EuGH: Nur schuldhafter Verstoß gegen DSGVO kann zur Verhängung einer Geldbuße führen II
EuGH, Urteil vom 5.12.2023 – C-683/21, Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos gegen Valstybinė duomenų apsaugos inspekcija,
ECLI:EU:C:2023:949
Volltext: BB-Online BBL2023-2881-2
unter www.betriebs-berater.de
Tenor
1. Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.
2. Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679 sind dahin auszulegen, dass die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.
3. Art. 4 Nr. 2 der Verordnung 2016/679 ist dahin auszulegen, dass die Verwendung personenbezogener Daten für IT‑Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.
4. Art. 83 der Verordnung 2016/679 ist dahin auszulegen, dass zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne der Abs. 4 bis 6 dieses Artikels begangen hat, und zum anderen eine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden, verhängt werden kann, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
Aus den Gründen
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Nrn. 2 und 7 sowie Art. 26 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
2 Es ergeht im Rahmen eines Rechtsstreits zwischen dem Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Nationales Zentrum für öffentliche Gesundheit beim Gesundheitsministerium, Litauen, im Folgenden: NZÖG) und der Valstybinė duomenų apsaugos inspekcija (Staatliche Datenschutzaufsichtsbehörde, Litauen, im Folgenden: Aufsichtsbehörde) wegen eines Beschlusses, mit dem gegen das NZÖG eine Geldbuße gemäß Art. 83 der DSGVO wegen Verstoßes gegen deren Art. 5, 13, 24, 32 und 35 verhängt wurde.
Rechtlicher Rahmen
Unionsrecht
3 In den Erwägungsgründen 9, 10, 11, 13, 26, 74, 79, 129 und 148 der DSGVO heißt es:
„(9) … Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. …
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
…
(13) Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. …
…
(26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. … Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
…
(74) Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.
…
(79) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es … einer klaren Zuweisung der Verantwortlichkeiten durch [die vorliegende] Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und ‑mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.
…
(129) Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse … Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu Räumlichkeiten sollten im Einklang mit besonderen Anforderungen im Verfahrensrecht der Mitgliedstaaten ausgeübt werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbehörde, die die Maßnahme erlassen hat, und das Datum, an dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom Leiter oder von einem von ihm bevollmächtigen Mitglied der Aufsichtsbehörde unterschrieben sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschließen. Der Erlass eines rechtsverbindlichen Beschlusses setzt voraus, dass er in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, gerichtlich überprüft werden kann.
…
(148) Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder [anstelle] solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls [die] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta [der Grundrechte der Europäischen Union], einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.“
4 Art. 4 DSGVO bestimmt:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
„1. ,personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ,betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. ,Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
5. ,Pseudonymisierung‘ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
…
7. ,Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. ,Auftragsverarbeiter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
…“
5 Art. 26 („Gemeinsam Verantwortliche“) Abs. 1 DSGVO lautet:
„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“
6 Art. 28 („Auftragsverarbeiter“) DSGVO sieht in Abs. 10 vor:
„Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.“
7 Art. 58 („Befugnisse“) Abs. 2 DSGVO bestimmt:
„Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
…
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
…
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
…
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
…“
8 In Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) DSGVO heißt es:
„(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 [Euro] oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
…
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000[Euro] oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
…
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
…
(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 [Euro] oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
(7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.
(8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.
…“
9 Art. 84 („Sanktionen“) Abs. 1 DSGVO bestimmt:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
Litauisches Recht
10 In Art. 29 Abs. 3 des Viešųjų pirkimų įstatymas (Gesetz über das öffentliche Auftragswesen) sind bestimmte Umstände aufgeführt, unter denen der öffentliche Auftraggeber die von ihm eingeleiteten Ausschreibungs- oder Wettbewerbsverfahren jederzeit vor der Vergabe des öffentlichen Auftrags (oder dem Abschluss des Vorvertrags) oder der Bestimmung des erfolgreichen Bewerbers in dem Wettbewerb beenden kann oder muss.
11 In Art. 72 Abs. 2 dieses Gesetzes sind die Phasen der Verhandlungen geregelt, die der öffentliche Auftraggeber in einem Verhandlungsverfahren ohne Veröffentlichung einer Auftragsbekanntmachung führt.
Ausgangsverfahren und Vorlagefragen
12 Im Zusammenhang mit der durch das Covid‑19-Virus verursachten Pandemie beauftragte der Lietuvos Respublikos sveikatos apsaugos ministras (Gesundheitsminister der Republik Litauen) mit einer ersten Entscheidung vom 24. März 2020 den Direktor des NZÖG damit, den sofortigen Erwerb eines IT‑Systems zur Erfassung und Überwachung der Daten der diesem Virus ausgesetzten Personen zum Zweck der epidemiologischen Überwachung zu organisieren.
13 Mit E‑Mail vom 27. März 2020 teilte eine Person, die sich als Vertreter des NZÖG ausgab (im Folgenden: A. S.), dem Unternehmen „IT sprendimai sėkmei“ (im Folgenden: ITSS) mit, dass das NZÖG das Unternehmen als Entwickler einer entsprechenden mobilen Anwendung ausgewählt habe. A. S. versendete in der Folge E‑Mails an ITSS (mit Kopie an den Direktor des NZÖG) hinsichtlich verschiedener Aspekte der Entwicklung dieser Anwendung.
14 Im Lauf der Verhandlungen zwischen ITSS und dem NZÖG sandten neben A. S. auch andere Mitarbeiter des NZÖG E‑Mails an ITSS, in denen es um die Abfassung der in der mobilen Anwendung gestellten Fragen ging.
15 Im Zuge der Entwicklung dieser mobilen Anwendung wurde eine Datenschutzerklärung ausgearbeitet. Darin wurden ITSS und das NZÖG als für die Verarbeitung Verantwortliche benannt.
16 Die mobile Anwendung, in der ITSS und das NZÖG genannt waren, war ab dem 4. April 2020 im Online-Shop Google Play Store und ab dem 6. April 2020 im Online-Shop Apple App Store zum Herunterladen verfügbar. Sie war bis zum 26. Mai 2020 funktional.
17 Zwischen dem 4. April 2020 und dem 26. Mai 2020 nutzten 3 802 Personen die Anwendung und übermittelten die sie betreffenden Daten, wie Ausweisnummer, geografische Koordinaten (Breiten‑ und Längengrad), Land, Stadt, Gemeinde, Postleitzahl, Straßenname, Hausnummer, Name, Vorname, persönliche Identifikationsnummer, Telefonnummer und Anschrift.
18 Mit einer zweiten Entscheidung vom 10. April 2020 übertrug der Gesundheitsminister der Republik Litauen dem Direktor des NZÖG die Aufgabe, den Erwerb der mobilen Anwendung von ITSS zu organisieren. Insoweit sollte Art. 72 Abs. 2 des Gesetzes über das öffentliche Auftragswesen zum Tragen kommen. Das NZÖG vergab jedoch keinen öffentlichen Auftrag zum offiziellen Erwerb dieser Anwendung an ITSS.
19 Am 15. Mai 2020 forderte das NZÖG dieses Unternehmen auf, es in der mobilen Anwendung in keiner Weise zu erwähnen. Außerdem teilte es ihm mit Schreiben vom 4. Juni 2020 mit, dass das Vergabeverfahren wegen fehlender Mittel für den Erwerb der Anwendung gemäß Art. 29 Abs. 3 des Gesetzes über das öffentliche Auftragswesen beendet worden sei.
20 Im Rahmen einer am 18. Mai 2020 eingeleiteten Untersuchung betreffend die Verarbeitung personenbezogener Daten stellte die Aufsichtsbehörde fest, dass mit Hilfe der mobilen Anwendung personenbezogene Daten erhoben worden seien. Außerdem wurde festgestellt, dass Nutzer, die sich für diese Anwendung als Methode zur Überwachung der aufgrund der Covid‑19-Pandemie vorgeschriebenen Isolierung entschieden hätten, Fragen beantwortet hätten, die die Verarbeitung personenbezogener Daten implizierten. Diese Daten seien in den Antworten auf die mittels der Anwendung gestellten Fragen bereitgestellt worden und beträfen u. a. den Gesundheitszustand der betroffenen Person und die Einhaltung der Bedingungen der Isolierung.
21 Mit Beschluss vom 24. Februar 2021 verhängte die Aufsichtsbehörde gemäß Art. 83 DSGVO eine Geldbuße in Höhe von 12 000 Euro gegen das NZÖG wegen Verstoßes gegen die Art. 5, 13, 24, 32 und 35 DSGVO. Mit demselben Beschluss wurde auch gegen ITSS als gemeinsam für die Verarbeitung Verantwortlicher eine Geldbuße in Höhe von 3 000 Euro verhängt.
22 Das NZÖG hat diesen Beschluss vor dem Vilniaus apygardos administracinis teismas (Regionales Verwaltungsgericht Vilnius, Litauen), dem vorlegenden Gericht, angefochten und macht geltend, dass ITSS als allein für die Verarbeitung Verantwortlicher im Sinne von Art. 4 Nr. 7 der DSGVO anzusehen sei. ITSS ihrerseits macht geltend, dass es als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO auf Weisung des NZÖG gehandelt habe, das demnach der allein Verantwortliche sei.
23 Das vorlegende Gericht weist darauf hin, dass ITSS die fragliche mobile Anwendung entwickelt habe und das NZÖG sie bezüglich des Inhalts der mit der Anwendung gestellten Fragen beraten habe. Das NZÖG habe jedoch keinen öffentlichen Auftrag an ITSS vergeben. Außerdem habe es der Bereitstellung dieser Anwendung in den verschiedenen Online-Shops weder zugestimmt noch sie genehmigt.
24 Mit der Entwicklung der mobilen Anwendung habe das vom NZÖG gesetzte Ziel, die Covid‑19-Pandemie durch die Schaffung eines IT‑Tools zu bewältigen, umgesetzt werden sollen, und zu diesem Zweck sollten personenbezogene Daten verarbeitet werden. Was die Rolle von ITSS betreffe, sei nicht vorgesehen gewesen, dass dieses Unternehmen andere Zwecke verfolge als den, eine Vergütung für das erstellte IT‑Produkt zu erhalten.
25 Bei der Untersuchung der Aufsichtsbehörde sei festgestellt worden, dass Kopien der mit der mobilen Anwendung erhobenen personenbezogenen Daten an das litauische Unternehmen Juvare Lithuania zu übermitteln gewesen seien, das das IT‑System zur Überwachung und Kontrolle übertragbarer Krankheiten, bei denen ein Verbreitungsrisiko bestehe, betreibe. Zur Erprobung der Anwendung seien zudem fiktive Daten verwendet worden, mit Ausnahme der Telefonnummern der Mitarbeiter dieses Unternehmens.
26 Vor diesem Hintergrund hat das Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. Kann der in Art. 4 Nr. 7 DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die beabsichtigt, ein Datenerhebungstool (eine mobile Anwendung) im Wege der öffentlichen Auftragsvergabe zu erwerben, ungeachtet der Tatsache, dass kein öffentlicher Auftrag vergeben wurde und das geschaffene Produkt (die mobile Anwendung), für dessen Erwerb ein öffentliches Vergabeverfahren genutzt wurde, nicht übergeben wurde?
2. Kann der in Art. 4 Nr. 7 DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch ein öffentlicher Auftraggeber als Verantwortlicher anzusehen ist, wenn dieser zwar kein Eigentumsrecht an dem erstellten IT‑Produkt erworben und es nicht in Besitz genommen hat, aber in der endgültigen Version der erstellten Anwendung Links oder Schnittstellen zu dieser öffentlichen Einrichtung vorgesehen sind und/oder diese öffentliche Einrichtung in der Datenschutzerklärung, die von ihr nicht offiziell genehmigt oder anerkannt wurde, selbst als Verantwortliche angegeben wurde?
3. Kann der in Art. 4 Nr. 7 DSGVO genannte Begriff „Verantwortlicher“ dahin ausgelegt werden, dass auch eine Person als Verantwortliche anzusehen ist, die keine tatsächlichen Datenverarbeitungsvorgänge im Sinne von Art. 4 Nr. 2 DSGVO durchgeführt hat und/oder keine eindeutige Erlaubnis/Zustimmung zur Durchführung solcher Vorgänge erteilt hat? Ist der Umstand, dass das für die Verarbeitung personenbezogener Daten verwendete IT‑Produkt gemäß dem vom öffentlichen Auftraggeber formulierten Auftrag erstellt wurde, für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung?
4. Sofern die Bestimmung der tatsächlichen Datenverarbeitungsvorgänge für die Auslegung des Begriffs „Verantwortlicher“ von Bedeutung ist, ist dann die Definition der „Verarbeitung“ personenbezogener Daten nach Art. 4 Nr. 2 DSGVO dahin auszulegen, dass sie auch Sachverhalte erfasst, in denen Kopien personenbezogener Daten für das Testen von IT‑Systemen im Rahmen des Erwerbs einer mobilen Anwendung verwendet wurden?
5. Kann die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten gemäß Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO ausschließlich dahin ausgelegt werden, dass sie bewusst koordinierte Handlungen in Bezug auf die Festlegung des Zwecks der und der Mittel zur Datenverarbeitung erfasst, oder kann dieser Begriff auch dahin ausgelegt werden, dass die gemeinsame Verantwortlichkeit auch Sachverhalte umfasst, in denen es keine eindeutige „Vereinbarung“ in Bezug auf den Zweck der und die Mittel zur Datenverarbeitung gibt und/oder die Handlungen zwischen den Einrichtungen nicht koordiniert werden? Sind die Umstände in Bezug auf die Phase der Schaffung der Mittel zur Verarbeitung personenbezogener Daten (der IT‑Anwendung), in der personenbezogene Daten verarbeitet wurden, und der Zweck der Schaffung der Anwendung rechtlich für die Auslegung des Begriffs der gemeinsamen Verantwortlichkeit für die Daten von Bedeutung? Kann eine „Vereinbarung“ zwischen gemeinsam für die Verarbeitung Verantwortlichen ausschließlich als eine klare und definierte Festlegung von Bedingungen für die gemeinsame Verantwortlichkeit für die Verarbeitung von Daten verstanden werden?
6. Ist die Bestimmung in Art. 83 Abs. 1 DSGVO, wonach „Geldbußen … wirksam, verhältnismäßig und abschreckend“ sein müssen, so auszulegen, dass sie auch Fälle der Haftung des „Verantwortlichen“ erfasst, wenn der Entwickler bei der Erstellung eines IT‑Produkts auch Handlungen der personenbezogenen Datenverarbeitung durchführt, und führen die vom Auftragsverarbeiter vorgenommenen unzulässigen Verarbeitungen personenbezogener Daten immer automatisch zu einer rechtlichen Haftung des Verantwortlichen? Ist diese Bestimmung dahin auszulegen, dass sie auch Fälle der verschuldensunabhängigen Haftung des für die Verarbeitung Verantwortlichen erfasst?
Zu den Vorlagefragen
Zu den Fragen 1 bis 3
27 Mit den Fragen 1 bis 3, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat.
28 Der Begriff „Verantwortlicher“ ist in Art. 4 Nr. 7 DSGVO weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
29 Durch diese weite Definition soll im Einklang mit dem Ziel der DSGVO ein wirksamer Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten gewährleistet werden (vgl. in diesem Sinne Urteile vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 66, und vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 73 und die dort angeführte Rechtsprechung).
30 Der Gerichtshof hat bereits entschieden, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung solcher Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für diese Verarbeitung Verantwortlicher angesehen werden kann. Dabei ist nicht erforderlich, dass über die Zwecke und Mittel der Verarbeitung mittels schriftlicher Anleitungen oder Anweisungen seitens des Verantwortlichen entschieden wird (vgl. in diesem Sinne Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 67 und 68) oder dass dieser förmlich als solcher bezeichnet wurde.
31 Um festzustellen, ob eine Einrichtung wie das NZÖG als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO angesehen werden kann, ist daher zu prüfen, ob sie tatsächlich im Eigeninteresse auf die Entscheidung über die Zwecke und Mittel der Verarbeitung Einfluss genommen hat.
32 Im vorliegenden Fall geht vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Überprüfungen aus den dem Gerichtshof vorliegenden Akten hervor, dass die Entwicklung der in Rede stehenden mobilen Anwendung vom NZÖG in Auftrag gegeben wurde und dazu dienen sollte, das von ihm gesetzte Ziel umzusetzen, nämlich die Covid‑19-Pandemie durch ein IT‑Tool zur Erfassung und Überwachung der Daten von Personen, die mit Trägern des Covid‑19-Virus in Kontakt standen, zu bewältigen. Das NZÖG hatte vorgesehen, dass zu diesem Zweck personenbezogene Daten der Nutzer der mobilen Anwendung verarbeitet werden. Außerdem geht aus der Vorlageentscheidung hervor, dass die Parameter dieser Anwendung, z. B. welche Fragen gestellt werden und wie diese formuliert sind, an den Bedarf des NZÖG angepasst wurden und dass das NZÖG bei ihrer Festlegung eine aktive Rolle gespielt hat.
33 Unter diesen Umständen ist grundsätzlich davon auszugehen, dass das NZÖG tatsächlich an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt hat.
34 Der bloße Umstand, dass das NZÖG in der Datenschutzerklärung der mobilen Anwendung als Verantwortlicher genannt wurde und die Anwendung Links zum NZÖG enthielt, könnte dagegen nur dann als erheblich angesehen werden, wenn feststeht, dass das NZÖG dem ausdrücklich oder stillschweigend zugestimmt hat.
35 Ferner schließen die Umstände, die das vorlegende Gericht in seinen Ausführungen zu den ersten drei Vorlagefragen anführt, nämlich dass das NZÖG selbst keine personenbezogenen Daten verarbeitet hat, dass kein Vertrag zwischen dem NZÖG und ITSS bestand, dass das NZÖG die mobile Anwendung nicht erworben hat oder dass es die Verbreitung dieser Anwendung über Online-Shops nicht genehmigt hat, es nicht aus, dass das NZÖG als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann.
36 Aus dieser Bestimmung in Verbindung mit dem 74. Erwägungsgrund der DSGVO ergibt sich nämlich, dass eine Einrichtung, wenn sie die in Art. 4 Nr. 7 der DSGVO aufgestellte Voraussetzung erfüllt, nicht nur für jedwede Verarbeitung personenbezogener Daten verantwortlich ist, die durch sie selbst erfolgt, sondern auch für jedwede Verarbeitung, die in ihrem Namen erfolgt.
37 Allerdings ist darauf hinzuweisen, dass das NZÖG dann nicht als Verantwortlicher für die Verarbeitung personenbezogener Daten, die sich aus der Bereitstellung der fraglichen mobilen Anwendung für die Öffentlichkeit ergibt, angesehen werden kann, wenn es vor der Bereitstellung dieser ausdrücklich widersprochen hat, was zu überprüfen Sache des vorlegenden Gerichts ist. In einem solchen Fall kann nämlich nicht davon ausgegangen werden, dass die in Rede stehende Verarbeitung im Namen des NZÖG erfolgt ist.
38 In Anbetracht der vorstehenden Gründe ist auf die Fragen 1 bis 3 zu antworten, dass Art. 4 Nr. 7 DSGVO dahin auszulegen ist, dass eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.
Zu fünften Frage
39 Mit der fünften Frage, die an zweiter Stelle zu prüfen ist, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO dahin auszulegen sind, dass die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind, bestehen muss.
40 Nach Art. 26 Abs. 1 DSGVO handelt es sich um „gemeinsam Verantwortliche“, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.
41 Wie der Gerichtshof entschieden hat, muss eine natürliche oder juristische Person, um als gemeinsam Verantwortlicher angesehen werden zu können, eigenständig der Definition des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO entsprechen (vgl. in diesem Sinne Urteil vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 74).
42 Aus einer gemeinsamen Verantwortlichkeit folgt aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 43). Im Übrigen ist für eine gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nicht erforderlich, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 69 und die dort angeführte Rechtsprechung).
43 Wie der Generalanwalt in Nr. 38 seiner Schlussanträge ausgeführt hat, kann die Mitwirkung an der Entscheidung über die Zwecke und Mittel der Verarbeitung verschiedene Formen annehmen und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben. In letzterem Fall müssen sich diese Entscheidungen jedoch in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und ‑mittel auswirkt.
44 Dagegen ist nicht erforderlich, dass zwischen diesen Verantwortlichen eine förmliche Vereinbarung über die Zwecke und Mittel der Verarbeitung besteht.
45 Zwar müssen nach Art. 26 Abs. 1 DSGVO in Verbindung mit dem 79. Erwägungsgrund der DSGVO die gemeinsam Verantwortlichen in einer Vereinbarung festlegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt. Eine solche Vereinbarung stellt jedoch keine Voraussetzung für eine Einstufung von zwei oder mehr Einrichtungen als gemeinsam Verantwortliche dar, sondern eine Pflicht, die Art. 26 Abs. 1 der DSGVO den gemeinsam Verantwortlichen, sobald sie als solche eingestuft sind, auferlegt, um sicherzustellen, dass sie die Vorgaben der DSGVO einhalten. Diese Einstufung ergibt sich somit allein daraus, dass mehrere Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben.
46 Nach alledem ist auf die fünfte Frage zu antworten, dass Art. 4 Nr. 7 und Art. 26 Abs. 1 DSGVO dahin auszulegen sind, dass die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.
Zur vierten Frage
47 Mit der vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 4 Nr. 2 DSGVO dahin auszulegen ist, dass die Verwendung personenbezogener Daten zu IT‑Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt.
48 Im vorliegenden Fall waren, wie sich aus Rn. 25 des vorliegenden Urteils ergibt, Kopien der mit der fraglichen mobilen Anwendung erhobenen personenbezogenen Daten an das litauische Unternehmen zu übermitteln, das das IT‑System zur Überwachung und Kontrolle übertragbarer Krankheiten, bei denen ein Verbreitungsrisiko besteht, betreibt. Für IT‑Tests wurden fiktive Daten verwendet, mit Ausnahme der Telefonnummern der Mitarbeiter dieses Unternehmens.
49 Insoweit ist erstens festzustellen, dass Art. 4 Nr. 2 DSGVO den Begriff „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ definiert. In einer nicht abschließenden Aufzählung, die mit dem Wort „wie“ eingeleitet wird, nennt diese Bestimmung als Beispiele einer Verarbeitung das Erheben, die Bereitstellung und die Verwendung personenbezogener Daten.
50 Aus dem Wortlaut dieser Bestimmung, insbesondere aus dem Ausdruck „jeder Vorgang“, ergibt sich, dass der Unionsgesetzgeber den Begriff „Verarbeitung“ weit fassen wollte (vgl. in diesem Sinne Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C‑175/20, EU:C:2022:124, Rn. 35) und dass die Gründe, aus denen ein Vorgang oder eine Vorgangsreihe ausgeführt wird, für die Feststellung, ob dieser Vorgang oder diese Vorgangsreihe eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellt, nicht berücksichtigt werden können.
51 Daher ist es für die Frage, ob der fragliche Vorgang als „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO einzustufen ist, ohne Belang, ob personenbezogene Daten für IT‑Tests oder einen anderen Zweck verwendet werden.
52 Zweitens ist allerdings darauf hinzuweisen, dass nur eine Verarbeitung, die „personenbezogene Daten“ betrifft, eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO darstellt.
53 Nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, d. h. auf „eine natürliche Person …, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
54 Der vom vorlegenden Gericht in seiner vierten Frage angeführte Umstand, dass es sich um „Kopien personenbezogener Daten“ handelt, ist als solcher nicht geeignet, diese Kopien von einer Einstufung als personenbezogene Daten im Sinne von Art. 4 Nr. 1 der DSGVO auszunehmen, sofern sie tatsächlich Informationen enthalten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
55 Fiktive Daten stellen allerdings keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO dar, da sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, sondern auf eine Person, die in Wirklichkeit nicht existiert.
56 Gleiches gilt für bei IT‑Tests verwendete Daten, die anonym sind oder anonymisiert wurden.
57 Aus dem 26. Erwägungsgrund der DSGVO und aus der Definition des Begriffs „personenbezogene Daten“ in Art. 4 Nr. 1 DSGVO ergibt sich nämlich, dass unter diesen Begriff weder „anonyme Informationen …, d. h. … Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen“, fallen, noch „personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.
58 Dagegen geht aus Art. 4 Nr. 5 DSGVO in Verbindung mit dem 26. Erwägungsgrund der DSGVO hervor, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten, für die die Grundsätze des Datenschutzes gelten.
59 Nach alledem ist auf die vierte Frage zu antworten, dass Art. 4 Nr. 2 DSGVO dahin auszulegen ist, dass die Verwendung personenbezogener Daten für IT‑Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.
Zu sechsten Frage
60 Mit der sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 83 DSGVO dahin auszulegen ist, dass zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne von Art. 83 Abs. 4 bis 6 DSGVO begangen hat, und zum anderen eine solche Geldbuße gegen einen Verantwortlichen für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden.
61 Was erstens die Frage betrifft, ob eine Geldbuße gemäß Art. 83 DSGVO nur verhängt werden darf, wenn feststeht, dass der Verantwortliche oder der Auftragsverarbeiter vorsätzlich oder fahrlässig einen Verstoß im Sinne von Art. 83 Abs. 4 bis 6 DSGVO begangen hat, geht aus Art. 83 Abs. 1 DSGVO hervor, dass diese Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. In Art. 83 DSGVO ist dagegen nicht ausdrücklich bestimmt, dass ein solcher Verstoß nur dann mit einer Geldbuße geahndet werden kann, wenn er vorsätzlich oder zumindest fahrlässig begangen wurde.
62 Die litauische Regierung und der Rat der Europäischen Union leiten daraus ab, dass der Unionsgesetzgeber den Mitgliedstaaten bei der Durchführung von Art. 83 der DSGVO ein gewisses Ermessen habe einräumen wollen, das es ihnen erlaube, die Verhängung von Geldbußen gemäß dieser Bestimmung gegebenenfalls auch dann vorzusehen, wenn nicht feststehe, dass der mit dieser Geldbuße geahndete Verstoß gegen die DSGVO vorsätzlich oder fahrlässig begangen worden sei.
63 Einer solchen Auslegung von Art. 83 DSGVO kann nicht gefolgt werden.
64 Nach Art. 288 AEUV haben Verordnungen im Allgemeinen unmittelbare Wirkung in den nationalen Rechtsordnungen, ohne dass nationale Durchführungsmaßnahmen erforderlich wären. Allerdings kann es vorkommen, dass manche Bestimmungen einer Verordnung zu ihrer Durchführung des Erlasses von Durchführungsmaßnahmen durch die Mitgliedstaaten bedürfen (vgl. in diesem Sinne Urteil vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 58 und die dort angeführte Rechtsprechung).
65 Dies gilt insbesondere für die DSGVO, die einige Bestimmungen enthält, die den Mitgliedstaaten die Möglichkeit eröffnen, zusätzliche – strengere oder einschränkende – nationale Vorschriften vorzusehen, und ihnen ein Ermessen hinsichtlich der Art und Weise ihrer Durchführung lassen (Urteil vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 57).
66 Ebenso ist es mangels besonderer Verfahrensregeln in der DSGVO Sache der Rechtsordnung der einzelnen Mitgliedstaaten, vorbehaltlich der Wahrung der Grundsätze der Äquivalenz und der Effektivität die Modalitäten für Klagen festzulegen, die den Schutz der dem Einzelnen aus den Bestimmungen dieser Verordnung erwachsenden Rechte gewährleisten sollen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 53 und 54 sowie die dort angeführte Rechtsprechung).
67 Der Wortlaut von Art. 83 Abs. 1 bis 6 DSGVO enthält jedoch keinen Anhaltspunkt dafür, dass der Unionsgesetzgeber den Mitgliedstaaten ein Ermessen hinsichtlich der materiellen Voraussetzungen einräumen wollte, die von einer Aufsichtsbehörde einzuhalten sind, wenn sie beschließt, gegen einen Verantwortlichen eine Geldbuße wegen eines Verstoßes im Sinne von Art. 83 Abs. 4 bis 6 DSGVO zu verhängen.
68 Zwar sieht zum einen Art. 83 Abs. 7 DSGVO vor, dass jeder Mitgliedstaat Vorschriften dafür festlegen kann, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Zum anderen ergibt sich aus Art. 83 Abs. 8 DSGVO in Verbindung mit dem 129. Erwägungsgrund der DSGVO, dass die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.
69 Dass die DSGVO den Mitgliedstaaten damit die Möglichkeit gibt, Ausnahmen für Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, und Anforderungen an das Verfahren vorzusehen, das von den Aufsichtsbehörden einzuhalten ist, wenn sie eine Geldbuße verhängen, bedeutet jedoch nicht, dass sie über diese Ausnahmen und verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorsehen dürften, die erfüllt sein müssen, um die Haftung des Verantwortlichen zu begründen und ihm gemäß Art. 83 DSGVO eine Geldbuße auferlegen zu können. Darüber hinaus wird dadurch, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche materiellen Voraussetzungen vorzusehen, bestätigt, dass er den Mitgliedstaaten insoweit kein Ermessen eingeräumt hat.
70 Diese Feststellung wird auch durch Art. 83 in Verbindung mit Art. 84 DSGVO gestützt. Nach Art. 84 Abs. 1 DSGVO sind die Mitgliedstaaten nämlich weiterhin dafür zuständig, die Vorschriften über „andere Sanktionen“ für Verstöße gegen diese Verordnung – „insbesondere für Verstöße, die keiner Geldbuße gemäß Art. 83 unterliegen“ – festzulegen. Aus der Zusammenschau dieser Bestimmungen ergibt sich somit, dass die Festlegung der materiellen Voraussetzungen für die Verhängung solcher Geldbußen dieser Zuständigkeit entzogen ist. Diese Voraussetzungen fallen daher ausschließlich unter das Unionsrecht.
71 Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DSGVO die Gesichtspunkte aufzählt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Gesichtspunkten gehört nach Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen lässt sich keinem der in dieser Bestimmung aufgezählten Gesichtspunkte eine Möglichkeit entnehmen, den Verantwortlichen haftbar zu machen, wenn kein schuldhaftes Verhalten seinerseits vorliegt.
72 Darüber hinaus ist Art. 83 Abs. 2 DSGVO in Verbindung mit Abs. 3 dieses Artikels zu lesen, der die Folgen der Kumulierung von Verstößen gegen die DGSVO regelt und in dem es heißt: „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“
73 Aus dem Wortlaut von Art. 83 Abs. 2 DSGVO ergibt sich somit, dass nur bei Verstößen gegen die Bestimmungen dieser Verordnung, die vom Verantwortlichen schuldhaft, d. h. vorsätzlich oder fahrlässig, begangen werden, nach diesem Artikel eine Geldbuße gegen ihn verhängt werden kann.
74 Die allgemeine Systematik und der Zweck der DSGVO bestätigen diese Auslegung.
75 Zum einen hat der Unionsgesetzgeber ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, je nach den Umständen des Einzelfalls die am besten geeigneten Sanktionen zu verhängen.
76 Art. 58 DSGVO, in dem die Befugnisse der Aufsichtsbehörden geregelt sind, sieht in Abs. 2 Buchst. i vor, dass diese Behörden Geldbußen gemäß Art. 83 DSGVO verhängen können, „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 DSGVO aufgeführten Abhilfemaßnahmen wie Warnungen, Verwarnungen oder Anweisungen. Im 148. Erwägungsgrund der DSGVO heißt es u. a., dass die Aufsichtsbehörden, wenn es sich um einen geringfügigeren Verstoß handelt oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, davon absehen dürfen, eine Geldbuße zu verhängen, und stattdessen eine Verwarnung erteilen können.
77 Zum anderen geht insbesondere aus dem zehnten Erwägungsgrund der DSGVO hervor, dass mit deren Bestimmungen u. a. ein gleichmäßiges und hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union gewährleistet werden soll und zu diesem Zweck die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewandt werden sollten. In den Erwägungsgründen 11 und 129 der DSGVO heißt es außerdem, dass im Hinblick auf eine einheitliche Anwendung dieser Verordnung sichergestellt werden muss, dass die Aufsichtsbehörden über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten verfügen und im Fall von Verstößen gegen diese Verordnung gleiche Sanktionen verhängen können.
78 Durch ein Sanktionssystem, das es ermöglicht, in Fällen, in denen die besonderen Umstände des Einzelfalls dies rechtfertigen, eine Geldbuße nach Art. 83 DSGVO zu verhängen, werden die Verantwortlichen und Auftragsverarbeiter dazu angehalten, diese Verordnung einzuhalten. Geldbußen tragen durch ihre abschreckende Wirkung dazu bei, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verbessert wird, und sind daher ein Schlüsselelement, um sicherzustellen, dass die Rechte dieser Personen im Einklang mit dem Ziel der Verordnung, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, gewahrt werden.
79 Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus die Verhängung von Geldbußen auch bei fehlendem Verschulden vorzusehen. Da die DSGVO auf ein gleichwertiges und homogenes Schutzniveau abzielt und deshalb in der gesamten Union einheitlich angewandt werden muss, liefe es diesem Zweck zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 der DSGVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u. a. in den Erwägungsgründen 9 und 13 der DSGVO zum Ausdruck gebrachten Zielen zuwiderliefe.
80 Demnach ist festzustellen, dass Art. 83 DSGVO die Verhängung einer Geldbuße wegen eines Verstoßes im Sinne von Art. 83 Abs. 4 bis 6 DSGVO nicht zulässt, wenn nicht feststeht, dass dieser Verstoß vom Verantwortlichen vorsätzlich oder fahrlässig begangen wurde, und ein schuldhafter Verstoß daher eine Voraussetzung für die Verhängung einer solchen Geldbuße darstellt.
81 Insoweit ist hinsichtlich der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und deshalb mit einer Geldbuße nach Art. 83 DSGVO geahndet werden kann, darauf hinzuweisen, dass gegen einen Verantwortlichen wegen eines Verhaltens, das in den Anwendungsbereich der DSGVO fällt, Sanktionen verhängt werden können, wenn sich dieser Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker & Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97).
82 Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist außerdem zu beachten, dass die Anwendung von Art. 83 DSGVO keine Handlung oder gar Kenntnis des Leitungsorgans dieser juristischen Person voraussetzt (vgl. entsprechend Urteile vom 7. Juni 1983, Musique Diffusion française u. a./Kommission, 100/80 bis 103/80, EU:C:1983:158, Rn. 97, und vom 16. Februar 2017, Tudapetrol Mineralölerzeugnisse Nils Hansen/Kommission, C‑94/15 P, EU:C:2017:124, Rn. 28 und die dort angeführte Rechtsprechung).
83 Was zweitens die Frage betrifft, ob gegen einen Verantwortlichen gemäß Art. 83 der DSGVO eine Geldbuße für die von einem Auftragsverarbeiter durchgeführten Verarbeitungsvorgänge verhängt werden kann, ist daran zu erinnern, dass ein Auftragsverarbeiter nach der Definition in Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle [ist], die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.
84 Da ein Verantwortlicher, wie in Rn. 36 des vorliegenden Urteils ausgeführt, nicht nur für jedwede Verarbeitung personenbezogener Daten, die durch ihn selbst erfolgt, sondern auch für die in seinem Namen erfolgenden Verarbeitungen verantwortlich ist, kann gegen ihn eine Geldbuße nach Art. 83 der DSGVO verhängt werden, wenn personenbezogene Daten unrechtmäßig verarbeitet werden und die Verarbeitung nicht durch ihn, sondern durch einen Auftragsverarbeiter, an den er sich gewandt hat, in seinem Namen erfolgt ist.
85 Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters kann sich jedoch nicht auf Fälle erstrecken, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte. Nach Art. 28 Abs. 10 DSGVO gilt der Auftragsverarbeiter in einem solchen Fall nämlich in Bezug auf eine solche Verarbeitung als Verantwortlicher.
86 Nach alledem ist auf die sechste Frage zu antworten, dass Art. 83 der DSGVO dahin auszulegen ist, dass zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne von Art. 83 Abs. 4 bis 6 DSGVO begangen hat, und zum anderen eine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden, verhängt werden kann, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.