Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen Vorschriften, die bei Verstoß zu hohen Bußgeldern führen können. Unternehmen sollten daher sorgfältig prüfen, in welchem Umfang sie für was Verantwortung tragen.
Der folgende Beitrag gibt zunächst eine kurze Definition der jeweiligen Rollen, bevor auf deren Haftungsumfang eingegangen wird.
Unabhängig von der Ausgestaltung der gemeinsamen Verantwortung, gilt in Haftungsfälle immer Art. 82 Abs. 4 DSG-VO, welcher eine gesamtschuldnerische Haftung normiert. – Mareike Jockers
Verantwortlicher
Art. 4 Nr. 7 DSGVO definiert den Verantwortlichen als „natürliche oder juristische Person […] oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Das bedeutet, Verantwortlicher ist, wer Einfluss auf die Entscheidung über das WARUM (Zwecke) und das WIE (Mittel) der Datenverarbeitung nimmt. Diese Rolle kann sowohl eine Einzelperson als auch ein Unternehmen einnehmen. Der Verantwortliche ist für die Erfüllung seiner Pflichten aus der DSGVO verantwortlich und haftet bei Verstößen vollumfänglich.
Wird innerhalb eines Unternehmens ein Mitarbeitender mit der Verarbeitung von personenbezogenen Daten betraut, wird nicht etwa dieser Mitarbeitende zum Verantwortlichen. Der Mitarbeitende handelt vielmehr im Namen des Unternehmens, welches vertreten durch seine Geschäftsführer als Verantwortlicher agiert und bei Verstößen gegen Vorschriften der DSGVO in Haftung genommen werden kann.
Der Mitarbeitende wird jedoch dann selbst zum Verantwortlichen, wenn er seine erteilten Befugnisse bezüglich der Datenverarbeitung überschreitet und die personenbezogenen Daten für eigene Zwecke verarbeitet. In diesem Fall treffen den Mitarbeitenden alle von der DSGVO vorgeschriebenen Pflichten eines Verantwortlichen und folglich auch die Haftung bei Pflichtverletzungen.
Nun kann es jedoch sein, dass nicht nur eine (natürliche oder juristische) Person die Zwecke und Mittel der Verarbei-tung bestimmt, sondern mehrere Personen daran beteiligt sind. In diesem Fall spricht man von gemeinsam Verantwortlichen.
Gemeinsam Verantwortliche
Gemäß Art. 26 Abs. 1 DSGVO handelt es sich um gemeinsam Verantwortliche, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dabei kann die Ausgestaltung der Mitwirkung bei der Zweck- und Mittelfestlegung in Form einer gemeinsamen Entscheidung oder als konvergierende Entscheidung erfolgen.
Bei einer gemeinsamen Entscheidung werden, wie der Name schon vermuten lässt, gemeinsame Entscheidungen unter einer gemeinsamen Absicht getroffen. Bei konvergierenden Entscheidungen ergänzen sich die einzelnen Entscheidungen derart, dass eine Verarbeitung ohne Beteiligung der anderen Partei in dem gewünschten Sinne nicht möglich ist. Oder anders ausgedrückt: die Verarbeitungsvorgänge beider Parteien sind untrennbar miteinander verbunden.
Unabhängig von der Ausgestaltung der gemeinsamen Verantwortung, gilt in Haftungsfällen immer Art. 82 Abs. 4 DSGVO, welcher eine gesamtschuldnerische Haftung normiert. Das bedeutet, die betroffene Person kann im Falle eines erlittenen Schadens einen Schadensersatzanspruch gegenüber allen beteiligten Verantwortlichen geltend machen. Ein gemeinsam Verantwortlicher kann sich einer Haftung im Außenverhältnis somit nicht entziehen. Für die Haftung im Innenverhältnis zwischen den gemeinsam Verantwortlichen ist es darum umso wichtiger, in einem rechtlich bindenden Dokument unmissverständlich festzulegen, wer innerhalb der Datenverarbeitung welche Aufgabe zu erfüllen hat und wer welchen Pflichten unterliegt. Dieses Dokument gibt in Haftungssituationen Sicherheit.
Auftragsverarbeiter
Eine Auftragsverarbeitung liegt nach Art. 4 Nr. 8 DSGVO dann vor, wenn eine natürliche oder juristische Person […] oder andere Stelle personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Das heißt, der Auftragsverarbeiter führt die Verarbeitung personenbezogener Daten im Namen des Verantwortlichen durch. Über die Zwecke und wesentlichen Mittel der Verarbeitung bestimmt somit der Verantwortliche.
Die Unterscheidung zur gemeinsamen Verantwortung liegt demnach in der Festlegung der Zwecke und Mittel: Während bei der gemeinsamen Verantwortung die gemeinsame Festlegung der Zwecke und Mittel das ausschlaggebende Element darstellt, darf der Auftragsverarbeiter personenbezogene Daten gerade nicht für eigene Zwecke nutzen, sondern ist bei der Verarbeitung an die Weisungen des Verantwortlichen gebunden.
In Bezug auf die Festlegung der Mittel kann der Verantwortliche dem Auftragsverarbeiter allerdings einen Entscheidungsspielraum für die technischorganisatorische Umsetzung, also für nicht wesentliche Mittel, übertragen. Beispielsweise kann der Auftragsverarbeiter, sollte nichts Anderes im Auftragsverarbeitungsvertrag (AVV) festgelegt worden sein, über die eingesetzte Soft- und Hardware sowie über konkrete Sicherheitsmaßnahmen entscheiden.
Gem. Art. 82 Abs. 1 DSGVO haften der Verantwortliche und der Auftragsverarbeiter gesamtschuldnerisch gegenüber betroffenen Personen. Die betroffene Person kann also sowohl gegenüber dem Verantwortlichen als auch gegenüber dem Auftragsverarbeiter Schadensersatz verlangen. Im Innenverhältnis gilt jedoch, dass der Verantwortliche die Gesamtverantwortung für die Datenverarbeitung behält, wenn er sich eines Auftragsverarbeiters bedient. Er kann sich der Verantwortung für die Erfüllung seiner sich aus der DSGVO ergebenden Pflichten also nicht durch den Einsatz von Auftragsverarbeitern entziehen. Der Auftragsverarbeiter selbst haftet im Innenverhältnis nur bei Verstoß gegen Verpflichtungen, die sich für ihn aus der DSGVO ergeben, und wenn er sich nicht an rechtmäßige Anweisungen des Verantwortlichen hält.
Nutzt er die personenbezogenen Daten für eigene Zwecke, gilt der Auftragsverarbeiter als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO. Dies hat zur Folge, dass er, wie auch der Mitarbeitende, welcher seine Befugnisse bezüglich der Datenverarbeitung überschreitet, in Haftung genommen werden kann, sollte er die Pflichten eines Verantwortlichen nicht erfüllen.
Nicht unüblich ist es, dass sich der Auftragsverarbeiter zur Erfüllung der Weisungen des Verantwortlichen Unterauftragsverarbeitern bedient. Dafür ist eine vorherige schriftliche oder elektronische Genehmigung des Verantwortlichen einzuholen und dem Subunternehmer sind dieselben Datenschutzpflichten aufzuerlegen, die auch für den Auftragsverarbeiter gelten. Bei der Auswahl der Unterauftragnehmer ist sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter Vorsicht geboten. Denn der Verantwortliche bleibt weiterhin in der Gesamtverantwortung und der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen, sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nachkommen.
Fazit
Es kann festgehalten werden, dass sich die Stellung als unabhängige Verantwortliche, gemeinsam Verantwortliche oder Auftragsverarbeiter nicht immer einfach unterscheiden lässt, aber bei der Haftung im Außenverhältnis eine nur geringe Rolle spielt. Im Falle eines Schadens kann die betroffene Person bei jedem, der an der unrechtmäßigen Verarbeitung ihrer personenbezogenen Daten beteiligt ist, Schadensersatz verlangen.
Im Innenverhältnis sieht die Sache anders aus. Insbesondere bei gemeinsam Verantwortlichen dient ein rechtlich bindendes Dokument dazu, in Haftungssituationen Klarheit zu geben. Die klare Aufgabenverteilung und deren schriftliche Fixierung geben nicht nur Sicherheit bezüglich der Verantwortungsbereiche, sondern verhindern auch Bußgelder gem. Art. 83 Abs. 4 lit. a DSGVO. Als Auftragsverarbeiter sollte man sich seinen Pflichten bewusstwerden und die eingesetzten Subunternehmer sorgfältig auswählen, um nicht in die Haftung zu geraten. Die sorgfältige Auswahl von Auf-tragsverarbeitern sollte vor allem vom Verantwortlichen unter keinen Umständen vernachlässigt werden, denn dieser unterliegt stets der Gesamtverantwortung für die ordnungsgemäße Verarbeitung personenbezogener Daten.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
Autorin des Artikels: