Im Zuge der Covid-19-Pandemie beauftragte der Litauische Gesundheitsminister den Erwerb eines IT-Systems zur epidemiologischen Überwachung. Dementsprechend arbeitete man mit einem Unternehmen zusammen, um eine mobile Anwendung zu entwickeln, die ab April 2020 erhältlich war und auch personenbezogene Daten von Nutzern erhob.
Das nicht im Einklang mit geltenden Datenschutzbestimmungen, so die Aufsichtsbehörde, sodass eine Geldstrafe verhängt wurde. Und zwar gegen die vom Gesundheitsminister beauftragte Stelle und gegen das entwickeltende Unternehmen. Streitpunkte waren daraufhin Fragen der Rollenverteilung und Zurechnung sowie zum System der Geldstrafen in der EU-DSGVO.
Und der EuGH beantwortete die an ihn gestellten Fragen wiefolgt:
1️⃣ Verantwortlichkeit: Verantwortliche entscheiden tatsächlich über die Zwecke und Mittel der Datenverarbeitung. Eine Einflussnahme auf die Anwendungsentwicklung und die Verarbeitungsparameter kann auf Verantwortlichkeit hinweisen. Die Stelle muss hierfür keine direkten Verarbeitungsvorgänge durchführen oder Eigentümer der Anwendung sein.
2️⃣ Gemeinsame Verantwortlichkeit: Gemeinsame Verantwortlichkeit besteht auch ohne formelle Vereinbarung, wenn mehrere Stellen koordiniert die Verarbeitung beeinflussen.
3️⃣ Haftung des Verantwortlichen: Ein Verantwortlicher haftet für alle Datenverarbeitungen, die in seinem Namen durchgeführt werden. Dies gilt nicht für Handlungen eines Auftragsverarbeiters, die außerhalb des vom Verantwortlichen festgelegten Rahmens liegen.
4️⃣ Geldstrafen: Geldstrafen erfordern schuldhaftes Verhalten.