Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz personenbezogener Daten. Begriffe,Verarbeitung‘ und,Verantwortlicher‘. Entwicklung einer mobilen IT-Anwendung. Gemeinsame Verantwortlichkeit für die Verarbeitung. Verhängung von Geldbußen. Voraussetzungen. Erfordernis der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Haftung des Verantwortlichen für die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter
Normenkette
EUVO 679/2016; EUVO 679/2016 Art. 4 Nrn. 2, Art. 4 Nrn. 7, Art. 26, 83
Beteiligte
Nacionalinis visuomenės sveikatos centras |
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos |
Valstybinė duomenų apsaugos inspekcija |
UAB „IT sprendimai sėkmei“ |
Lietuvos Respublikos sveikatos apsaugos ministerija |
Tenor
1.Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT-Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.
2.Art. 4 Nr. 7 und Art. 26 Abs. 1 der Verordnung 2016/679
sind dahin auszulegen, dass
die Einstufung von zwei Einrichtungen als gemeinsam Verantwortliche nicht voraussetzt, dass zwischen diesen Einrichtungen eine Vereinbarung über die Festlegung der Zwecke und Mittel der fraglichen Verarbeitung personenbezogener Daten oder eine Vereinbarung besteht, in der die Bedingungen der gemeinsamen Verantwortlichkeit für die Verarbeitung festgelegt sind.
3.Art. 4 Nr. 2 der Verordnung 2016/679
ist dahin auszulegen, dass
die Verwendung personenbezogener Daten für IT-Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.
4.Art. 83 der Verordnung 2016/679
ist dahin auszulegen, dass
zum einen eine Geldbuße gemäß dieser Bestimmung nur dann verhängt werden kann, wenn feststeht, dass der Verantwortliche vorsätzlich oder fahrlässig einen Verstoß im Sinne der Abs. 4 bis 6 dieses Artikels begangen hat, und
zum anderen eine solche Geldbuße gegen einen Verantwortlichen für personenbezogene Daten betreffende Verarbeitungsvorgänge, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden, verhängt werden kann, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
Tatbestand
In der Rechtssache C-683/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Vilniaus apygardos administracinis teismas (Regionalverwaltungsgericht Vilnius, Litauen) mit Entscheidung vom 22. Oktober 2021, beim Gerichtshof eingegangen am 12. November 2021, in dem Verfahren
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
gegen
Valstybinė duomenų apsaugos inspekcija,
Beteiligte:
UAB „IT sprendimai sėkmei“,
Lietuvos Respublikos sveikatos apsaugos ministerija,
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten L. Bay Larsen, der Kammerpräsidenten A. Arabadjiev, C. Lycourgos, E. Regan, T. von Danwitz und Z. Csehi, der Kammerpräsidentin O. Spineanu-Matei, der Richter M. Ilešič und J.-C. Bonichot, der Richterin L. S. Rossi sowie der Richter A. Kumin, N. Jääskinen (Berichterstatter), N. Wahl und M. Gavalec,
Generalanwalt: N. Emiliou,
Kanzler: C. Strömholm, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 17. Januar 2023,
unter Berücksichtigung der Erklärungen
- – der Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos, vertre...