Die Rechtssache C‑683/21 des EUGH beschäftigt sich mit der Frage der Verantwortung bei der Entwicklung einer mobilen IT-Anwendung, speziell im Kontext des Datenschutzes.
Hintergrund
Der Fall entstand im Zusammenhang mit einer App zur Erfassung und Überwachung von COVID-19-Daten, entwickelt von ITSS auf Anweisung des Nationalen Zentrums für öffentliche Gesundheit Litauens (NZÖG). Die litauische Datenschutzaufsichtsbehörde verhängte Geldbußen gegen NZÖG und ITSS wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO).
Entscheidung des EuGH
Der EuGH entschied, dass eine Organisation, die ein Unternehmen mit der Entwicklung einer mobilen App beauftragt, unter bestimmten Umständen als Verantwortlicher im Sinne der DSGVO gelten kann. Dies gilt, wenn die Organisation auf die Entscheidung über die Zwecke und Mittel der Datenverarbeitung Einfluss nimmt. Die DSGVO ist insoweit dahin zu verstehen, dass
eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT‑Anwendung beauftragt und in diesem Zusammenhang an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Verarbeitung personenbezogener Daten mitgewirkt hat, als Verantwortlicher im Sinne dieser Bestimmung angesehen werden kann, auch wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat, es sei denn, sie hat, bevor die Anwendung der Öffentlichkeit bereitgestellt wurde, dieser Bereitstellung und der sich daraus ergebenden Verarbeitung personenbezogener Daten ausdrücklich widersprochen.
Der EuGH stellte dabei klar, dass die reine Erwähnung einer Organisation als Verantwortlicher in einer Datenschutzerklärung oder das Bereitstellen von Links zur Organisation nicht ausreicht, um sie als Verantwortlichen zu bestimmen.
Verwendung personenbezogener Daten für IT‑Tests
In dieser Entscheidung stellt der Europäische Gerichtshof (EuGH) zugleich klar, dass die Verwendung personenbezogener Daten für IT-Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellt, denn die DSGVO ist so zu verstehen, dass
die Verwendung personenbezogener Daten für IT‑Tests im Zusammenhang mit einer mobilen Anwendung eine „Verarbeitung“ im Sinne dieser Bestimmung darstellt, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.
Dies gilt, sofern diese Daten nicht in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, oder es sich um fiktive Daten handelt, die sich nicht auf eine existierende natürliche Person beziehen .
Des Weiteren wird festgestellt, dass die Verwendung personenbezogener Daten zu IT-Tests im Zusammenhang mit einer mobilen Anwendung grundsätzlich unter die Definition von „Verarbeitung“ gemäß Artikel 4 Nr. 2 DSGVO fällt, unabhängig vom Zweck dieser Verwendung. Der EuGH betont dabei, dass die Gründe, aus denen ein Vorgang oder eine Vorgangsreihe ausgeführt wird, für die Feststellung, ob dieser Vorgang oder diese Vorgangsreihe eine „Verarbeitung“ im Sinne von Artikel 4 Nr. 2 DSGVO darstellt, nicht berücksichtigt werden können .
Diese Auslegung des Begriffs „Verarbeitung“ im Kontext von IT-Tests hat wichtige Implikationen für die Praxis, insbesondere in Bezug auf den Schutz personenbezogener Daten und die Einhaltung der DSGVO-Vorschriften.
Bedeutung für Auftraggeber und Entwickler von Software
Dieses Urteil hat erhebliche Auswirkungen auf Auftraggeber und Entwickler von Software. Auftraggeber müssen sich bewusst sein, dass sie als datenverarbeitende Verantwortliche eingestuft werden können, wenn sie Einfluss auf die Verarbeitungszwecke und -mittel nehmen. Entwickler sollten sicherstellen, dass die Rollen und Verantwortlichkeiten in Bezug auf Datenschutzfragen mit ihren Auftraggebern klar definiert und dokumentiert werden.
Fazit
Das Urteil des EuGH unterstreicht die Bedeutung der Klarheit und Transparenz in der Beziehung zwischen Auftraggebern und Entwicklern von IT-Lösungen.
Beide Parteien müssen sich der datenschutzrechtlichen Implikationen ihrer Handlungen bewusst sein und sicherstellen, dass die Datenschutzbestimmungen der DSGVO eingehalten werden. Die klare Abgrenzung der Verantwortlichkeiten ist essentiell, um Bußgelder und Haftungsrisiken zu vermeiden.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024