Belgien: 120.000 € Bußgeld wegen falscher Einstufung als Auftragsverarbeiter

Belgische Aufsichtsbehörde wertet fehlerhafte Rollenbestimmung als eigenständigen DSGVO-Verstoß

Die belgische Datenschutzaufsichtsbehörde, die Autorité de protection des données (APD), hat mit Entscheidung vom 12. Mai 2026 (103/2026, DOS-2021-01999) ein Bußgeld in Höhe von 120.000 € gegen die Isabel SA verhängt. Das Unternehmen ist im Bereich digitaler Finanzdienstleistungen für Unternehmen tätig.

Anlass des Verfahrens war die datenschutzrechtliche Einordnung der Rolle von Isabel SA bei der Verarbeitung personenbezogener Daten im Rahmen ihres Authentifizierungsdienstes „TruliUs“. Das Unternehmen sah sich hinsichtlich einzelner Verarbeitungsvorgänge lediglich als Auftragsverarbeiter. Die APD kam dagegen zu dem Ergebnis, dass Isabel SA selbst Verantwortliche war.

Der Fall: Bereitstellung eines Authentifizierungsdienstes

Von Oktober 2020 bis März 2023 betrieb Isabel SA den Dienst TruliUs, mit dem sich natürliche Personen digital im Namen eines Unternehmens identifizieren und gegenüber Geschäftspartnern authentifizieren konnten.

Am 29. März 2021 reichte ein Nutzer des Dienstes Beschwerde bei der belgischen Datenschutzbehörde ein. Im Rahmen der Beschwerde beanstandete er insbesondere Abweichungen zwischen den Angaben in der Datenschutzinformation von TruliUs und den tatsächlich erhobenen Daten. Für den Beschwerdeführer war nicht nachvollziehbar, weshalb für die Authentifizierung Angaben wie Staatsangehörigkeit, Geburtsort, Geburtsdatum oder das Foto des Personalausweises erforderlich sein sollten. Darüber hinaus richtete der Beschwerdeführer zwei Auskunftsersuchen an das Unternehmen. Eine Antwort erhielt er jedoch nicht.

Die Beklagte verteidigte sich mit dem Argument, bei der Authentifizierung lediglich als Auftragsverarbeiter tätig zu sein. Verantwortlich für die Verarbeitung seien die Unternehmen, die den Dienst nutzten. Diese Rollenverteilung hatte Isabel SA auch in ihren Vertragsbedingungen festgelegt. Das Unternehmen ging daher davon aus, dass die datenschutzrechtlichen Pflichten gegenüber den betroffenen Personen von den jeweiligen Kunden zu erfüllen seien.

Rechtliche Einordnung: Auftragsverarbeitung vs. eigene Verantwortlichkeit

Die Aufsichtsbehörde folgte dieser Argumentation nicht. Nach Art. 4 Nr. 7 DSGVO ist Verantwortlicher, wer über die Zwecke und Mittel der Verarbeitung entscheidet. Die datenschutzrechtliche Rollenverteilung kann daher nicht allein durch vertragliche Regelungen festgelegt werden.

Ausschlaggebend für die Einordnung als Verantwortliche war nach Auffassung der Aufsichtsbehörde, dass Isabel SA den Dienst TruliUs eigenständig konzipiert, entwickelt und vermarktet hatte. Isabel SA legte nicht nur den Zweck der Authentifizierung selbst fest, sondern bestimmte auch, welche personenbezogenen Daten im Rahmen des Dienstes verarbeitet wurden. Zudem entschied das Unternehmen über die betroffenen Personengruppen, die Speicherdauer und die Empfänger der Daten. Die Kunden hatten auf diese wesentlichen Parameter keinen Einfluss, sondern konnten den Dienst lediglich nutzen oder ablehnen.

Nach Auffassung der APD sprach dies dafür, dass Isabel SA die Verarbeitung maßgeblich bestimmte und nicht lediglich im Auftrag ihrer Kunden handelte.

Die Behörde wies zudem darauf hin, dass Isabel SA sich für andere Verarbeitungen innerhalb desselben Dienstes durchaus selbst als Verantwortliche einstufte. Nach Auffassung der Behörde ließ sich die Verarbeitung im Rahmen der Authentifizierung nicht isoliert betrachten, da sie Teil eines funktional zusammenhängenden Verarbeitungsvorgangs war. Eine künstliche Aufspaltung der Verarbeitung in verantwortliche und auftragsverarbeitende Tätigkeiten sei daher nicht möglich.

Fehlerhafte Rollenbestimmung als eigenständiger DSGVO-Verstoß

Bemerkenswert an der Entscheidung ist, dass die belgische Aufsichtsbehörde die fehlerhafte Rollenbestimmung als eigenständigen Verstoß gegen den Grundsatz der Rechenschaftspflicht wertete. Nach Auffassung der Behörde hatte die unzutreffende Annahme, lediglich als Auftragsverarbeiter tätig zu sein, dazu geführt, dass Isabel SA ihre datenschutzrechtlichen Pflichten als Verantwortliche nicht ordnungsgemäß wahrnahm. Dies betraf insbesondere die Transparenzpflichten, die Bearbeitung von Betroffenenanfragen sowie die Einhaltung der Grundsätze der Datenminimierung und des Datenschutzes durch Voreinstellungen.

Bußgeldbemessung und berücksichtigte Faktoren

Bei der Bemessung des Bußgelds berücksichtigte die APD insbesondere die fehlerhafte Rollenbestimmung über einen Zeitraum von rund zweieinhalb Jahren sowie deren Bedeutung für die weiteren festgestellten Datenschutzverstöße.

Mildernd wirkten sich unter anderem die vergleichsweise geringe Zahl von rund 500 betroffenen Personen, das Fehlen einer Schädigungsabsicht sowie die Einstellung des Dienstes im Jahr 2023 einschließlich der Löschung der Daten aus.

Für die fehlerhafte Rollenbestimmung verhängte die Behörde ein Bußgeld von 120.000 €. Hinsichtlich der weiteren Verstöße beschränkte sie sich auf Verwarnungen.

Bedeutung für die Praxis

Die Entscheidung verdeutlicht, dass die datenschutzrechtliche Rollenverteilung nicht frei gewählt oder durch vertragliche Regelungen festgelegt werden kann. Maßgeblich sind vielmehr die tatsächlichen Umstände der Verarbeitung und die Frage, wer über deren Zwecke und wesentliche Mittel entscheidet.

Der Fall zeigt zudem, welche Tragweite eine fehlerhafte Einordnung haben kann. Nach Auffassung der APD stellte die unzutreffende Einordnung nicht nur einen eigenständigen Verstoß gegen die Rechenschaftspflicht dar, sondern wirkte sich auch auf die Umsetzung weiterer datenschutzrechtlicher Pflichten aus. Unternehmen sollten die datenschutzrechtlichen Verantwortlichkeiten daher sorgfältig prüfen und bei Änderungen der Verarbeitung erneut bewerten.

Praxis-Tipps

• Rollenverteilung frühzeitig prüfen: Klären Sie vor dem Einsatz eines Dienstes oder bereits während der Entwicklung eines eigenen Produkts, wer über Zwecke und wesentliche Mittel der Verarbeitung entscheidet und welche Rolle den beteiligten Parteien tatsächlich zukommt.
• Entscheidung nachvollziehbar dokumentieren: Halten Sie die Gründe für die gewählte Rollenverteilung schriftlich fest. So können Sie Ihre Einordnung gegenüber Kunden, Geschäftspartnern und Aufsichtsbehörden nachvollziehbar begründen.
• Datenverarbeitung auf das Erforderliche beschränken: Prüfen Sie, welche personenbezogenen Daten für den jeweiligen Zweck tatsächlich benötigt werden, und dokumentieren Sie die Erforderlichkeit der verarbeiteten Datenkategorien.
• Folgepflichten beachten: Die datenschutzrechtliche Einordnung entscheidet darüber, welche Pflichten Sie nach der DSGVO erfüllen müssen. Prüfen Sie daher, welche Anforderungen sich aus Ihrer Rolle ergeben, und stellen Sie deren Umsetzung sicher.