DSGVO und Auftragsdatenverarbeitung Teil II: Haftung des Auftragsverarbeiters unter der DSGVO 1

Grundsatz

Die ganz wesentliche Änderung für die IT-Branche ist der veränderte Haftungsrahmen. War die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften bisher weitgehend Sache des Auftraggebers, ist nun auch der Auftragnehmer verantwortlich. Die unter dem Art 32 DSGVO aufgeführten Punkte müssen von dem Verantwortlichen und dem Auftragsverarbeiter eingehalten werden. Zum Art 32 DSGVO komme ich an anderer Stelle noch einmal ausführlich, wichtig ist aber, dass die unter Art 32 DSGVO fallenden Maßnahmen nicht mehr nur vom Auftraggeber einzuhalten sind, sondern eben auch von dem Auftragsverarbeiter, also dem IT-Unternehmen. Und unter dem Art 82 DSGVO sind Sanktionen aufgeführt, die den Auftragsverarbeiter treffen können.

Damit ist das IT-Unternehmen den Betroffenen gegenüber verantwortlich, nicht nur dem Kunden. Und ein solcher Betroffener kann auch der Endkunde (Verbraucher) sein, der nun Ansprüche gegen das IT-Unternehmen selbst erhebt. Jeder (!) Verstoß kann Schadensersatzansprüche auslösen. Da die Verordnung selbst ja kaum klare Anweisungen darüber gibt, welche Handlungen vorzunehmen oder zu unterlassen sind, sollen die Behörden der Mitgliedsstaaten Rechtsakte zur Präzisierung vornehmen, woran es im Moment in Deutschland noch fehlt. Vor allem müsste man in Deutschland, wo die einzelnen Bundesländer gleichrangige Behörden haben, regeln was geschieht, wenn die einzelnen Landesbehörden zu unterschiedlichen Ansichten gelangen. Der Norden gilt allgemein als „schärfer“ als der Süden.

Gesamtschuldnerische Haftung, Achtung auf vertragliche Konstruktionen

Nach Art 82 Abs. 4 und Abs. 5 DSGVO haften Auftraggeber und Auftragnehmer als Gesamtschuldner. Jeder der Beiden haftet zunächst dem Betroffenen gegenüber auf Schadensersatz. Das ist insofern wichtig, als jetzt (Status Juni 2017) in vielen Verträgen, die von den Auftraggebern stammen, Regelungen auftauchen, nach deren Inhalt die Einhaltung „des Datenschutzes“ vom Auftragnehmer zu verantworten ist und Schadensersatzansprüche des Auftraggebers gegen den Auftragnehmer geregelt werden sollen. Das ist nach meiner Ansicht falsch. Unter dem BDSG, das bis zum 25. Mai 2018 gilt, ist der Auftraggeber verantwortlich und der Auftragnehmer strikt weisungsbefugt. Und auch unter der DSGVO ist diese Regelung so falsch, weil ja beide Teile verantwortlich sind und – ganz  wichtig – der Auftragnehmer nur dann haftet, wenn er gegen die Vorschriften verstößt, die für den Auftragsverarbeiter gelten oder rechtswidrig gegen  Weisungen des Auftraggebers verstößt. Solche vertraglichen Regelungen gehen also viel weiter als nach dem Gesetz vorgesehen ist.

Nach Art 24 DSGVO obliegt es den Mitgliedsstaaten, den Rahmen für die Sanktionen zu bestimmen. Aufgrund des Personalmangels – Überprüfungen sind selten – und des faktischen Umgangs mit dem Thema Datenschutz, das von vielen Unternehmen eher als zweitrangig eingestuft wurde, wurde der Sanktionsrahmen drastisch verschärft. Spezifische Verstöße im Rahmen der Auftragsverarbeitung ziehen Sanktionsmöglichkeiten von bis zu 10 Millionen oder 2% des Jahresumsatzes nach sich (Art 83 Abs.4 DSGVO).

Fortsetzung

Die Bußgeldregelungen der DSGVO sind am Kartellrecht orientiert. Sie sind überhaupt nicht auf den Mittelstand abgestellt. Und verstoßen wegen der mangelnden Bestimmtheit der Handlungsforderungen auf der einen und den drakonischen Strafmöglichkeiten auf der anderen Seite gegen den verfassungsrechtlichen Bestimmtheitsgrundsatz nach Art 103 II GG. Ich gehe darauf im nächsten Blog ein.

 

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen