datenverarbeitungsvorgänge im Sinne von Art. 4 Nr. 2 DSGVO durchgeführt hat und/oder keine eindeutige Erlaubnis/Zustimmung zur Durchführung solcher Vorgänge erteilt hat? Ist der Umstand, dass das für die Verarbeitung personenbezogener Daten verwendete IT‑Produkt gemäß dem vom öffentlichen Auftraggeber formulierten Auftrag erstellt wurde, für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung?
4. Sofern die Bestimmung der tatsächlichen Datenverarbeitungsvorgänge für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung ist, ist dann die Definition der „Verarbeitung“ personenbezogener Daten nach Art. 4 Nr. 2 DSGVO dahin auszulegen, dass sie auch Sachverhalte erfasst, in denen Kopien personenbezogener Daten für das Testen von IT‑Systemen im Rahmen des Erwerbs einer mobilen Anwendung verwendet wurden?
5. Kann die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten gemäß Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO ausschließlich dahin ausgelegt werden, dass sie bewusst koordinierte Handlungen in Bezug auf die Festlegung des Zwecks der und der Mittel zur Datenverarbeitung erfasst, oder kann dieser Begriff auch dahin ausgelegt werden, dass die gemeinsame Verantwortlichkeit auch Sachverhalte umfasst, in denen es keine eindeutige „Vereinbarung“ in Bezug auf den Zweck der und die Mittel zur Datenverarbeitung gibt und/oder die Handlungen zwischen den Einrichtungen nicht koordiniert werden? Sind die Umstände in Bezug auf die Phase der Schaffung der Mittel zur Verarbeitung personenbezogener Daten (der IT‑Anwendung), in der personenbezogene Daten verarbeitet wurden, und der Zweck der Schaffung der Anwendung rechtlich für die Auslegung des Begriffs der gemeinsamen Verantwortlichkeit für die Daten von Bedeutung? Kann eine „Vereinbarung“ zwischen gemeinsam für die Verarbeitung Verantwortlichen ausschließlich als eine klare und definierte Festlegung von Bedingungen für die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten verstanden werden?
6. Ist die Bestimmung in Art. 83 Abs. 1 DSGVO, wonach „Geldbußen … wirksam, verhältnismäßig und abschreckend“ sein müssen, so auszulegen, dass sie auch Fälle der Haftung des „Verantwortlichen“ erfasst, wenn der Entwickler bei der Erstellung eines IT‑Produkts auch Handlungen der personenbezogenen Datenverarbeitung durchführt, und führen die vom Auftragsverarbeiter vorgenommenen unzulässigen Verarbeitungen personenbezogener Daten immer automatisch zu einer rechtlichen Haftung des Verantwortlichen? Ist diese Bestimmung dahin auszulegen, dass sie auch Fälle der verschuldensunabhängigen Haftung des für die Verarbeitung Verantwortlichen erfasst?
21. Das Vorabentscheidungsersuchen vom 22. Oktober 2021 ist am 12. November 2021 beim Gerichtshof eingegangen. Das NÖGZ, die Aufsichtsbehörde, die litauische Regierung und die Europäische Kommission haben schriftliche Erklärungen eingereicht.
22. Die litauische und die niederländische Regierung sowie die Kommission und der Rat waren in der mündlichen Verhandlung vom 17. Januar 2023 vertreten.
IV. Würdigung
23. Während der Corona-Pandemie wurden der Öffentlichkeit in vielen Mitgliedstaaten mobile Anwendungen zum Download zur Verfügung gestellt, mit denen eine Nach- oder Rückverfolgung von Personen, die mit dem Virus infiziert waren und/oder mit einer infizierten Person in Kontakt gestanden hatten, ermöglicht werden sollte. Diese mobilen Anwendungen wurden in dem Bestreben entwickelt, auf die eintretende Notlage zu reagieren, oft unter Beteiligung verschiedener öffentlicher und privater Akteure (wie beispielsweise Ministerien und anderer öffentlicher Einrichtungen sowie privater Unternehmen). Die Nutzer waren verpflichtet, ihre personenbezogenen Daten, insbesondere ihre Gesundheitsdaten, in diese mobilen Anwendungen hochzuladen(6).
24. Das Ausgangsverfahren betrifft eine ebensolche mobile Anwendung, nämlich die Anwendung KARANTINAS, die von ITSS (einem privaten Unternehmen) auf Initiative des NÖGZ (einer Behörde) im Anschluss an eine Entscheidung des Gesundheitsministers entwickelt wurde. Weder den Angaben, die den Akten zu entnehmen sind, noch denjenigen in der mündlichen Verhandlung ist eindeutig zu entnehmen, ob und gegebenenfalls welche weiteren öffentlichen Einrichtungen Litauens an der Entwicklung der Anwendung beteiligt waren(7). Es bestehen ferner Zweifel, ob in dem Zeitraum, in dem die Verarbeitung personenbezogener Daten erfolgte (April und Mai 2020), eine Zustimmung des NÖGZ dazu vorlag, die Anwendung KARANTINAS der Öffentlichkeit zur Verfügung zu stellen. Im Rahmen der dem Gerichtshof vorgelegten Fragen hat das Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius) jedoch folgende Umstände als relevant angesehen:
– Das NÖGZ hatte einen Erwerb der Anwendung KARANTINAS nach Art. 72 Abs. 2 des Gesetzes über das öffentliche Auftragswesen geplant, das Verfahren wurde jedoch nie abgeschlossen und der Erwerb kam nie zustande. Es kam daher nie zu einer Übertragung des Eigentums an der Anwendung KARANTINAS von ITSS auf das NÖGZ.
– In der der Öffentlichkeit zugänglich gemachten Datenschutzerklärung der Anwendung KARANTINAS wurde das NÖGZ als Verantwortliche genannt. Auch waren Links zum NÖGZ in der letzten Version der Anwendung enthalten, die von diesem allerdings nie offiziell genehmigt wurde.
– Das NÖGZ hat nie selbst personenbezogene Daten verarbeitet und auch den durchgeführten Verarbeitungsvorgängen nicht formal zugestimmt, sondern vielmehr Anweisungen zur Entwicklung der Anwendung KARANTINAS erteilt, die von ITSS befolgt wurden.
– ITSS und das NÖGZ haben keine formale Vereinbarung über die Zwecke und Mittel der erfolgten Verarbeitung personenbezogener Daten getroffen.
25. Dies ist der Hintergrund der dem Gerichtshof vorgelegten Fragen nach der Auslegung verschiedener Bestimmungen der DSGVO. Die ersten drei Fragen und die fünfte Frage sind auf die Auslegung des Begriffs „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 dieser Verordnung gerichtet und erfordern eine Klärung der Voraussetzungen, unter denen zwei oder mehr Akteure als „gemeinsam Verantwortliche“ nach dieser Bestimmung und Art. 26 Abs. 1 dieser Verordnung angesehen werden können. Ich werde zunächst diese Fragen zusammen prüfen (A) und anschließend auf die vierte Frage eingehen, die den Begriff „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO und seine Anwendung im Kontext der Testphase einer mobilen Anwendung betrifft (B)(8). Sodann werde ich die im Mittelpunkt der vorliegenden Rechtssache stehende Frage erörtern, nämlich die sechste Frage, die insofern übergreifenden Charakter hat, als sie die Bedingungen betrifft, unter denen nach Art. 83 DSGVO Geldbußen gegen Verantwortliche verhängt werden können (C).
A. Begriff „Verantwortlicher“ und Fälle einer gemeinsamen Verantwortlichkeit (Fragen 1 bis 3 und 5)
26. Mit den ersten drei Fragen möchte das vorlegende Gericht im Wesentlichen wissen, ob aufgrund der oben in Nr. 24 näher dargestellten Umstände eine Einrichtung wie das NÖGZ als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO anzusehen ist. Mit der fünften Frage ersucht das vorlegende Gericht ferner um Klärung, ob unter diesen Umständen zwei Akteure wie das NÖGZ und ITSS als „gemeinsam Verantwortliche“ nach dieser Bestimmung und Art. 26 Abs. 1 dieser Verordnung anzusehen sind, auch wenn sie keine formale Vereinbarung über die Zwecke und Mittel der Verarbeitung getroffen und/oder ihr Handeln nicht anderweitig koordiniert haben.
1. Was ist ein Verantwortlicher? (Fragen 1 bis 3)
27. In Art. 4 Nr. 7 DSGVO ist ein Verantwortlicher, wie bereits erwähnt, definiert als die Person oder Einrichtung, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Einfach ausgedrückt, muss ein Verantwortlicher die personenbezogenen Daten nicht selbst verarbeiten, sondern vielmehr über das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge entscheiden(9). Der Gerichtshof hat hierzu dahin Stellung genommen, dass dieses Kriterium nur erfüllt ist, wenn eine Person oder Einrichtung tatsächlich „auf die Verarbeitung personenbezogener Daten Einfluss [nimmt]“(10). Die Entscheidung über die Zwecke und Mittel der Verarbeitung muss jedoch nicht mittels schriftlicher Anleitungen oder Anweisungen seitens des für die Verarbeitung Verantwortlichen erfolgen(11). Für Art. 4 Nr. 7 DSGVO ist vielmehr eine tatsächliche und nicht eine formale Betrachtung maßgebend.
28. Insoweit soll nach Ansicht des Europäischen Datenschutzausschusses (EDSA) die Eigenschaft eines „Verantwortlichen“ nicht davon abhängen, ob eine durch Gesetz übertragene konkrete Zuständigkeit oder Befugnis in Bezug auf die Verantwortlichkeit für Daten vorliegt. Die Möglichkeit, über die Zwecke und Mittel der Verarbeitung zu entscheiden, hängt nämlich vor allem von der sich aus den tatsächlichen Umständen ergebenden Einflussnahme ab. Eine Einrichtung, die tatsächlich in der Lage ist, über die Zwecke und Mittel der Verarbeitung zu entscheiden, ist somit unabhängig davon als „Verantwortlicher“ anzusehen, ob sie (durch Gesetz, durch Vertrag oder in sonstiger Weise) formal hierzu bestimmt worden ist(12).
29. Nach diesen Klarstellungen ist festzustellen, dass mehrere der vom vorlegenden Gericht im Rahmen der ersten drei Fragen genannten Umstände rein formaler Art sind; dies gilt beispielsweise dafür, dass die Anwendung KARANTINAS rechtlich nicht im Eigentum des NÖGZ steht oder dass das Verfahren zum Erwerb dieser mobilen Anwendung nie abgeschlossen wurde oder dass das NÖGZ ganz allgemein die Anwendung für die Öffentlichkeit nicht offiziell freigegeben oder die letzte Version der Anwendung nicht genehmigt hat. Meines Erachtens kann keiner dieser Umstände für sich genommen der Feststellung entgegenstehen, dass das NÖGZ im Kontext des Ausgangsverfahrens als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO gehandelt hat. Sie sind nämlich nicht ausreichend, um die Schlussfolgerung auszuschließen, dass das NÖGZ tatsächlich in der Lage war, über die Zwecke und Mittel der erfolgten Verarbeitung personenbezogener Daten zu entscheiden. Auf der anderen Seite dürfte meines Erachtens der Umstand, dass das NÖGZ in der Datenschutzerklärung der der Öffentlichkeit zum Download zur Verfügung gestellten Version der Anwendung KARANTINAS als Verantwortlicher genannt wurde oder dass in dieser Version der mobilen Anwendung Links zu dieser Einrichtung enthalten waren, für die Frage des von dieser Einrichtung tatsächlich ausgeübten Einflusses relevant, wenngleich nicht allein maßgebend, sein.
30. Dagegen reichen die dem vorlegenden Gericht vorliegenden Nachweise dafür, dass das NÖGZ über die Frage, welche Art personenbezogener Daten von welchen betroffenen Personen durch die Anwendung KARANTINAS erhoben werden sollten, und/oder über andere wesentliche Aspekte der Verarbeitung entschieden hat, meines Erachtens für die Feststellung aus, dass diese Einrichtung über die „Mittel“ der Verarbeitung entschieden hat. Ebenso reicht meines Erachtens der Umstand, dass die Anwendung KARANTINAS zur Erreichung des vom NÖGZ festgelegten Ziels erstellt wurde, auf die Covid‑19-Pandemie zu reagieren, und dass ihre Funktionsweise von ITSS regelmäßig geändert wurde, um auf den vom NÖGZ bestimmten Bedarf im Einklang mit den von dieser Einrichtung erteilten Anweisungen zu reagieren, für die Schlussfolgerung aus, dass diese Einrichtung über die „Zwecke“ dieser Verarbeitung entschieden hat.
31. Allerdings dürfte das vorlegende Gericht für die Feststellung, ob eine Einrichtung wie das NÖGZ als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann, meines Erachtens auch zu prüfen haben, ob ungeachtet des Einflusses, den das NÖGZ in der Phase der Entwicklung der Anwendung KARANTINAS ausübte, die Entscheidung, diese mobile Anwendung der Öffentlichkeit zur Verfügung zu stellen und damit eine Verarbeitung personenbezogener Daten vorzunehmen, tatsächlich mit der (ausdrücklichen oder stillschweigenden) Zustimmung dieser Einrichtung getroffen wurde (auch wenn diese Zustimmung nicht offiziell oder formal erteilt wurde).
32. Nach der Definition des Begriffs „Verantwortlicher“ in Art. 4 Nr. 7 DSGVO muss der Einfluss, der von einem Verantwortlichen ausgeübt wird, sich nämlich eindeutig auf die Verarbeitung personenbezogener Daten selbst und nicht lediglich auf eine Vorstufe beziehen. Eine natürliche oder juristische Person oder Einrichtung wird nicht schon dadurch zum „Verantwortlichen“, dass sie die Entwicklung einer mobilen Anwendung veranlasst oder die Parameter dieser Anwendung (oder eines anderen Instruments zur Datenerhebung) definiert. Ihr Handeln muss mit der Verarbeitung personenbezogener Daten tatsächlich im Zusammenhang stehen; sie muss daher der Verwendung des für die Vornahme dieser Verarbeitung relevanten Instruments ausdrücklich oder stillschweigend zugestimmt haben.
33. Dieses Erfordernis hat der Gerichtshof im Urteil Fashion ID(13) bekräftigt, in dem er ausdrücklich feststellte, dass die Verantwortlichkeit eines Verantwortlichen auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt ist, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet(14). Die Entscheidung über die Zwecke und Mittel muss sich also unmittelbar auf den betreffenden Vorgang oder die betreffenden Vorgänge der Datenverarbeitung beziehen.
34. Aus diesen Feststellungen folgt meines Erachtens, dass eine Einrichtung wie das NÖGZ, die die Entwicklung einer mobilen Anwendung veranlasst, nur dann als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann, wenn genügend Gesichtspunkte tatsächlicher und nicht lediglich formaler Art vorliegen, die den nationalen Gerichten die Schlussfolgerung erlauben, dass diese Einrichtung auf die „Zwecke und Mittel“ dieser Verarbeitung tatsächlich Einfluss ausgeübt hat und auch der Freigabe der mobilen Anwendung für die Öffentlichkeit und damit der Verarbeitung der personenbezogenen Daten tatsächlich zugestimmt hat. Vorbehaltlich entsprechender, vom vorlegenden Gericht zu treffender Feststellungen, sind diese Anforderungen im Fall des NÖGZ meines Erachtens erfüllt.
2. Wann können zwei Akteure als gemeinsam Verantwortliche angesehen werden? (Frage 5)
35. Die fünfte Frage betrifft die Voraussetzungen, unter denen zwei (oder mehr) Akteure als gemeinsam Verantwortliche angesehen werden können. Ich gehe davon aus, dass das vorlegende Gericht um Klärung der Auslegung dieses Begriffs ersucht, weil es im Fall des Ausgangsverfahrens in Betracht zieht, dass das NÖGZ und ITSS als „gemeinsam Verantwortliche“ anzusehen sein könnten, so dass sie eine gesamtschuldnerische Haftung für den verursachten Schaden treffen könnte(15) und/oder gegen sie eine gemeinsame Geldbuße für die Verstöße gegen die Datenschutzvorschriften verhängt werden könnte, die durch die Bereitstellung der Anwendung KARANTINAS zum Download für die Öffentlichkeit eingetreten sind. Insoweit ist meines Erachtens darauf hinzuweisen, dass, wie oben in Nr. 16 ausgeführt, von der Aufsichtsbehörde in der Tat gegenüber dieser Einrichtung und diesem Unternehmen beiderseits eine Verantwortlichkeit für als gemeinsam Verantwortliche begangene Verstöße festgestellt wurde und derentwegen nach Art. 83 DSGVO Geldbußen gegen sie verhängt wurden.
36. Nach Art. 26 Abs. 1 DSGVO sind „gemeinsam Verantwortliche“ gegeben, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Jeder gemeinsam Verantwortliche muss daher die Kriterien der Definition des „Verantwortlichen“ in Art. 4 Nr. 7 dieser Verordnung eigenständig erfüllen(16). Ferner müssen die gemeinsam Verantwortlichen in einer gewissen Form von Verhältnis zueinander stehen, da ihr Einfluss auf die Verarbeitung gemeinsam ausgeübt werden muss.
37. Der Gerichtshof hat festgestellt, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit oder Beteiligung der verschiedenen Personen oder Einrichtungen zur Folge haben muss. Vielmehr können gemeinsam Verantwortliche in die Verarbeitung in verschiedenen Phasen in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist(17). Außerdem setzt die gemeinsame Verantwortlichkeit mehrerer Einrichtungen für dieselbe Verarbeitung nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat(18). Maßgebend ist jedoch, dass sie an der Entscheidung über die „Zwecke und Mittel“ der Verarbeitung gemeinsam beteiligt sind.
38. Insoweit kann den Leitlinien 07/2020 zufolge eine solche gemeinsame Beteiligung verschiedene Formen annehmen. Sie kann sich aus einer von zwei oder mehr Stellen getroffenen gemeinsamen Entscheidung oder lediglich aus konvergierenden Entscheidungen dieser Stellen ergeben. Im letzteren Fall kommt es lediglich darauf an, dass die Entscheidungen einander ergänzen und für die Verarbeitung in einer Weise erforderlich sind, dass sie einen spürbaren Einfluss auf die Bestimmung der Zwecke und Mittel der Verarbeitung nehmen; dies bedeutet im Wesentlichen, dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre(19).
39. Vor diesem Hintergrund möchte das vorlegende Gericht geklärt wissen, ob der Umstand, dass zwei Verantwortliche (vorliegend das NÖGZ und ITSS) keine formale Vereinbarung über die Zwecke und Mittel der Verarbeitung getroffen und/oder ihr Handeln offenbar nicht anderweitig koordiniert haben, ihrer Einstufung als „gemeinsam Verantwortliche“ entgegensteht.
40. Nach meinem Verständnis ergeben sich die Zweifel, die das vorlegende Gericht in dieser Hinsicht hat, daraus, dass gemeinsam Verantwortliche nach Art. 26 Abs. 1 DSGVO in einer Vereinbarung in transparenter Form festlegen müssen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt. Außerdem bedarf es nach dem 79. Erwägungsgrund dieser Verordnung einer „klaren Zuteilung der Verantwortlichkeiten“, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und ‑mittel gemeinsam mit anderen Verantwortlichen festlegt. Diese Pflichten und Anforderungen gelten für gemeinsam Verantwortliche meines Erachtens jedoch erst dann, wenn feststeht, dass sie als solche angesehen werden können. Sie gehören nicht zu den Kriterien, die erfüllt sein müssen, damit sie als solche eingestuft werden können.
41. Wie oben in Nr. 36 ausgeführt, hängt die gemeinsame Verantwortlichkeit nur von zwei objektiven Voraussetzungen ab. Erstens muss jeder gemeinsam Verantwortliche die Kriterien der Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO erfüllen. Die Akten enthalten keine hinreichenden Angaben, um Feststellungen dazu zu treffen, ob ITSS im Fall des Ausgangsverfahrens als „Verantwortliche“ im Sinne dieser Vorschrift anzusehen ist. Aus den von mir im vorstehenden Abschnitt getroffenen Feststellungen dürfte sich jedoch meines Erachtens, vorbehaltlich entsprechender, vom vorlegenden Gericht zu treffender Feststellungen, ergeben, dass zumindest das NÖGZ, wenn nicht sowohl die letztere Einrichtung als auch ITSS, die Voraussetzungen dafür erfüllt, als „Verantwortlicher“ im Sinne dieser Vorschrift angesehen zu werden. Zweitens muss der Einfluss der Verantwortlichen auf die Verarbeitung gemeinsam ausgeübt werden (d. h. er muss im Einklang mit den rechtlichen Kriterien und der Rechtsprechung ausgeübt werden, die oben in den Nrn. 37 und 38 angeführt sind). Insoweit habe ich erläutert, dass eine gemeinsame Beteiligung an der Verarbeitung in verschiedenen Formen gegeben sein kann und sich nicht einmal aus einer gemeinsamen Entscheidung der beteiligten Parteien ergeben muss. Somit gilt der inhalts- und funktionsbezogene Ansatz, der der Feststellung zugrunde zu legen ist, ob eine Person oder Einrichtung als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO anzusehen ist, meines Erachtens auch für die gemeinsame Verantwortlichkeit(20).
42. Aufgrund dieser Gesichtspunkte kann meines Erachtens erstens der Umstand, dass zwischen zwei oder mehr Verantwortlichen, wie dem NÖGZ und ITSS, kein Vertrag oder keine Vereinbarung geschlossen oder nicht einmal eine gemeinsame Entscheidung getroffen wurde, für sich genommen der Feststellung nicht entgegenstehen, dass es sich bei ihnen um „gemeinsam Verantwortliche“ im Sinne von Art. 4 Nr. 7 in Verbindung mit Art. 26 Abs. 1 DSGVO handelt. Hinzuzufügen ist insoweit, dass nach Ansicht des Europäischen Datenschutzausschusses (EDSA) für die Beurteilung des Vorliegens einer gemeinsamen Verantwortlichkeit zwar das Vorliegen vertraglicher Vereinbarungen von Bedeutung sein kann, dies jedoch stets anhand der tatsächlichen Umstände der Beziehungen zwischen den Parteien zu überprüfen ist(21).
43. Zweitens dürfte meines Erachtens allein aus dem Umstand, dass das NÖGZ und ITSS nicht nur keinen Vertrag oder keine Vereinbarung geschlossen oder keine gemeinsame Entscheidung getroffen haben, sondern offenbar auch ihr Handeln nicht koordiniert oder anderweitig miteinander kooperiert haben, nicht folgen, dass sie nicht als „gemeinsam Verantwortliche“ angesehen werden könnten. Denn selbst wenn eine solche Koordinierung oder Kooperation gegeben ist, ist sie für die Frage, ob das Verhältnis zwischen diesen beiden Akteuren seiner Art nach ein solches einer gemeinsamen Verantwortlichkeit ist, unerheblich. Man kann sich nämlich leicht vorstellen, dass eine Kooperation oder Koordinierung zwischen zwei oder mehr Akteuren bestehen könnte, ohne dass es sich bei ihnen überhaupt um gemeinsam Verantwortliche handelt. Beispielsweise könnten zwei verschiedene Verantwortliche ihr Handeln koordinieren oder miteinander kooperieren, weil sie beabsichtigen, einander personenbezogene Daten zu übermitteln. Hierdurch würden sie jedoch nicht zu „gemeinsam Verantwortlichen“ im Sinne von Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO werden(22). Maßgebend ist, wie oben in Nr. 38 erläutert, dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre, weil beide spürbaren Einfluss auf die Entscheidung über die Zwecke und Mittel dieser Verarbeitung haben.
3. Ergebnis zur Auslegung des Begriffs „Verantwortlicher“ und zu Fällen einer gemeinsamen Verantwortlichkeit
44. Aufgrund der vorstehenden Erwägungen dürfte meines Erachtens zum einen, vorbehaltlich entsprechender, vom vorlegenden Gericht zu treffender Feststellungen, eine Einrichtung wie das NÖGZ die in Art. 4 Nr. 7 DSGVO aufgeführten Voraussetzungen dafür erfüllen, als „Verantwortlicher“ angesehen zu werden. Ob zum anderen das NÖGZ und ITSS im Einklang mit den von mir im vorstehenden Abschnitt dargestellten Kriterien als „gemeinsam Verantwortliche“ angesehen werden können oder ob sie als „Verantwortlicher“ bzw. als „Auftragsverarbeiter“ einzustufen sind, hängt von der Art ihres Verhältnisses ab; die Beurteilung dieser Frage ist Sache des vorlegenden Gerichts.
45. Hinzuzufügen ist insoweit, dass die Art des Verhältnisses zwischen dem NÖGZ und ITSS (nämlich ob sie „gemeinsam Verantwortliche“ oder „Verantwortlicher“ bzw. „Auftragsverarbeiter“ sind) für die sechste Frage relevant ist. Auf die von mir zur fünften Frage getroffen Feststellungen werde ich daher bei der der Erörterung der sich im Rahmen der sechsten Frage stellenden Fragen zurückkommen.
B. Begriff „Verarbeitung“ (Frage 4)
46. Mit der vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Definition der „Verarbeitung“ in Art. 4 Nr. 2 DSGVO den Sachverhalt erfasst, dass personenbezogene Daten in der Testphase einer mobilen Anwendung verwendet werden(23). Dem Vorabentscheidungsersuchen ist meines Erachtens zu entnehmen, dass die Anwendung KARANTINAS eine Testphase durchlief, bevor sie der Öffentlichkeit zum Download zur Verfügung gestellt wurde. Nach meinem Verständnis betrifft die vierte Frage somit einen Sachverhalt, der sich von demjenigen unterscheidet, der im Mittelpunkt der anderen, dem Gerichtshof vorgelegten Fragen steht, die sich sämtlich auf die Verarbeitung personenbezogener Daten nach Ablauf der Testphase beziehen, als die Anwendung KARANTINAS für die Öffentlichkeit freigegeben wurde. Konkret möchte das vorlegende Gericht wissen, ob die Verwendung personenbezogener Daten in dieser Testphase als „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO einzustufen ist und somit eine mögliche Verantwortlichkeit der beteiligten Verantwortlichen und/oder Auftragsverarbeiter nach sich ziehen kann.
47. Art. 4 Nr. 2 DSGVO definiert „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten …“(24).
48. Ich verstehe diesen Wortlaut (insbesondere die Verwendung des Wortes „jeden/jede“ sowie allgemeiner Begriffe wie „Vorgang“ oder „Vorgänge“) dahin, dass diese Vorschrift weit zu verstehen ist und viele mögliche Sachverhalte erfassen soll, in denen personenbezogene Daten verwendet werden. Die in dieser Bestimmung angeführte nicht abschließende Aufzählung solcher Sachverhalte bestätigt diese Auslegung durch die große Bandbreite der dort genannten Vorgänge(25).
49. Außerdem steht, wie sich aus dem vorstehenden Abschnitt ergibt, zwar die Definition des „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 dieser Verordnung mit den Zwecken der Verarbeitung personenbezogener Daten in engem Zusammenhang (also mit den Gründen, „warum“ personenbezogene Daten erhoben werden), für die Definition in Art. 4 Nr. 2 der Verordnung gilt dies jedoch nicht. Die Gründe, aus denen ein Vorgang oder Vorgänge durchgeführt werden, sind somit grundsätzlich unerheblich dafür, ob sie als „Verarbeitung“ im Sinne dieser Bestimmung einzustufen sind. Daraus folgt meines Erachtens, dass die Frage, ob personenbezogene Daten dazu erhoben werden, die in einer mobilen Anwendung integrierten IT‑Systeme zu testen, oder ob dies zu einem anderen Zweck erfolgt, für die Frage der Einstufung des betreffenden Vorgangs als „Verarbeitung“ ohne Bedeutung ist.
50. Insoweit ist weiter darauf hinzuweisen, dass die „Verwendung“ personenbezogener Daten (ohne weitere Angabe und damit unabhängig vom Zweck der Verwendung) als einer der Vorgänge aufgeführt ist, die eine „Verarbeitung“ darstellen(26). Ferner enthält Art. 4 Nr. 2 DSGVO keinerlei ausdrückliche Ausnahme, Abweichung oder ausdrücklichen Ausschluss für Vorgänge im Zusammenhang mit der Verwendung personenbezogener Daten zum Testen von IT‑Systemen. Folglich steht einer Einstufung der Verwendung personenbezogener Daten zur Durchführung solcher Tests als „Verarbeitung“ im Sinne dieser Bestimmung nichts entgegen, ganz im Gegenteil.
51. Aufgrund dieser Gesichtspunkte erfasst die Definition der „Verarbeitung“ in Art. 4 Nr. 2 DSGVO meines Erachtens den Sachverhalt, dass personenbezogene Daten in der Testphase einer mobilen Anwendung verwendet werden.
52. Diesem Ergebnis kann auch nicht allein der Umstand entgegenstehen, dass die personenbezogenen Daten, die zu Zwecken des Testens der in einer mobilen Anwendung integrierten IT‑Systeme bereitgestellt werden, einer Pseudonymisierung unterzogen wurden(27). Der einzige Fall, in dem die DSGVO keine Anwendung finden würde, wäre derjenige, dass es sich bei den in die mobile Anwendung übermittelten Informationen ausschließlich um anonyme Informationen handeln würde, die „sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen“, oder um personenbezogene Daten, die „in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Den Angaben in den Akten zufolge handelte es sich jedoch im Fall des Ausgangsverfahrens bei den Daten, die für die Testphase verwendet wurden, offenbar nicht um derartige anonymisierte Daten(28).
53. Aufgrund der vorstehenden Erwägungen erfasst die Definition der „Verarbeitung“ in Art. 4 Nr. 2 DSGVO meines Erachtens den Sachverhalt, dass personenbezogene Daten in der Testphase einer mobilen Anwendung verwendet werden, sofern nicht diese Daten in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Ob personenbezogene Daten dazu erhoben werden, die in einer mobilen Anwendung integrierten IT‑Systeme zu testen, oder ob dies zu einem anderen Zweck erfolgt, ist für die Frage der Einstufung des betreffenden Vorgangs als „Verarbeitung“ ohne Bedeutung(29).
54. Nach diesen Klarstellungen werde ich nun zu der zentralen Frage der vorliegenden Rechtssache kommen, die die Bedingungen betrifft, unter denen nach Art. 83 DSGVO gegen einen Verantwortlichen oder Auftragsverarbeiter eine Geldbuße verhängt werden kann.
C. Geldbußen nach Art. 83 DSGVO (Frage 6)
55. Vor Erlass der DSGVO waren Sanktionen für Verstöße gegen die Datenschutzvorschriften weitgehend in das Ermessen der Mitgliedstaaten im Rahmen ihrer Verfahrens- und Rechtsbehelfsautonomie gestellt(30). Die mit Art. 83 dieser Verordnung eingeführten Geldbußen sind daher eine relativ neue „Entwicklung“ im Datenschutzrecht der Union. Von der Artikel‑29-Datenschutzgruppe sind sie als „zentraler Aspekt der … neuen Durchsetzungsbestimmungen“ bezeichnet worden(31). Diese Bestimmung ist zwar bisher vom Gerichtshof noch nicht ausgelegt worden, die Aufsichtsbehörden haben sie aber bereits angewendet, bisweilen zur Verhängung hoher Geldbußen gegen Verantwortliche oder Auftragsverarbeiter(32).
56. Art. 83 DSGVO sieht je nach der konkreten Art der Bestimmung, gegen die verstoßen wurde, ein zweistufiges Sanktionssystem vor. Während die erste, in Art. 83 Abs. 4 dieser Verordnung definierte Stufe auf Fälle Anwendung findet, in denen ein Verantwortlicher oder ein Auftragsverarbeiter gegen die für ihn geltenden allgemeinen Pflichten oder gegen bestimmte spezifische Pflichten verstößt, ist die zweite Stufe nach Art. 83 Abs. 5 DSGVO schwereren Verstößen vorbehalten, wie etwa Verstößen u. a. gegen die Grundsätze für die Verarbeitung, die Rechte der betroffenen Personen und die Vorschriften über die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation.
57. Für beide Stufen müssen die zuständigen nationalen Behörden, nachdem sie festgestellt haben, dass gegen eine bestimmte Bestimmung der DSGVO verstoßen wurde, zwei Beurteilungen vornehmen. Erstens müssen sie darüber entscheiden, ob eine Geldbuße zu verhängen ist, und zweitens müssen sie, gegebenenfalls, die Höhe dieser Geldbuße festsetzen. Diese Beurteilungen sind in jedem Einzelfall unter Berücksichtigung verschiedener, in Art. 83 Abs. 2 DSGVO aufgeführter Umstände vorzunehmen. Zu diesen Umständen gehört die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ (Art. 83 Abs. 2 Buchst. b der Verordnung).
58. Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob gegen einen Verantwortlichen eine Geldbuße verhängt werden kann, wenn dieser weder vorsätzlich noch fahrlässig gegen Datenschutzvorschriften verstoßen hat und die unrechtmäßige Verarbeitung personenbezogener Daten nicht durch den Verantwortlichen selbst, sondern durch einen Auftragsverarbeiter erfolgt ist. Die sechste Frage wird – um insoweit auf meine vorstehenden Feststellungen zur fünften Frage zurückzukommen – meines Erachtens offenbar für den Fall gestellt, dass das NÖGZ und ITSS im Ausgangsverfahren nicht als „gemeinsam Verantwortliche“ im Sinne von Art. 4 Nr. 7 in Verbindung mit Art. 26 Abs. 1 DSGVO angesehen werden könnten, sondern vielmehr als „Verantwortlicher“ bzw. „Auftragsverarbeiter“ anzusehen wären. In diesem konkreten Rahmen möchte das vorlegende Gericht geklärt wissen, unter welchen Voraussetzungen gegen das NÖGZ nach Art. 83 DSGVO eine Geldbuße verhängt werden kann.
59. Dies vorausgeschickt, ist darauf hinzuweisen, dass in der sechsten Frage lediglich Art. 83 Abs. 1 DSGVO als einschlägige Bestimmung genannt wird. Aus den mit dieser Frage aufgeworfenen Aspekten folgt meines Erachtens jedoch, dass Art. 83 dieser Verordnung in seiner Gesamtheit zu betrachten ist und insbesondere, wie oben in Nr. 57 ausgeführt, auch Art. 83 Abs. 2 Buchst. b der Verordnung zu berücksichtigen ist, da diese Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ betrifft. Ich werde die sechste Frage daher in dem Sinne prüfen, dass mit ihr nach der Auslegung von Art. 83 DSGVO in seiner Gesamtheit, und nicht lediglich von Art. 83 Abs. 1, gefragt wird.
60. Diese Frage beinhaltet meines Erachtens zwei Teile. Erstens erfordert sie eine Entscheidung des Gerichtshofs darüber, ob Art. 83 DSGVO allgemein eine Verhängung von Geldbußen gegen Verantwortliche oder Auftragsverarbeiter zulässt, wenn kein mens rea (subjektives Element – Verschulden) vorliegt. Das vorlegende Gericht möchte im Wesentlichen wissen, ob gegen das NÖGZ bereits deshalb eine Geldbuße verhängt werden kann, weil es gegen die ihm in seiner Eigenschaft als Verantwortlicher obliegenden Pflichten verstoßen hat (verschuldensunabhängige Haftung), oder ob für den betreffenden Verstoß oder die betreffenden Verstöße ein Verschuldenselement gegeben sein muss. Zweitens setzt sie die Klärung der Frage voraus, ob der Umstand, dass die unrechtmäßige Verarbeitung personenbezogener Daten nicht durch den Verantwortlichen selbst, sondern durch einen Auftragsverarbeiter erfolgt ist, sich in irgendeiner Weise auf die Möglichkeit der Aufsichtsbehörden auswirkt, eine Geldbuße gegen den Verantwortlichen zu verhängen.
61. Diese beiden Aspekte werde ich nacheinander prüfen.
1. Erster Aspekt: Erfordernis der Feststellung eines Verschuldens
62. Nach Art. 83 DSGVO muss jede Geldbuße, die für einen Verstoß gegen die Datenschutzvorschriften verhängt wird, „wirksam, verhältnismäßig und abschreckend“ sein. Dies ergibt sich eindeutig aus Abs. 1 dieser Bestimmung. In diesem Absatz ist jedoch nicht geregelt, ob eine solche Geldbuße nur dann verhängt werden kann, wenn auch ein Verschulden festgestellt wird, also ob das „Verschulden“ eine Voraussetzung für die Verhängung einer Geldbuße ist.
63. Andererseits sind in Abs. 2 Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ unter den Gesichtspunkten(33) genannt, die von den Aufsichtsbehörden in jedem Einzelfall „gebührend berücksichtigt“ werden. Nach Art. 83 Abs. 2 Buchst. k dieser Verordnung sind diese Gesichtspunkte als „erschwerende oder mildernde Umstände“ zu verstehen und nicht abschließend.
64. Vor diesem Hintergrund gibt es meines Erachtens zwei mögliche Wege, Art. 83 DSGVO zu verstehen.
65. Zum einen ließe sich die Ansicht vertreten, dass zwar die Entscheidung über die Verhängung einer Geldbuße und ihre Höhe unter gebührender Berücksichtigung des Grades des einschlägigen Verschuldens zu treffen ist (so dass beispielsweise grundsätzlich eine höhere Geldbuße zu verhängen ist, wenn der Verstoß auf einem vorsätzlichen Handeln beruht, bzw. umgekehrt fahrlässiges Handeln zu einer geringeren Geldbuße führen müsste), aber die Verhängung einer Geldbuße auch keineswegs ausgeschlossen ist, wenn keinerlei Verschulden vorliegt, sofern von einer Verantwortlichkeit des Auftragsverarbeiters oder Verantwortlichen für den Verstoß ausgegangen werden kann. Für diese Auslegung würde Art. 83 Abs. 2 Buchst. b und k sprechen, denn soweit dort von verschiedenen Formen von Verschulden (Vorsatz oder Fahrlässigkeit) als „erschwerenden oder mildernden Umständen“ die Rede ist, könnte diesen Vorschriften zu entnehmen sein, dass ein Verschulden keine allgemeine Voraussetzung für die Verhängung einer Geldbuße ist.
66. Zum anderen ließe sich, in Übereinstimmung mit der von der Kommission in der vorliegenden Rechtssache vertretenen Ansicht, auch die Ansicht vertreten, dass als Mindestvoraussetzung für die Verhängung einer Geldbuße eine Fahrlässigkeit der Person oder Einrichtung, die den Verstoß begangen hat, festgestellt werden muss. Für diesen Ansatz würde eine andere, zurückhaltendere Auslegung von Art. 83 Abs. 2 Buchst. b und k DSGVO dahin sprechen, dass die Aufsichtsbehörden nach diesen Bestimmungen zwischen einem mildernden Umstand (Fahrlässigkeit) und einem erschwerenden Umstand (Vorsatz) differenzieren müssen, dass aus ihnen aber nicht folgt, dass eine Geldbuße ohne jedes Verschulden verhängt werden kann.
67. Für diese Auslegung sprach sich die Kommission in ihrem ursprünglichen Vorschlag ausdrücklich aus, der zum Erlass der DSGVO(34) führte und in dem sie eine Ausgestaltung des Geldbußensystems als dreistufiges System vorschlug. Die Kommission schlug für jede Stufe vor, dass die Möglichkeit der Verhängung von Geldbußen nur gegen „jeden, der vorsätzlich oder fahrlässig“(35) einen oder mehrere der mutmaßlichen Rechtsverstöße begangen hat, bestehen sollte. Von der Kommission wurde ein Verschulden somit eindeutig als Voraussetzung für die Verhängung einer solchen Geldbuße vorgesehen(36).
68. Auch wenn meines Erachtens beide Ansätze auf der Grundlage einer grammatikalischen Auslegung von Art. 83 Abs. 2 DSGVO vertretbar sind, da sie jeweils einem Verständnis der „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“ als „erschwerendem“ oder „milderndem“ Umstand entsprechen, gibt meines Erachtens nur der zweite Ansatz den Willen des Unionsgesetzgebers zutreffend wieder. Zu diesem Schluss komme ich aus mehreren Gründen.
a) Gründe für die Notwendigkeit eines Verschuldens
69. Erstens enthalten mehrere der in Art. 83 Abs. 2 DSGVO aufgeführten Umstände spezifische Formulierungen, denen entnommen werden kann, dass diese Umstände möglicherweise nicht in allen, sondern nur in bestimmten Fällen zur Anwendung kommen. Insbesondere beginnen Art. 83 Abs. 2 Buchst. c, e und k jeweils mit dem Wort „jegliche“/„etwaige“ („jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des … Schadens“; „etwaige einschlägige frühere Verstöße …“; „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“) und legen somit nahe, dass die Aufsichtsbehörden zwar stets berücksichtigen müssen, ob eine Maßnahme zur Milderung, ein früherer Verstoß oder ein sonstiger erschwerender oder mildernder Umstand gegeben ist, soweit Anhaltspunkte hierfür vorliegen oder nachgewiesen worden sind, dass es in der Tat aber auch Fälle geben kann, in denen es an solchen Anhaltspunkten einfach fehlt und die zuständige Datenschutzbehörde sich gleichwohl für die Verhängung einer Geldbuße (oder umgekehrt gegen die Verhängung einer Geldbuße) entscheiden kann. Ebenso ist auch Art. 83 Abs. 2 Buchst. i DSGVO nicht systematisch formuliert, da danach eine Prüfung erforderlich ist, ob der Verantwortliche oder Auftragsverarbeiter Maßnahmen nach Art. 58 Abs. 2 dieser Verordnung eingehalten hat, aber nur dann „[wenn solche Maßnahmen] früher gegen den … Verantwortlichen oder Auftragsverarbeiter … angeordnet wurden“.
70. Dagegen heißt es in Art. 83 Abs. 2 Buchst. b „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“(37). Dies dürfte somit meines Erachtens zu den Umständen gehören, die gegeben sein müssen, d. h. bildlich gesprochen, die in jedem Fall „angekreuzt“ sein müssen, um eine Geldbuße verhängen zu können, ebenso wie etwa die „Art, Schwere und Dauer des Verstoßes …“ (Art. 83 Abs. 2 Buchst. a), die „Kategorien personenbezogener Daten, die … betroffen sind“ (Art. 83 Abs. 2 Buchst. g), und die „Art und Weise, wie der Verstoß … bekannt wurde“ (Art. 83 Abs. 2 Buchst. h). Auch diese anderen Umstände müssen meines Erachtens in allen Fällen „gegeben“ sein; beispielsweise können die „Art, Schwere und Dauer des Verstoßes“ von Fall zu Fall sehr unterschiedlich sein (und dementsprechend entweder als Grund „für“ oder als Grund „gegen“ die Verhängung einer Geldbuße angesehen werden). Es wird jedoch in allen Fällen die Art, eine bestimmte Schwere und eine bestimmte Dauer des Verstoßes geben, die zu berücksichtigen sind. Meines Erachtens liegt hierin ein erstes Indiz dafür, dass Geldbußen in Art. 83 DSGVO nur zur Verhängung in Fällen eingeführt wurden, in denen der mutmaßliche Verstoß entweder vorsätzlich oder fahrlässig begangen wurde(38).
71. Zweitens ist zwar in Art. 83 Abs. 2 DSGVO nicht ausdrücklich geregelt, dass der Verstoß „vorsätzlich oder fahrlässig“ begangen worden sein muss, dies gilt jedoch nicht für Abs. 3 dieser Bestimmung, der eine allgemeine Regel enthält, die eine Kumulierung von Geldbußen ausschließt. In diesem Absatz ist nur von dem Fall die Rede, dass der betreffende Verstoß oder die betreffenden Verstöße „vorsätzlich oder fahrlässig“ begangen wurde/n.
72. Meines Erachtens folgt daraus logisch, dass Art. 83 Abs. 2 DSGVO dahin auszulegen ist, dass eine Geldbuße nur dann verhängt werden darf, wenn der mutmaßliche Verstoß vorsätzlich oder fahrlässig begangen wurde. Hätten Art. 83 Abs. 2 und 3 DSGVO nämlich unterschiedliche Anwendungsbereiche, bestände die Möglichkeit, für weniger schwere Verstöße (d. h. ohne Verschulden begangene Verstöße) kumulierte Geldbußen zu verhängen, da sie zwar gleichwohl zur Verhängung einer Geldbuße nach der erstgenannten Bestimmung führen könnten (Art. 83 Abs. 2), aber nicht unter die letztgenannte Bestimmung fallen würden (Art. 83 Abs. 3). Diese Möglichkeit bestände dagegen nicht für fahrlässig oder vorsätzlich begangene Verstöße, da sie alle unter die eine Kumulierung ausschließende Regel nach Art. 83 Abs. 3 dieser Verordnung fallen würden. Ein solches Ergebnis stände in klarem Widerspruch zu dem Grundprinzip der durch die DSGVO eingeführten Sanktionsregelung, wonach schwere Verstöße grundsätzlich strenger zu ahnden sind als weniger schwere Verstöße, und nicht umgekehrt.
73. Drittens können Geldbußen nach Art. 83 DSGVO eine schwere Strafe darstellen. Auf der ersten Stufe nach Art. 83 Abs. 4 dieser Verordnung kann es nämlich zur Verhängung von Geldbußen von bis zu 10 000 000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs kommen, je nachdem, welcher der Beträge höher ist. Auf der zweiten Stufe sind Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vorgesehen (ebenfalls je nachdem, welcher der Beträge höher ist).
74. Daher dürften Geldbußen nach Art. 83 DSGVO meines Erachtens zumindest in bestimmten Fällen(39) eine repressive Zielsetzung verfolgen, und es dürfte ihnen aufgrund ihres hohen Schweregrads strafrechtliche Natur beigemessen werden können(40), so dass sie unter Art. 49 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) fallen(41).
75. Aufgrund dieser Gesichtspunkte, insbesondere aufgrund des strafrechtlichen Charakters der Geldbußen nach Art. 83 DSGVO, mag man der Ansicht zuneigen, dass es mit dem Erfordernis nach Abs. 1 dieser Bestimmung, wonach Geldbußen in allen Fällen nicht nur „wirksam“ und „abschreckend“, sondern auch „verhältnismäßig“ sein müssen, unvereinbar wäre, wenn man eine Verhängung dieser Geldbußen auch ohne Verschulden zuließe. Mit anderen Worten wäre eine Verhängung von Geldbußen in Fällen unverhältnismäßig, in denen nicht einmal Fahrlässigkeit festgestellt worden ist. Meines Erachtens ist diese Ansicht jedoch schwer vertretbar, da der Gerichtshof bereits festgestellt hat, dass ein Sanktions- und Ahndungssystem, das auf einer verschuldensunabhängigen Haftung beruht, selbst dann, wenn es strafrechtlicher Natur ist, als solches nicht außer Verhältnis zu den angestrebten Zielen steht, wenn es geeignet ist, die von ihm erfassten Personen zur Beachtung der Bestimmungen einer Verordnung anzuhalten, und wenn die verfolgten Ziele ein Allgemeininteresse aufweisen, das die Schaffung eines solchen Systems rechtfertigen kann(42). Außerdem hat der Europäische Gerichtshof für Menschenrechte (im Folgenden: EGMR) zu Art. 7 der Europäischen Menschenrechtskonvention (EMRK) (die Art. 49 der Charta entspricht)(43), entschieden, dass eine Bestrafung nach dieser Bestimmung zwar allgemein das Bestehen eines subjektiven Zusammenhangs verlangt, durch den ein Element der Verantwortung im Verhalten der Person ermittelt werden kann, von der die Tat physisch begangen wurde, dass diese Anforderung jedoch das Bestehen bestimmter Formen der objektiven Haftung nicht ausschließt(44).
76. Vor diesem Hintergrund verstehe ich diese Rechtsprechung dahin, dass für die Verhängung einer strafrechtlichen Sanktion grundsätzlich ein subjektives Element erforderlich ist und eine verschuldensunabhängige Haftung somit eine Art „Ausnahme“ von dieser allgemeinen Regel darstellt, die durch die mit der Verordnung verfolgten Ziele gerechtfertigt sein muss.
77. Betrachtet man die DSGVO in ihrer Gesamtheit, wurden meines Erachtens Geldbußen vom Unionsgesetzgeber offenbar nur als eines von mehreren in diesem Rechtsakt vorgesehenen Instrumenten zur Sicherstellung ihrer wirksamen Einhaltung betrachtet. Die Verhängung von Geldbußen erfolgt nämlich „zusätzlich zu oder anstelle von“ den sonstigen, in Art. 58 Abs. 2 dieser Verordnung aufgeführten Maßnahmen, durch die den Aufsichtsbehörden eine Reihe von Abhilfebefugnissen übertragen werden (wie etwa die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen)(45). Außerdem haben die Aufsichtsbehörden dann, wenn keine Geldbuße nach Art. 83 DSGVO verhängt wird, die Möglichkeit, andere Sanktionen nach Art. 84 dieser Verordnung zu verhängen(46).
78. Diese Bestimmungen stellen meines Erachtens klar, dass nach der Absicht des Unionsgesetzgebers beim Erlass dieser Verordnung nicht für jeden Verstoß gegen die Datenschutzvorschriften die Möglichkeit der Verhängung einer Geldbuße gegeben sein sollte. Vielmehr sollte ein flexibles und differenziertes Sanktions- und Ahndungssystem vorgesehen werden. Dies wird durch den 148. Erwägungsgrund der DSGVO bestätigt, wonach die Aufsichtsbehörden im Fall eines „geringfügigeren Verstoßes oder falls [die] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde“, von der Verhängung einer Geldbuße absehen und stattdessen eine Verwarnung erteilen können. In diesem Kontext steht die Beschränkung der Anwendung von Art. 83 DSGVO auf Fälle, in denen als Mindestvoraussetzung Fahrlässigkeit festgestellt wird, meines Erachtens im Einklang mit diesen Zielen und den übergeordneten Grundgedanken dieser verschiedenen Bestimmungen, wonach die Verhängung von Geldbußen bestimmten Arten von Verstößen vorbehalten bleiben soll.
79. Außerdem hat der Unionsgesetzgeber, soweit er in der DSGVO eine verschuldensunabhängige Haftung oder eine Haftungsvermutung einführen wollte, dies meines Erachtens durch Verwendung eines konkreten Wortlauts zum Ausdruck gebracht, der sich in Art. 83 der Verordnung nicht findet. Beispielsweise hat der Unionsgesetzgeber für die zivilrechtliche Haftung (d. h. die Haftung von Verantwortlichen und Auftragsverarbeitern gegenüber betroffenen Personen), die in Art. 82 DSGVO geregelt ist, festgelegt, dass Verantwortliche und Auftragsverarbeiter einer verschuldensunabhängigen Haftung auf Ersatz des betroffenen Personen von ihnen verursachten Schadens unterliegen, sofern sie nicht nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind(47). Eine Art. 84 DSGVO entsprechende Formulierung ist in Art. 83 dieser Verordnung dagegen nicht enthalten. Dies bestätigt meines Erachtens, dass der Unionsgesetzgeber mit dieser Bestimmung keine Geldbußenregelung einführen wollte, die auf einer verschuldensunabhängigen Haftung oder auf einer Haftungsvermutung beruht.
80. Viertens ist meines Erachtens vor allem auch die Schwelle für einen fahrlässigen Verstoß gegen die DSGVO im Sinne von Art. 83 Abs. 2 Buchst. b dieser Verordnung in der Praxis in jedem Fall so niedrig, dass schwerlich Fälle vorstellbar sind, in denen die Verhängung einer Geldbuße allein deshalb unmöglich ist, weil diese Teilvoraussetzung nicht erfüllt ist. Durch den Umstand allein, dass die Feststellung von Vorsatz oder Fahrlässigkeit Voraussetzung für die Verhängung einer Geldbuße nach Art. 83 dieser Verordnung ist, wird somit meines Erachtens das Ziel des Unionsgesetzgebers nicht gefährdet, die wirksame Durchsetzung der darin enthaltenen Datenschutzvorschriften zu gewährleisten, ganz im Gegenteil.
81. Insoweit wird die Ansicht vertreten, dass allein darin, dass in einer Situation keine Maßnahmen ergriffen würden, in der der Verantwortliche oder Auftragsverarbeiter bloße Zweifel an der Rechtmäßigkeit der Verarbeitung habe, schon ein bewusstes Inkaufnehmen eines möglichen Verstoßes gegen die DSGVO und somit grobe Fahrlässigkeit zu sehen sei(48). Weiter soll nach Ansicht der Artikel‑29-Datenschutzgruppe ein fahrlässiger Verstoß vielfach einem „nicht vorsätzlichen“ Verstoß gleichzustellen sein, da ein solcher Verstoß gegeben sein könne, wenn kein Vorsatz zur Herbeiführung des Verstoßes vorliege und der Verantwortliche oder Auftragsverarbeiter lediglich gegen seine Sorgfaltspflicht verstoßen habe(49). Selbst schlichte und einfache „menschliche Fehler“(50) könnten auf Fahrlässigkeit schließen lassen.
82. Dies führt zu zwei Schlussfolgerungen. Erstens ist die Abgrenzung zwischen einem völlig unvorsätzlichen, nicht schuldhaften Verstoß und einem fahrlässigen Verstoß in der Tat sehr filigran. Die Aufsichtsbehörden werden meines Erachtens selten Schwierigkeiten haben, hinreichende Gesichtspunkte dafür festzustellen, dass der mutmaßliche Verstoß zumindest fahrlässig begangen wurde. In der Literatur wird die Ansicht vertreten, dass „angesichts der mittlerweile zahlreichen Maßnahmen zur Sensibilisierung … für die Gewährleistung der Einhaltung der DSGVO … kaum Verstöße gegen die DSGVO … vorstellbar sind, bei denen nicht zumindest Fahrlässigkeit gegeben ist“(51). Damit stimme ich vollständig überein und erinnere auch daran, dass mit der DSGVO insbesondere auch gewährleistet werden soll, dass Verantwortliche und Auftragsverarbeiter für die Datenschutzvorschriften sensibilisiert sind, so dass meines Erachtens umso schwerlicher vorstellbar ist, dass ein Verstoß ohne jedwedes Verschulden (nicht einmal fahrlässig) begangen werden könnte(52).
83. Zweitens dürfte dieses Ergebnis mit dem Hauptziel der DSGVO in vollem Einklang stehen, nämlich ein gleichmäßiges und hohes Schutzniveau für natürliche Personen in der Union zu gewährleisten(53). Geldbußen haben in der Tat abschreckende Wirkung(54). Durch den Anreiz, den sie für Verantwortliche und Auftragsverarbeiter zur Einhaltung der DSGVO schaffen, tragen sie insgesamt zur Stärkung des Schutzes betroffener Personen bei und sind daher ein Schlüsselelement, um die Wahrung ihrer Rechte zu gewährleisten(55). Daraus folgt meines Erachtens, dass zwar auf ein „Verschulden“ nicht verzichtet werden kann, der Grad des für Art. 83 dieser Verordnung erforderlichen Verschuldens jedoch niedrig genug ist, um ein angemessenes Schutzniveau für betroffene Personen gewährleisten zu können.
84. Außerdem ist hervorzuheben, dass mit dem Ansatz, den ich dem Gerichtshof vorschlage, auch die Angleichung des durch diese Vorschrift eingeführten Geldbußensystems mit demjenigen nach Art. 23 Abs. 1 der Verordnung (EG) Nr. 1/2003(56) für Zuwiderhandlungen gegen das Wettbewerbsrecht bestätigt wird, das ebenfalls nur bei Feststellung von Vorsatz oder Fahrlässigkeit Anwendung findet. Dass der Wortlaut von Art. 83 DSGVO in Anlehnung an diese andere Geldbußenregelung gefasst wurde, wird durch den 150. Erwägungsgrund der Verordnung bestätigt, wonach, wenn „Geldbußen Unternehmen auferlegt [werden], … zu diesem Zweck der Begriff ‚Unternehmen‘ im Sinne der Artikel 101 und 102 AEUV verstanden werden [sollte]“; bestätigt wird dies ferner durch weitere Parallelen zwischen diesen beiden Geldbußenregelungen, wie etwa, dass die Höhe der Geldbußen für Unternehmen in beiden Systemen von ihrem Umsatz abhängig gemacht werden kann. Ferner entsprechen mehrere der in Art. 83 Abs. 2 DSGVO aufgeführten Umstände denjenigen, die für die Festsetzung der Höhe einer Geldbuße wegen Zuwiderhandlungen gegen das Wettbewerbsrecht gelten(57).
85. Nach Darlegung der Gründe dafür, dass meines Erachtens als Voraussetzung für die Verhängung einer Geldbuße gegen einen Verantwortlichen oder Auftragsverarbeiter nach Art. 83 Abs. 2 DSGVO ein Verschulden festgestellt werden muss, möchte ich noch einige wenige Anmerkungen zu den vom Rat und von der litauischen Regierung vorgetragenen Argumenten ergänzen. Nach Ansicht dieser Beteiligten ist es Sache der Mitgliedstaaten, darüber zu entscheiden, ob für die Verhängung einer Geldbuße ein Verschulden erforderlich ist.
86. Dieser Ansicht kann ich mich selbst nicht anschließen.
b) Warum die Mitgliedstaaten in Bezug auf die Erforderlichkeit eines Verschuldens keinen Ermessensspielraum haben
87. Meines Erachtens war eines der Kernziele der DSGVO, und insbesondere von Art. 83 der Verordnung, eindeutig, eine stärkere Harmonisierung in der Union, insbesondere in Bezug auf die Verhängung von Geldbußen, zu erreichen(58). Entgegen der Ansicht des Rates und der litauischen Regierung entsprach es somit meines Erachtens nicht dem Willen des Unionsgesetzgebers, dass die Frage, ob ein Verschulden erforderlich ist oder nicht, im Ermessen der Mitgliedstaaten steht.
88. Zwar können im nationalen Recht zusätzliche Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorgesehen werden (etwa in Bezug auf Fragen wie den Bescheid über die Geldbuße, Fristen für Stellungnahmen, Einsprüche, Ausführungen und Zahlungen)(59). Dies ergibt sich eindeutig aus Art. 83 Abs. 8 DSGVO, wonach die Ausübung der Befugnisse zur Verhängung von Geldbußen durch die Aufsichtsbehörden „angemessenen Verfahrensgarantien … unterliegen“ muss, die im nationalen Recht vorzusehen sind, solange die Einhaltung des Unionsrechts (insbesondere das Recht auf einen wirksamen Rechtsbehelf und ein ordnungsgemäßes Verfahren) gewährleistet ist.
89. Dieses Ermessen kann sich jedoch nicht auf die materiellen Anforderungen erstrecken, die für die Verhängung einer Geldbuße gelten, wie etwa den Grad des Verschuldens. Diese Schlussfolgerung ergibt sich meines Erachtens unmittelbar aus mehreren Erwägungsgründen dieser Verordnung(60), wonach die durch Art. 83 DSGVO eingeführte Geldbußenregelung nach dem Willen des Unionsgesetzgebers überall im Unionsgebiet einheitliche Ergebnisse herbeiführen sollte.
90. Der Vollständigkeit halber ist zu ergänzen, dass es angesichts dessen, dass Geldbußen starke Auswirkungen auf den Wettbewerb zwischen Unternehmen und erhebliche Folgewirkungen auf den Markt haben, meines Erachtens von wesentlicher Bedeutung ist, dass Art. 83 DSGVO kohärent angewendet wird, und dass er andernfalls tatsächlich zum Auftreten von Wettbewerbsverzerrungen zwischen Unternehmen beitragen könnte(61).
2. Zweiter Aspekt: Kann gegen einen Verantwortlichen eine Geldbuße wegen eines Verstoßes in einem Kontext verhängt werden, in dem die unrechtmäßige Verarbeitung nicht durch diesen selbst, sondern durch einen Auftragsverarbeiter erfolgt ist?
91. Mit dem zweiten Teil der sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob gegen einen Verantwortlichen nach Art. 83 DSGVO eine Geldbuße in einem Kontext verhängt werden kann, in dem die unrechtmäßige Verarbeitung personenbezogener Daten nicht von dem Verantwortlichen selbst, sondern von einem Auftragsverarbeiter (vorliegend ITSS) vorgenommen wurde.
92. Diese Frage ist meines Erachtens zu bejahen.
93. Insoweit ist, wie oben in Nr. 27 ausgeführt, noch einmal darauf hinzuweisen, dass ein Verantwortlicher personenbezogene Daten nicht selbst verarbeiten muss, solange er über das „Warum und Wie“ der betreffenden Verarbeitungsvorgänge entscheidet. Ferner ist ein „Auftragsverarbeiter“ in Art. 4 Nr. 8 DSGVO definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (62).
94. Diese Definitionen bestätigen meines Erachtens, dass ein Verantwortlicher im Rahmen der Anwendung der DSGVO haftbar gemacht und somit gegen ihn nach Art. 83 dieser Verordnung eine Geldbuße verhängt werden kann, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und diese unrechtmäßige Verarbeitung nicht von dem Verantwortlichen selbst, sondern von einem Auftragsverarbeiter vorgenommen wurde. Diese Möglichkeit besteht, solange ein solcher Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
95. Dies ist der Fall, solange der Auftragsverarbeiter im Rahmen des ihm vom Verantwortlichen erteilten Auftrags handelt und Daten gemäß den ihm vom Verantwortlichen erteilten rechtmäßigen Anweisungen verarbeitet(63). Wenn jedoch der Auftragsverarbeiter über den Rahmen dieses Auftrags hinausgeht und Daten, die er als Auftragsverarbeiter erhalten hat, für seine eigenen Zwecke verwendet und es sich bei den Parteien eindeutig nicht um „gemeinsam Verantwortliche“ im Sinne von Art. 4 Nr. 7 und Art. 21 Abs. 6 DSGVO handelt, kann meines Erachtens gegen den Verantwortlichen nach Art. 83 dieser Verordnung wegen der erfolgten unrechtmäßigen Verarbeitung keine Geldbuße verhängt werden(64).
96. Daraus folgt, dass in einem Fall wie demjenigen des Ausgangsverfahrens nach Art. 83 DSGVO eine Geldbuße gegen das NÖGZ verhängt werden kann, auch wenn die personenbezogenen Daten nur von ITSS unrechtmäßig verarbeitet wurden und das NÖGZ an der Verarbeitung nicht beteiligt war. Diese Möglichkeit besteht, solange davon ausgegangen werden kann, dass dieses Unternehmen personenbezogene Daten im Auftrag des NÖGZ verarbeitet hat; dies ist nicht der Fall, wenn ITSS ohne oder entgegen rechtmäßiger Anweisungen des NÖGZ gehandelt und personenbezogene Daten für ihre eigenen Zwecke verwendet hat und das NÖGZ und ITSS eindeutig nicht als gemeinsam Verantwortliche gehandelt haben.
V. Ergebnis
97. Nach alledem schlage ich dem Gerichtshof vor, die vom Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius, Litauen) zur Vorabentscheidung vorgelegten Fragen wie folgt zu beantworten:
1. Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass eine Einrichtung, die die Entwicklung einer mobilen Anwendung veranlasst, nur dann als „Verantwortliche“ im Sinne dieser Bestimmung angesehen werden kann, wenn genügend Gesichtspunkte tatsächlicher und nicht lediglich formaler Art vorliegen, die den nationalen Gerichten die Schlussfolgerung erlauben, dass diese Einrichtung auf die „Zwecke“ und „Mittel“ dieser Verarbeitung tatsächlich Einfluss ausgeübt hat und auch der Freigabe der mobilen Anwendung für die Öffentlichkeit und damit der Verarbeitung der personenbezogenen Daten tatsächlich zugestimmt hat.
2. Diese Vorschrift in Verbindung mit Art. 26 Abs. 1 dieser Verordnung
ist dahin auszulegen, dass zwei oder mehr Verantwortliche als „gemeinsam Verantwortliche“ angesehen werden können, wenn zwei Voraussetzungen erfüllt sind: Erstens muss jeder gemeinsam Verantwortliche die Kriterien der Definition des „Verantwortlichen“ in Art. 4 Nr. 7 dieser Verordnung eigenständig erfüllen, und zweitens muss der Einfluss der Verantwortlichen auf die „Zwecke und Mittel“ der Verarbeitung gemeinsam ausgeübt werden. Ferner kann der Umstand, dass zwischen den Verantwortlichen kein Vertrag geschlossen oder nicht einmal eine Koordination vorgenommen wurde, für sich genommen der Feststellung nicht entgegenstehen, dass es sich bei den Verantwortlichen um „gemeinsam Verantwortliche“ im Sinne dieser Bestimmungen handelt.
3. Art. 4 Nr. 2 dieser Verordnung
ist dahin auszulegen, dass der Begriff „Verarbeitung“ den Sachverhalt erfasst, dass personenbezogene Daten in der Testphase einer mobilen Anwendung verwendet werden, sofern nicht diese Daten in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Ob personenbezogene Daten dazu erhoben werden, die in einer mobilen Anwendung integrierten IT‑Systeme zu testen, oder ob dies zu einem anderen Zweck erfolgt, ist für die Frage der Einstufung des betreffenden Vorgangs als „Verarbeitung“ ohne Bedeutung.
4. Art. 83 der Verordnung 2016/679
ist dahin auszulegen, dass eine Geldbuße nur verhängt werden darf, wenn der Verstoß gegen die Vorschriften dieser Verordnung, der mit ihr geahndet werden soll, „vorsätzlich oder fahrlässig“ begangen wurde. Ferner kann gegen einen Verantwortlichen nach dieser Bestimmung auch dann eine Geldbuße verhängt werden, wenn die unrechtmäßige Verarbeitung von einem Auftragsverarbeiter vorgenommen wird. Diese Möglichkeit besteht, solange feststeht, dass der Auftragsverarbeiter im Auftrag des Verantwortlichen handelt. Verarbeitet der Auftragsverarbeiter personenbezogene Daten jedoch ohne oder entgegen rechtmäßiger Anweisungen des Verantwortlichen und verwendet er personenbezogene Daten, die er erhalten hat, für seine eigenen Zwecke und handelt es sich bei den Parteien eindeutig nicht um „gemeinsam Verantwortliche“ im Sinne von Art. 4 Nr. 7 und Art. 21 Abs. 6 der Verordnung 2016/679, kann gegen den Verantwortlichen nach Art. 83 dieser Verordnung wegen der erfolgten unrechtmäßigen Verarbeitung keine Geldbuße verhängt werden.