1. Eine Einrichtung, die ein Unternehmen mit der Entwicklung einer mobilen IT-Anwendung [hier: zur Erfassung und Überwachung der Daten von COVID-19-Kontaktpersonen] beauftragt und an der Entscheidung über die Zwecke und Mittel der über die Anwendung vorgenommenen Datenverarbeitung mitgewirkt hat, kann als Verantwortlicher iSd Art 4 Z 7 DSGVO angesehen werden. Dies gilt auch dann, wenn sie selbst keine personenbezogene Daten betreffenden Verarbeitungsvorgänge durchgeführt, keine ausdrückliche Einwilligung zur Durchführung der konkreten Verarbeitungsvorgänge oder zur Bereitstellung dieser mobilen Anwendung für die Öffentlichkeit gegeben und die mobile Anwendung nicht erworben hat. Davon ausgenommen ist der Fall, dass sie der Bereitstellung der Anwendung für die Öffentlichkeit und der sich daraus ergebenden Datenverarbeitung vor dieser Bereitstellung ausdrücklich widersprochen hat.
