Der bloße Umstand, dass nationale Rechtsvorschriften nicht konkret vorgeben, welche Verarbeitungsvorgänge eine Stelle durchführen darf, schließt es nicht aus, dass diese Stelle verantwortlich ist.

EuGH 27.02.2025, C-638/23. Im Rahmen der Covid-19-Pandemie kam es zum Versand von sogenannten „Impferinnerungsschreiben„. Hierfür wurden aus dem zentralen Impfregister und dem Patientenindex personenbezogene Daten abgerufen und weiterverarbeitet. Eine betroffene Person behauptet, die Verarbeitungen seien rechtsgrundlos erfolgt. Im weiteren Verfahrensverlauf kam die Frage auf, ob das Amt der Tiroler Landesregierung als Hilfsapparat datenschutzrechtlicher Verantwortlicher sein kann. Dementsprechend sollte der EuGH insbesondere beantworten, ob das Amt als Verantwortlicher eingestuft werden kann, obwohl es als Hilfsapparat einer Behörde fungiert und keine eigene Rechtspersönlichkeit besitzt.

Verantwortlichkeit ohne Rechtsperson.

Die Definition der EU-DSGVO für den Verantwortlichen steht einer nationalen Regelung nicht entgegen, die einen Hilfsapparat der Verwaltung ohne eigene Rechtspersönlichkeit und Rechtsfähigkeit als Verantwortlichen benennt, ohne dabei konkret festzulegen, für welche speziellen Verarbeitungen dieser zuständig ist und welche Zwecke verfolgt werden. Voraussetzung ist, dass die Stelle die Pflichten eines Verantwortlichen erfüllen kann und die nationale Regelung zumindest implizit den Umfang der Datenverarbeitung festlegt.