Zur Navigation springen Zum Inhalt springen Zum Footer springen

EU-Datenschutzgrundverordnung: Wer ist bei Auftragsverarbeitung verantwortlich?

(4)

Werden Daten im Auftrag verarbeitet, ist grundsätzlich der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter erster Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Von der Auftragsverarbeitung abzugrenzen ist dabei die Joint Controllership. Hierbei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtigt und gemeinsam fest (Art. 26 EU-DSGVO). In diesem Fall kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Wer haftet bei Datenschutzverstößen?

Die Haftung für Datenschutzverstöße nach Art. 82 DSGVO ändert sich im Vergleich zum bisherigen Schadensersatzrecht grundlegend. Anders als im BDSG, das nur eine Haftung des Auftraggebers vorsieht, finden sich in Art 82 EU-DSGVO schärfere Haftungsregeln:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Demnach haftet der externe Dienstleister, d. h. der Auftragnehmer, direkt gegenüber dem Geschädigten. 

Um dem Geschädigten die Durchsetzung seiner Forderung zu erleichtern, führt die EU-Datenschutzgrundverordnung darüber hinaus die gesamtschuldnerische Haftung des Auftraggebers und des Auftragnehmers ein: Der für die Verarbeitung Verantwortliche (sprich Auftraggeber) und der Auftragsverarbeiter (sprich Auftragnehmer) haften gegenüber dem Betroffenen gemeinsam. 

Das bedeutet, jeder haftet im Außenverhältnis auf den gesamten Schaden. Allerdings beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten. 

Möglichkeit der Exkulpation 

Beiden, Auftraggeber und Auftragnehmer, steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Welche besonderen Pflichten hat der Auftragsverarbeiter?

Der Auftragsverarbeiter unterliegt nach der EU-Datenschutzgrundverordnung mehreren Dokumentationspflichten, um nachzuweisen, dass die von ihm vorgenommene Verarbeitung personenbezogener Daten den Vorschriften der Datenschutzgrundverordnung entspricht. Gemäß Art. 30 Abs. 2 DSGVO müssen Auftragsverarbeiter ein Verzeichnis über ihre Verarbeitungstätigkeiten führen. 

Das Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, war bisher nur für Auftraggeber verpflichtend. Daneben bestehen die bekannten Meldepflichten aus dem BDSG grundsätzlich fort.

Welche Sanktionen drohen Unternehmen?

Mit der EU-DSGVO verschärfen sich die Strafen. Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. EU-DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 EU-DSGVO Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Unternehmen sollten daher besonderes Augenmerk auf eine rechtskonforme Ausgestaltung ihrer Datenverarbeitung legen.

Was sollten Unternehmen beachten?

In der Übergangsphase sollten bestehende Prozesse und Verträge zur Datenverarbeitung im Auftrag überprüft werden. Neu abzuschließende Verträge sind so abzufassen, dass sie die Rechtslage nach der EU-Datenschutzgrundverordnung berücksichtigen.

Die Hamburger Anwaltskanzlei Johannes berät Unternehmen auf dem Gebiet Datenschutz-Compliance. Als Ansprechpartner für Fragen rund um die Auftragsverarbeitung steht Ihnen Rechtsanwalt Kay Ole Johannes gerne zur Verfügung.


Rechtstipp vom 03.03.2018

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.