EuGH: Verantwortlichkeit von Organisationen ohne Rechtspersönlichkeit

4. März 2025

Der Europäische Gerichtshof (EuGH) hat sich in einem Urteil (C-638/23) vom 27.02.2025 mit der Verantwortlichkeit nach der Datenschutzgrundverordnung (DSGVO) von Organisationen ohne Rechtspersönlichkeit und Rechtsfähigkeit auseinandergesetzt. Im Mittelpunkt steht die Frage, unter welchen Bedingungen eine Einrichtung als Verantwortlicher für die Verarbeitung personenbezogener Daten gilt, wenn sie lediglich als Hilfsapparat einer Behörde tätig wird. Konkret ging es um eine rechtswidrige Datenverarbeitung im Rahmen von Erinnerungen zur COVID-19-Impfung.

Hintergrund: Impferinnerungsschreiben für COVID-19

Der Fall vor der dem EuGH betrifft eine Beschwerde gegen das Amt der Tiroler Landesregierung (Amt). Diese Verwaltungseinheit hatte ein Impferinnerungsschreiben an volljährige Einwohner versandt, die noch nicht gegen COVID-19 geimpft waren. Zur Ermittlung der Adressinformationen beauftragte das Amt zwei private Unternehmen zum abgleichen von Informationen aus dem Impfregister und dem Patientenindex.

Ein Betroffener reichte deshalb am 21.12.2021 eine Beschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Diese stellte am 22.08.2022 eine Rechtswidrigkeit der Datenverarbeitung, aufgrund einer fehlenden gesetzlichen Grundlage für den Zugriff auf das Impfregisters, fest.

Das Amt argumentierte, dass es nicht als Verantwortlicher nach Art. 4 Nr. 7 DSGVO anzusehen sei, da es als bloße Dienststelle lediglich im Auftrag des Landeshauptmanns von Tirol gehandelt habe und lediglich einen Vorschlag für die Impferinnerung an diesen gesendet habe. Daher entscheide es selbst nicht über die Zwecke und Mittel der Verarbeitung und sei deshalb auch nicht als Verantwortlicher anzusehen. Der zuständige Verwaltungsgerichtshof fragte nun den EuGH, ob Organisationen ohne eigene Rechtspersönlichkeit oder -fähigkeit datenschutzrechtlich verantwortlich sein können.

Entscheidung des EuGH

Der EuGH stellte in seinem Urteil fest, dass eine Hilfsverwaltungseinheit auch wenn sie keine eigene Rechtspersönlichkeit oder Rechtsfähigkeit hat, nicht zwangsläufig von der Charakterisierung als Verantwortlicher ausgeschlossen ist. Das Gericht erklärte, dass nationale Gesetze eine solche Einheit als Verantwortlichen benennen können, sofern folgende Bedingungen erfüllt sind:

  1. Die Einheit müsse in der Lage sein, die Rechte der betroffenen Personen im Sinne der DSGVO zu wahren und den Pflichten eines Verantwortlichen nachzukommen, so Erwägungsgrund 74 der DSGVO. Das müsse sowohl aus rechtlicher als auch aus tatsächlicher Sicht der Fall sein. Für die Stellung als Verantwortlicher spreche hier, dass das Amt gegen Entscheidungen der Datenschutzbehörde Beschwerde einlegen und auch Gegenstand einer solchen sein kann. Zudem sei es auch in der Lage gewesen, zwei private Unternehmen zu beauftragen.
  2. Die nationale Gesetzgebung müsse, explizit oder implizit, den Rahmen der Datenverarbeitung und die Verantwortlichkeit der Einheit festlegen. Bei impliziter Benennung müssten sich Zweck und Mittel aus der Rolle, dem Auftrag und den Aufgaben der Einrichtung ergeben.

Fazit

Hiermit schafft der EuGH Klarheit darüber, unter welchen Bedingungen Verantwortlichkeit im Sinne der DSGVO von Organisationen ohne Rechtspersönlichkeit besteht. Es genügt nicht, formale Strukturen oder rechtliche Konstruktionen vorzuschieben, um sich der Verantwortung zu entziehen. Vielmehr kommt es darauf an, ob eine Stelle faktisch die Kontrolle über die Datenverarbeitung hat und ihren Pflichten nachkommen kann.

Kategorien: COVID-19-Virus · Datenschutz in der Verwaltung · Datenverarbeitung · DSGVO · EuGH-Urteil · Rechtsprechung · Verantwortliche