Ein Urteil des EuGH (C-683/21) schafft Klarheit zwischen Organisationen und IT-Dienstleistern zu Fragen rund um die Datenverantwortung bei der Softwareentwicklung.
Der Europäische Gerichtshof entschied nach Vorlage von einem litauischen Gericht, dass eine Organisation, die Unternehmen mit der App-Entwicklung beauftragt, ebenfalls die Verantwortung bei der Datenverarbeitung trägt.
Bei dem Fall aus Litauen ging es um das Nationale Zentrum für öffentliche Gesundheit Litauen, welches das Unternehmen ITSS mit der Entwicklung einer App zur Erfassung und Überwachung der von Covid19 Daten beauftragt hat. In diesem Rahmen wurden Daten nicht DS-GVO-konform verarbeitet, weshalb die litauische Datenschutzbehörde beiden eine Geldbuße auferlegte.
Im folgenden Prozess legten litauische Gerichte dem EuGH Fragen vor, im Zuge derer der EuGH die oben genannte Entscheidung fällte. Zugleich stellte der EuGH einerseits klar, dass die reine Erwähnung einer Organisation als Verantwortlicher in der Datenschutzerklärung nicht ausreiche, ebenso wie das Bereitstellen von Links zu eben dieser, um die Organisation als Verantwortlichen festzulegen. Auch entschied der EuGH, dass die Verarbeitung personenbezogener Daten für „IT-Tests“ eine „Verarbeitung“ nach DS-GVO sei.
Für beide Seiten – Entwickler und Auftraggeber – zieht diese Entscheidung Folgen nach sich. Denn somit sind auch Auftraggeber in der Pflicht für die Datenverarbeitung und müssen als Verantwortliche in die Datenschutzerklärung aufgenommen werden, wenn sie Einfluss auf die Verarbeitungszwecke und -mittel nehmen. Entwickler müssen auf der anderen Seite genau darauf achten, dass sie mit ihren Auftraggebern wichtige Datenschutzfragen detailliert und definiert klären und dies auch ausführlich dokumentieren.
(Bild: tippapatt – stock.adobe.com)