EU-Datenschutzgrundverordnung: Wer ist bei Auftragsverarbeitung verantwortlich?

03.03.2018
2 Minuten Lesezeit

Werden Daten im Auftrag verarbeitet, ist grundsätzlich der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter erster Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben zuständig.

Von der Auftragsverarbeitung abzugrenzen ist dabei die Joint Controllership. Hierbei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtigt und gemeinsam fest (Art. 26 EU-DSGVO). In diesem Fall kann der Betroffene seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

Wer haftet bei Datenschutzverstößen?

Die Haftung für Datenschutzverstöße nach Art. 82 DSGVO ändert sich im Vergleich zum bisherigen Schadensersatzrecht grundlegend. Anders als im BDSG, das nur eine Haftung des Auftraggebers vorsieht, finden sich in Art 82 EU-DSGVO schärfere Haftungsregeln:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“

Demnach haftet der externe Dienstleister, d. h. der Auftragnehmer, direkt gegenüber dem Geschädigten.

Um dem Geschädigten die Durchsetzung seiner Forderung zu erleichtern, führt die EU-Datenschutzgrundverordnung darüber hinaus die gesamtschuldnerische Haftung des Auftraggebers und des Auftragnehmers ein: Der für die Verarbeitung Verantwortliche (sprich Auftraggeber) und der Auftragsverarbeiter (sprich Auftragnehmer) haften gegenüber dem Betroffenen gemeinsam.

Das bedeutet, jeder haftet im Außenverhältnis auf den gesamten Schaden. Allerdings beschränkt sich die Haftung des Auftragsverarbeiters auf Verstöße gegen speziell den Auftragsverarbeitern auferlegten Pflichten.

Möglichkeit der Exkulpation

Beiden, Auftraggeber und Auftragnehmer, steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Welche besonderen Pflichten hat der Auftragsverarbeiter?

Der Auftragsverarbeiter unterliegt nach der EU-Datenschutzgrundverordnung mehreren Dokumentationspflichten, um nachzuweisen, dass die von ihm vorgenommene Verarbeitung personenbezogener Daten den Vorschriften der Datenschutzgrundverordnung entspricht. Gemäß Art. 30 Abs. 2 DSGVO müssen Auftragsverarbeiter ein Verzeichnis über ihre Verarbeitungstätigkeiten führen.

Das Verzeichnis, das inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis ähnelt, war bisher nur für Auftraggeber verpflichtend. Daneben bestehen die bekannten Meldepflichten aus dem BDSG grundsätzlich fort.

Welche Sanktionen drohen Unternehmen?

Mit der EU-DSGVO verschärfen sich die Strafen. Bei Verstößen gegen die Verpflichtungen der Art. 28 ff. EU-DSGVO drohen den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern nach Art. 83 EU-DSGVO Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Unternehmen sollten daher besonderes Augenmerk auf eine rechtskonforme Ausgestaltung ihrer Datenverarbeitung legen.

Was sollten Unternehmen beachten?

In der Übergangsphase sollten bestehende Prozesse und Verträge zur Datenverarbeitung im Auftrag überprüft werden. Neu abzuschließende Verträge sind so abzufassen, dass sie die Rechtslage nach der EU-Datenschutzgrundverordnung berücksichtigen.

Die Hamburger Anwaltskanzlei Johannes berät Unternehmen auf dem Gebiet Datenschutz-Compliance. Als Ansprechpartner für Fragen rund um die Auftragsverarbeitung steht Ihnen Rechtsanwalt Kay Ole Johannes gerne zur Verfügung.

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Kay Ole Johannes

Veröffentlicht von:

Rechtsanwalt Kay Ole Johannes

Allgemeines Vertragsrecht • Gewerblicher Rechtsschutz • IT-Recht • Urheberrecht & Medienrecht • Wettbewerbsrecht

Patentrecht • Markenrecht • Handelsrecht & Gesellschaftsrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Kay Ole Johannes

Post von der H.J. Jäger GmbH erhalten? Erste-Hilfe-Tafel

„ Drei Peitinger Geschäftsfrauen warnen vor einem möglichen Betrug: Der Vertrag für eine Anzeige an exklusiver Stelle auf einer Erste-Hilfe-Tafel "deutet auf eine Abzocke hin ". So konnte man es ... Weiterlesen
Rechnung von der H.J. Jäger GmbH erhalten? Erste-Hilfe-Tafeln

„Ergotherapeut Dominik L. ist sich ziemlich sicher: Er und mindestens fünf weitere Selbstständige aus Barsinghausen sind Betrügern aufgesessen. Sie haben bei der Firma H.J. Jäger GmbH Anzeigen auf ... Weiterlesen
Abmahnungen der Kanzlei rka Rechtsanwälte – so reagieren Sie richtig!

Die Kanzlei rka Rechtsanwälte Reichelt Klute GbR ist eine Kanzlei, die im Bereich Filesharing-Abmahnungen tätig ist. Abgemahnt wurden beispielsweise angebliche Urheberrechtsverstöße an PC-Spielen ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Kay Ole Johannes

Weitere

Beiträge zum Thema

Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten

17.01.2023

Auftragsverarbeitung: Was ist das? Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt ... Weiterlesen
EU-Datenschutzgrundverordnung: Anforderungen an die Auftragsverarbeitung

02.03.2018

Bedient sich ein Unternehmen eines Dritten zur Verarbeitung von personenbezogenen Daten, liegt häufig eine ... Weiterlesen
Auftragsverarbeitung und Auftragsverarbeitungsvertrag Art. 28 DSGVO

26.08.2021

Auftragsverarbeitung Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. ... Weiterlesen