Öffentlicher Auftraggeber kann datenschutzrechtlich Verantwortlicher sein, auch wenn er selbst keine Daten verarbeitet

Veröffentlicht am 15. Februar 2024

Öffentlicher Auftraggeber kann datenschutzrechtlich Verantwortlicher sein, auch wenn er selbst keine Daten verarbeitet

EuGH, Urteil vom 05.12.2023 – Rs. C-683/21 – NZÖG ./. Aufsichtsbehörde

Im Zuge der Covid-19-Pandemie sollte das litauische Nationale Zentrum für öffentliche Gesundheit beim Gesundheitsministerium (NZÖG) ein IT-System beschaffen, das die Daten von Personen erfassen und überwachen sollte, die dem Virus ausgesetzt waren. Das NZÖG trat mit einem IT-Unternehmen in Kontakt und versandte mehrere Nachrichten, in denen es um verschiedene Aspekte der Entwicklung und um Fragen ging, die in der Anwendung gestellt wurden. Wegen verschiedener Verstöße verhängte die Datenschutzaufsichtsbehörde gegen das NZÖG und das IT-Unternehmen ein Bußgeld. Hiergegen ging
das NZÖG gerichtlich vor. Inhalt der Entscheidung des EuGH war auch, ob das NZÖG im vorliegenden Fall selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung ist, obwohl es selbst keine personenbezogenen Daten verarbeitet hat.

Mit Verweis auf seine frühere Rechtsprechung bestätigt der EuGH, dass auch öffentliche Auftraggeber für die Verarbeitung personenbezogener Daten verantwortlich sein können, wenn sie „tatsächlich im Eigeninteresse auf die Entscheidung über Zwecke und Mittel der Verarbeitung Einfluss genommen“ haben. Dies gelte selbst dann, wenn der öffentliche Auftraggeber selbst nie personenbezogene Daten verarbeitet hat.

Bedeutung für die Praxis

Der Begriff des datenschutzrechtlichen Verantwortlichen ist weit auszulegen. Wenn Mobilitätsapps ausgeschrieben werden, geraten öffentliche Auftraggeber schnell in die Position des datenschutzrechtlichen Verantwortlichen. Die EuGH-Entscheidung legt nahe, dass die datenschutzrechtliche Verantwortlichkeit sogar schon dann beim Auftraggeber liegen kann, wenn „nur“ Mobilitätsdienstleistungen (z.B. On-Demand-Verkehre oder Car-, Bike- oder Scooter-Sharing) ausgeschrieben werden, und dem Mobilitätsdienstleister Vorgaben zu Datenerfassung oder -verarbeitung gemacht werden – sogar wenn der Auftraggeber selbst keine personenbezogenen Daten verarbeitet. Dies erfordert dann den Abschluss von Vereinbarungen über die Auftragsverarbeitung oder die gemeinsame Verantwortlichkeit.

Um Haftungsrisiken oder Kontrollpflichten zu vermeiden, kann es sich für öffentliche Auftraggeber anbieten, nicht die Rolle eines Verantwortlichen für die Verarbeitung personenbezogener Daten einzunehmen. Hierzu bedarf es einer entsprechenden Ausgestaltung der Vergabeunterlagen, die einen Einfluss des Auftraggebers auf die Verarbeitung der personenbezogenen Daten tatsächlich ausschließt. Indem sich der öffentliche Auftraggeber auf die Bereitstellung anonymer oder anonymisierter Daten beschränkt, kann er auch ohne Verantwortlicher zu sein, von den im Betrieb gewonnen Daten profitieren. Dabei muss sichergestellt werden, dass der Auftraggeber solche Daten, die er für Planung, statistische
Auswertungen oder für Folgevergaben benötigt (vgl. z. B. Art. 4 Abs. 8 der Verordnung
(EG) Nr. 1370/2007), in entsprechend anonymisierter Form trotzdem erhält.