EuGH-Urteil "Amt der Tiroler Landesregierung" (C-638/23) vom 27. Februar 2025 – Wer ist Verantwortlicher iSd DSGVO, wenn dazu im innerstaatlichen Recht eine bestimmte Stelle per Gesetz als „Verantwortlicher“ definiert wird.
1. Kern der Entscheidung
Der EuGH stellt klar, dass die bloße Benennung einer Stelle als "Verantwortlicher" durch nationales Recht (hier: § 2 des Tiroler Datenverarbeitungsgesetzes – TDVG) nicht ausreicht, um diese tatsächlich als Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO zu qualifizieren.
Entscheidend ist, wer tatsächlich die Befugnis hat, über die Zwecke und Mittel der Datenverarbeitung zu entscheiden.
Der EuGH betont die Notwendigkeit einer unionsweiten, autonomen und einheitlichen Auslegung des Begriffs "Verantwortlicher", um einen gleichwertigen Schutz der Grundrechte in allen Mitgliedstaaten sicherzustellen (Rn. 25).
2. Die relevante Bestimmung im österreichischen Recht (§ 2 TDVG)
§ 2 TDVG bestimmt pauschal das "Amt" als Verantwortlichen.
Der EuGH lässt offen, ob diese Bestimmung grundsätzlich mit der DSGVO vereinbar ist (Rn. 33).
Er betont jedoch, dass die Anwendung dieser Bestimmung im Einzelfall dazu führen kann, dass die Anforderungen der DSGVO
-
Autonome Auslegung der DSGVO (Art. 4 Nr. 7): Der Begriff des "Verantwortlichen" ist autonom auszulegen. Nationale Regelungen, die diesen
Begriff definieren, müssen mit der DSGVO vereinbar sein (Rn. 25).
-
Faktische Kontrolle entscheidend: Es kommt auf die faktische Möglichkeit an, die Datenverarbeitung zu steuern. Wer bestimmt die Zwecke
(den "Warum") und die Mittel (das "Wie") der Verarbeitung? Entscheidend ist, wer die "Entscheidungsgewalt" (Rn. 28) über die Datenverarbeitung hat.
-
Effektiver Schutz der Daten: Nationale Regelungen dürfen den effektiven Schutz personenbezogener Daten gemäß der DSGVO nicht untergraben
(Rn. 25). Die Grundrechte der betroffenen Personen (Art. 8 GRCh, Art. 16 AEUV) müssen gewährleistet sein (Rn. 24).
- Berücksichtigung der Erwägungsgründe: Der EuGH verweist auf die Erwägungsgründe 45 und 74 der DSGVO, die die Verantwortung und Haftung des Verantwortlichen für jede Verarbeitung hervorheben (Rn. 29).
4. Konsequenzen für den konkreten Fall
Der EuGH überlässt es dem vorlegenden Gericht (VwGH), im konkreten Fall zu prüfen, ob das Amt tatsächlich die Entscheidungsgewalt über die Zwecke und Mittel der Verarbeitung der Daten für den Versand der "Impferinnerungsschreiben" hatte (Rn. 31).
Dabei soll der VwGH berücksichtigen, dass das Amt selbst angegeben hat, die Eigenschaft eines "Verantwortlichen" zu haben und das Schreiben an CW von ihm stammte (Rn. 32).
5. Bedeutung für die Praxis
-
Vorrang des Unionsrechts: Nationale Regelungen müssen im Lichte der DSGVO ausgelegt werden.
-
Einzelfallprüfung erforderlich: Auch wenn das nationale Recht eine Stelle als Verantwortlichen benennt, muss im Einzelfall geprüft
werden, wer tatsächlich die Kontrolle über die Datenverarbeitung hat.
-
Rechenschaftspflicht: Organisationen müssen ihre datenschutzrechtlichen Verantwortlichkeiten klar definieren und dokumentieren.
- Sorgfaltspflichten: Verantwortliche müssen sicherstellen, dass sie über eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen und dass die Datenverarbeitung den Grundsätzen der DSGVO entspricht (Rechtmäßigkeit, Zweckbindung, Datenminimierung usw.).
6. Weiterführende Überlegungen
Das Urteil unterstreicht die Bedeutung des Konzepts der "Rechenschaftspflicht" (Art. 5 Abs. 2 DSGVO). Organisationen müssen nicht nur die DSGVO einhalten, sondern dies auch nachweisen können.
Dies erfordert eine sorgfältige Analyse der Datenverarbeitungsprozesse und eine klare Zuweisung von Verantwortlichkeiten.
Kommentar schreiben