Dreh- und Angelpunkt der Regelung des Datenschutzes im Unternehmen ist die Wahrnehmung der Verantwortung bei einer Datenverarbeitung.
Gemäß der DSGVO ist der Auftraggeber in der Regel Verantwortlicher und trägt die volle Verantwortung für die Tätigkeiten des Auftragnehmers. Ebenso auch bei einer gemeinsamen Verantwortung, die ja die Haftung aufteilen würde, so wie es der Name der „gemeinsamen Verantwortung“ sagt.
Die Haftung im Rahmen einer Auftragsverarbeitung und einer gemeinsamen Verantwortung sind in Artikel 82 DSGVO geregelt.
Könnte man es nicht auch so betrachten, dass in Artikel 82 DSGVO nicht nur die Haftung, sondern auch die Ausnahmenfür eine Haftung geregelt wird?
Hier spielen Transparenz- und Nachweispflichten eine große Rolle. Das fängt bei der eigenen Verarbeitung und der sich daraus ergebenen Rechenschaftspflicht an, denn es ist ein erheblicher Unterschied, ob etwas aus Fahrlässigkeit, grober Fahrlässigkeit oder Vorsatz geschieht.
Je besser ein Unternehmen nachweisen kann, wie eine Risikobeurteilung und Risikominimierung für die Betroffenenrechte vorgenommen wurde, ausreichende technische und organisatorische Maßnahmen (kurz TOM) nachweisen kann, sowie eine Prüfung der Schutzziele (Art. 5 DSGVO), desto besser kann es sich eventuell von der Haftung befreien.
Kurz, jedes Unternehmen muss für sich belegen, dass alle Maßnahmen eingehalten werden, um die Vorgaben und Pflichten der DSGVO zu erfüllen. So dass bei einem Haftungsersuchen ggf. belegt werden kann, alle notwendigen Maßnahmen ergriffen zu haben, um in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich zu sein.
Auch der Artikel 82 DSGVO greift auf diese Rechenschaftspflicht zurück:
Haftung und Recht auf Schadenersatz (Art. 82 DSGVO)
- Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
- Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
- Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
- Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
Im Interesse eines jeden Unternehmens sollte es daher sein, die Datenverarbeitungen, die in Artikel 26 und 28 geregelt werden individuell und ausführlich zu klären. Denn letztendlich könnte es hier auch um eine Haftungsübernahme im Schadensfall gehen.
Es sind die eigenen Verantwortungen und Rahmenbedingungen individuell vertraglich festzulegen, zu überprüfen, sowie diese zu protokollieren:
- Vertragspartner gewissenhaft auswählen,
- individuelle Verträge schließen, bzw. Vertragsvorlagen sorgfältig anpassen,
- die angegebenen, getroffenen Maßnahmen sollten nach Angemessenheit und Einhaltung überprüft werden und dem Verarbeitungszweck entsprechen.
Der Grundgedanke des Artikel 82 ist der Schutz der betroffenen Person. Diese soll davor geschützt werden, dass sich Parteien durch vertragliche Regelungen aus der Haftung nehmen.
Selbst wenn eine Befreiung aus der Haftung wie in Artikel 82 (4) DSGVO nicht möglich ist, hilft dies bei der nachträglichen Aufteilung der Schadenersatzzahlung im Innenverhältnis.