控制者对处理者承担责任——欧洲法院同意总检察长的观点

fabiha01

欧洲法院 (ECJ) 在2023 年 12 月 5 日的判决 (C-683/21)中不仅处理了共同数据保护责任（我们报道过）。立陶宛行政法院向欧洲法院提交的第六个也是最后一个问题涉及控制者对其处理者进行数据处理而产生的罚款的责任。

因此有人问...

…GDPR 第 83 (1) 条规定罚款必须有效、适度且具有劝阻作用，也涵盖了合同处理情况下控制者的责任，而处理者的非法数据处理自动导致控制者承担法律责任，并且

… GDPR 第 83（1）条还涵盖了控制者严格责任的情况。

欧洲法院现已裁定……

…控制者可能会因处理者执行的处理操作而被处以罚款，除非处理操作也是为了控制者自己的目的而进行的，比利时商业传真列表 或者个人数据的处理方式与控制者的规范不符或违反了合理推定的同意，并且

…罚款i。 S. d.艺术。仅当控制者故意或过失地违反数据保护规定时，才能实施 GDPR 第 83 条。

第二项声明在同一天得到了欧洲法院另一项判决（ C-807/21 ）的确认。

决定的影响
因此，欧洲法院同意欧盟总检察长埃米利乌的意见。后者在 2023 年 5 月的最终意见中也表达了同样的意见（我们报道过）。

选择合适的处理器并定期检查
正如预期的那样，根据不同的观点，该决定可以被理解为一种激励或警告，促使控制者在选择数据处理器时采取必要的谨慎态度。尤其是，控制者应全面、明确、准确地行使其指示权，并且还应与处理者通过合同规定这一权利。只有这样，控制者才能消除人们对处理者出于自身目的处理数据的责任的怀疑，并清楚地证明处理者在这种情况下充当了独立的控制者，因此应对自己承担责任。

然而，在按照指令进行数据处理的背景下，控制者的临时和/或定期审查（审计）对于控制者来说变得更加重要。此类审计的结果应在内部记录，如果有迹象表明技术和组织措施不足，则应考虑更换处理器。

（不是）潘多拉的盒子被打开了？
问题在于该判决是否也适用于处理器的所谓子处理器的数据处理。例如，控制者 B. 在分包过程中的疏忽程度如何？控制者的检查选项仅限于艺术的要求。 28（2）和（4）GDPR，即在聘用数据处理者时获得（一般或特定）批准，并验证分包处理的数据保护义务是否与合同处理的义务相符。由于控制者在整个链条中仍负有根本责任，因此不能排除在分包背景下的疏忽责任（例如，授权位于不安全的第三国的分包商而没有适当的保障）。

由于控制者与子处理者之间没有直接的合同关系，定期审计子处理者的义务应固定在控制者与处理者之间的原始数据处理合同中。控制者应不断监控此强制性审查的适当实施和结果，此强制性审查必须由处理者执行。

结论
总体而言，控制者在签订数据处理协议时，应更加注重界定数据处理的主题，描述其性质和目的，以及个人数据的性质和数据主体的类别，以明确界定处理者遵守指示的义务范围。此外，必须确保法定控制权在合同中得到充分约定，并且不会受到过度限制。