F\u00fcr alle datenschutzrechtlichen Belange ist grunds\u00e4tzlich die Verantwortliche Stelle i.S.d. Art. 4 Nr. 7 DSGVO verantwortlich. Das bedeutet, dass die verantwortliche Stelle Ma\u00dfnahmen zu treffen hat, die nach Ihrer Einsch\u00e4tzung f\u00fcr einen datenschutzkonformen Umgang notwendig sind. Werden Verarbeitungsvorg\u00e4nge personenbezogener Daten ganz oder teilweise an externe Dienstleister ausgelagert, verbleibt der Auftraggeber grunds\u00e4tzlich f\u00fcr die Verarbeitungen \u201eseiner\u201c Daten verantwortlich.<\/p>\n
Der Auftragsverarbeiter, also der externe Dienstleister, ist dabei das ausf\u00fchrende Organ. Er ist insofern zur Auskunft und Unterst\u00fctzung verpflichtet, um dem Auftraggeber eine datenschutzkonforme Entscheidung \u00fcber zu treffende Ma\u00dfnahmen zu erm\u00f6glichen. Er ist zudem dazu verpflichtet, die Daten des Auftraggebers nach dessen Weisung zu behandeln und \u00fcber Umst\u00e4nde, die sich in der Risikosph\u00e4re des Dienstleisters ereignen, zu informieren.<\/p>\n
Grunds\u00e4tzlich bedeutet dies, dass die verantwortliche Stelle einen nicht datenschutzkonformen Umgang zu vertreten hat und dementsprechend f\u00fcr Verst\u00f6\u00dfe haftet, gleich bei wem oder wo die tats\u00e4chliche Verarbeitung stattfindet.<\/p>\n
Dieser Grundsatz gilt allerdings nicht uneingeschr\u00e4nkt.<\/p>\n
Innenverh\u00e4ltnis<\/strong><\/p>\n Setzt sich der Dienstleister \u00fcber Weisungen des Auftraggebers hinweg, l\u00f6st dies im Innenverh\u00e4ltnis Haftungsanspr\u00fcche gegen den Dienstleister aus.<\/p>\n Auch eine Verletzung der vorab aufgezeigten Pflichten des Dienstleisters begr\u00fcndet ggf. vertragliche Haftungsanspr\u00fcche des Auftraggebers. Unterl\u00e4sst es der Dienstleister beispielsweise, den Auftraggeber darauf aufmerksam zu machen, dass eine Datenverarbeitung m\u00f6glicherweise gegen geltendes Datenschutzrecht verst\u00f6\u00dft, kann dies im Innenverh\u00e4ltnis Schadensersatzanspr\u00fcche ausl\u00f6sen.<\/p>\n Bu\u00dfgeld neben Anordnungen<\/strong><\/p>\n Auch im Au\u00dfenverh\u00e4ltnis kann der Dienstleister haftbar gemacht werden. Bezogen auf Ma\u00dfnahmen der Datenschutzbeh\u00f6rden ist auch der Dienstleister eigenst\u00e4ndig verpflichtet, Weisungen der Datenschutzbeh\u00f6rde nach Art. 58 DSGVO Folge zu leisten. Diese Anordnungen k\u00f6nnen auch gem\u00e4\u00df Art. 58 Abs. 2 lit. i DSGVO alternativ oder parallel durch ein Bu\u00dfgeld geahndet werden. Die grunds\u00e4tzliche Verantwortlichkeit des Auftraggebers wird hierdurch ein St\u00fcck weit durchbrochen. Ausschlaggebend bei der Verh\u00e4ngung eines Bu\u00dfgeldes ist nach Art. 83 Abs. 2 lit. d DSGVO der \u201eGrad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters\u201c. Um diesen Grad der Verantwortung auszutarieren, ist es dem Dienstleister angeraten, auf m\u00f6gliche datenschutzrechtliche Verst\u00f6\u00dfe hinzuweisen und eine ausdr\u00fcckliche Weisung der verantwortlichen Stelle einholen, um nicht von der Datenschutzbeh\u00f6rde f\u00fcr den Versto\u00df zur Rechenschaft gezogen zu werden. Bereits die Unterlassung einer Mitteilung \u00fcber m\u00f6gliche datenschutzrechtliche Verst\u00f6\u00dfe stellt eine nach Art. 83 Abs. 4 lit. a DSGVO bu\u00dfgeldbewehrte Handlung dar (neben den m\u00f6glichen zivilrechtlichen Anspr\u00fcchen im Innenverh\u00e4ltnis).<\/p>\n Inanspruchnahme durch Gesch\u00e4digte<\/strong><\/p>\n Neben der Inanspruchnahme durch die Aufsichtsbeh\u00f6rde k\u00f6nnen durch Verst\u00f6\u00dfe gegen das Datenschutzrecht auch Schadensersatz und Unterlassungsanspr\u00fcche auf Seiten von Betroffenen \/ Gesch\u00e4digten ausgel\u00f6st werden. Durch eine Haftungsanordnung in Art. 82 Abs. 4 DSGVO entsteht letzten Endes auch eine gesamtschuldnerische Haftung gegen\u00fcber Gesch\u00e4digten. Dem Gesch\u00e4digten ist es unbenommen, seinen Haftungsgegner selbst zu w\u00e4hlen. Der Gesch\u00e4digte kann sowohl den Verantwortlichen als auch den Auftragsverarbeiter in Anspruch nehmen. Unabh\u00e4ngig von m\u00f6glichen Ausgleichsm\u00f6glichkeiten im Innenverh\u00e4ltnis untereinander entsteht durch diese Regelung zumindest das Prozess- und Ausfallrisiko auch auf Seiten des Dienstleisters.<\/p>\n Weitere Haftungserweiterung bei Datentransfers in Drittl\u00e4nder<\/strong><\/p>\n Durch Wegfall des Privacy Shields zur Legitimation von Daten\u00fcbermittlungen in die USA ergeben sich zus\u00e4tzliche Haftungsfelder zwischen Verantwortlichen und Dienstleistern. Daten\u00fcbermittlungen, die bislang auf den Privacy Shield gest\u00fctzt waren, sind ohne \u00dcbergangsfrist nach dem Urteil des EuGH rechtswidrig und bu\u00dfgeldbewehrt und durch Gesch\u00e4digte verfolgbar, sofern nicht andere Ma\u00dfnahmen zur Sicherstellung des Datenschutzes durch den Verantwortlichen getroffen werden. Als alternative M\u00f6glichkeit zur Herstellung eines ad\u00e4quaten Datenschutz-Niveaus im nicht-europ\u00e4ischen Ausland bieten sich die vorab von der Europ\u00e4ischen Kommission genehmigten Standard-Vertragsklauseln (SVK) an.<\/p>\n Hierin enthalten ist in Klausel 6 (SVK bei \u00dcbermittlungen an einen Auftragsverarbeiter) eine umfassende Ausdehnung der Haftung auf Subdienstleister. Diese Haftungs\u00fcbernahme durch den Subdienstleister besteht sogar verschuldensunabh\u00e4ngig<\/strong>. Einzige Voraussetzung ist der faktische Ausfall des erstrangig in Anspruch zu nehmenden Verantwortlichen.<\/p>\n Zusammenfassend<\/strong><\/p>\n Nicht immer gilt der Grundsatz der Haftung der verantwortlichen Stelle. Zugunsten des Rechtsschutzes f\u00fcr Betroffene wurde die Haftung an vielen Stellen auch auf den Dienstleister ausgeweitet. Es liegt im Interesse aller Beteiligten, klare Verh\u00e4ltnisse zu schaffen. Insbesondere im Falle einer \u00c4nderung der Rechtslage sollten die Verantwortlichkeiten klar kommuniziert werden und Entscheidungen durch den Verantwortlichen herbei gef\u00fchrt werden, um m\u00f6gliche Haftungsrisiken auf allen Seiten zu minimieren.<\/p>\n Nicole Krause<\/p>\n juristische Mitarbeiterin der GINDAT GmbH<\/p>\n","protected":false},"excerpt":{"rendered":" F\u00fcr alle datenschutzrechtlichen Belange ist grunds\u00e4tzlich die Verantwortliche Stelle i.S.d. Art. 4 Nr. 7 DSGVO verantwortlich. Das bedeutet, dass die verantwortliche Stelle Ma\u00dfnahmen zu treffen hat, die nach Ihrer Einsch\u00e4tzung f\u00fcr einen datenschutzkonformen Umgang notwendig sind. Werden Verarbeitungsvorg\u00e4nge personenbezogener Daten ganz oder teilweise an externe Dienstleister ausgelagert, verbleibt der Auftraggeber grunds\u00e4tzlich f\u00fcr die Verarbeitungen \u201eseiner\u201c … <\/p>\n