Grundsatz
Die ganz wesentliche Änderung für die IT-Branche ist der veränderte Haftungsrahmen. War die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften bisher weitgehend Sache des Auftraggebers, ist nun auch der Auftragnehmer verantwortlich. Die unter dem Art 32 DSGVO aufgeführten Punkte müssen von dem Verantwortlichen und dem Auftragsverarbeiter eingehalten werden. Zum Art 32 DSGVO komme ich an anderer Stelle noch einmal ausführlich, wichtig ist aber, dass die unter Art 32 DSGVO fallenden Maßnahmen nicht mehr nur vom Auftraggeber einzuhalten sind, sondern eben auch von dem Auftragsverarbeiter, also dem IT-Unternehmen. Und unter dem Art 82 DSGVO sind Sanktionen aufgeführt, die den Auftragsverarbeiter treffen können.
Damit ist das IT-Unternehmen den Betroffenen gegenüber verantwortlich, nicht nur dem Kunden. Und ein solcher Betroffener kann auch der Endkunde (Verbraucher) sein, der nun Ansprüche gegen das IT-Unternehmen selbst erhebt. Jeder (!) Verstoß kann Schadensersatzansprüche auslösen. Da die Verordnung selbst ja kaum klare Anweisungen darüber gibt, welche Handlungen vorzunehmen oder zu unterlassen sind, sollen die Behörden der Mitgliedsstaaten Rechtsakte zur Präzisierung vornehmen, woran es im Moment in Deutschland noch fehlt. Vor allem müsste man in Deutschland, wo die einzelnen Bundesländer gleichrangige Behörden haben, regeln was geschieht, wenn die einzelnen Landesbehörden zu unterschiedlichen Ansichten gelangen. Der Norden gilt allgemein als „schärfer“ als der Süden.
Gesamtschuldnerische Haftung, Achtung auf vertragliche Konstruktionen
Nach Art 82 Abs. 4 und Abs. 5 DSGVO haften Auftraggeber und Auftragnehmer als Gesamtschuldner. Jeder der Beiden haftet zunächst dem Betroffenen gegenüber auf Schadensersatz. Das ist insofern wichtig, als jetzt (Status Juni 2017) in vielen Verträgen, die von den Auftraggebern stammen, Regelungen auftauchen, nach deren Inhalt die Einhaltung „des Datenschutzes“ vom Auftragnehmer zu verantworten ist und Schadensersatzansprüche des Auftraggebers gegen den Auftragnehmer geregelt werden sollen. Das ist nach meiner Ansicht falsch. Unter dem BDSG, das bis zum 25. Mai 2018 gilt, ist der Auftraggeber verantwortlich und der Auftragnehmer strikt weisungsbefugt. Und auch unter der DSGVO ist diese Regelung so falsch, weil ja beide Teile verantwortlich sind und – ganz wichtig – der Auftragnehmer nur dann haftet, wenn er gegen die Vorschriften verstößt, die für den Auftragsverarbeiter gelten oder rechtswidrig gegen Weisungen des Auftraggebers verstößt. Solche vertraglichen Regelungen gehen also viel weiter als nach dem Gesetz vorgesehen ist.
Nach Art 24 DSGVO obliegt es den Mitgliedsstaaten, den Rahmen für die Sanktionen zu bestimmen. Aufgrund des Personalmangels – Überprüfungen sind selten – und des faktischen Umgangs mit dem Thema Datenschutz, das von vielen Unternehmen eher als zweitrangig eingestuft wurde, wurde der Sanktionsrahmen drastisch verschärft. Spezifische Verstöße im Rahmen der Auftragsverarbeitung ziehen Sanktionsmöglichkeiten von bis zu 10 Millionen oder 2% des Jahresumsatzes nach sich (Art 83 Abs.4 DSGVO).
Fortsetzung
Die Bußgeldregelungen der DSGVO sind am Kartellrecht orientiert. Sie sind überhaupt nicht auf den Mittelstand abgestellt. Und verstoßen wegen der mangelnden Bestimmtheit der Handlungsforderungen auf der einen und den drakonischen Strafmöglichkeiten auf der anderen Seite gegen den verfassungsrechtlichen Bestimmtheitsgrundsatz nach Art 103 II GG. Ich gehe darauf im nächsten Blog ein.
