Drooms
Menü

Die EU-Datenschutzgrundverordnung und die Frage nach der persönlichen Haftung

19. April 2018 | Drooms Global

In unserer digitalen Welt ist es für Organisationen von größter Wichtigkeit, Datenschutzverletzungen zu verhindern oder schlimmstenfalls einzudämmern. Wenn vertrauliche Informationen an die Öffentlichkeit gelangen oder unrechtmäßig offengelegt werden, wird Haftung schnell zu einem Hauptproblem. Die Ursache für diesen Vorfall muss unbedingt identifiziert werden – nicht nur, um das Problem zu beheben, sondern auch, um Vorbeugemaßnahmen treffen zu können, damit Wiederholungen verhindert werden.


Was sagt die DSGVO über Datenschutzverletzungen?

Die neue Verordnung definiert eine Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten geführt hat. Es ist darauf hinzuweisen, dass Verletzungen sowohl versehentliche als auch absichtliche Ursachen umfassen. Zu Beispielsfällen gehören:

  • Das Senden personenbezogener Daten an den falschen Empfänger
  • Absichtliche oder unabsichtliche Handlungen des Auftragsverarbeiters oder des Verantwortlichen
  • Der Verlust von Zugang zu personenbezogenen Daten

Die meisten Organisationen haben in gewissem Maße mit personenbezogenen Daten zu tun. Die Art und Weise, in der sie diese Daten verarbeiten, speichern und verwalten, ist ausschlaggebend dafür, ob sie von der Verordnung als Verantwortliche oder Auftragsverarbeiter definiert werden.

Datenverantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten.

Im Falle einer Datenschutzverletzung müssen sowohl der Datenschutzbeauftragte als auch der Datenverarbeiter den Umfang des Schadens unverzüglich bestimmen und entsprechende Maßnahmen ergreifen. Wenn die Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen könnte, muss sie binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Je nach Art des Vorfalls muss die Organisation außerdem auch die Personen informieren, deren Rechte und Freiheiten gefährdet wurden.

Bei Nichtbefolgung und Datenschutzverletzungen sieht die Verordnung scharfe Strafen vor, die zu einer potenziellen Geldbuße von bis zu 20 Mio. EUR oder 4 % des weltweit erzielten Jahresumsatzes führen, je nachdem, welcher Wert der höhere ist.

Wofür haften Auftragsverarbeiter und Verantwortliche?

Im Rahmen der Datenschutzgrundverordnung sind die Verantwortlichen die Partei, die vorrangig für die Einhaltung der Verordnung verantwortlich ist. Allerdings haben auch Auftragsverarbeiter eine Fülle von Verpflichtungen und haften bei Verstößen gegen die DSGVO künftig direkt gegenüber betroffenen Personen. Wenn es mehrere Verantwortliche oder Auftragsverarbeiter gibt und nachgewiesen werden kann, dass der Schaden durch die Nichteinhaltung der Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters entstanden ist, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden. In diesem Sinne bietet die neue Verordnung ein gesamtschuldnerisches Haftungssystem.

Bei näherer Betrachtung ist die Haftung des Verantwortlichen weiterhin ähnlich wie in den vorangehenden Bestimmungen, Datenschutzrichtlinie 95/46. Die DSGVO besagt: „Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde”.

Wenn Schäden aufgrund einer unrechtmäßigen Verarbeitung personenbezogener Daten eintreten, haftet der Verantwortliche. Die Haftung entfällt nur dann, wenn der Verantwortliche beweisen kann, dass er nicht für den Vorfall, also eine Datenschutzverletzung, verantwortlich war. Der Verantwortliche muss nachweisen können, dass er den Grundregeln des Datenschutzes und anderen Bestimmungen entspricht.

Im Gegensatz zu den für Verantwortliche geltenden Bedingungen hat sich die Haftpflicht für Auftragsverarbeiter im Rahmen der DSGVO verschärft. Gemäß den Änderungen werden Auftragsverarbeiter künftig zahlreiche Verpflichtungen auferlegt. Ferner werden Auftragsverarbeiter sich nun auch an Anforderungen halten müssen, die ihnen vertraglich auferlegt werden, nicht nur an solche, die sie automatisch erfüllen müssen.

Die anteilige Haftung verlangt zudem den Nachweis von Fahrlässigkeit und einer nicht der Verordnung entsprechenden Verarbeitung. Damit der Auftragsverarbeiter haftbar gemacht werden kann, muss nachgewiesen werden, dass er gegen seine Pflichten verstoßen hat, dass dies zu echten Schäden geführt hat und dass ein ursächlicher Zusammenhang zwischen dem Verstoß und den Schäden besteht.

Beim Nachweis der Einhaltung der Verordnung hat der Verantwortliche erheblich größere Pflichten. Laut DSGVO müssen Verantwortliche jederzeit nachweisen können, dass sie ihren Pflichten nachkommen. Auftragsverarbeiter sind nicht verpflichtet, einen solchen Nachweis zu verbringen.

Welche Bestimmungen gelten für Datenschutzbeauftragte?

Laut DSGVO muss in folgenden Fällen ein Datenschutzbeauftragter (DSB) benannt werden:

  • falls die Datenverarbeitung durch Behörden und öffentliche Stellen erfolgt (mit Ausnahme von Gerichten)
  • falls systematisch und in großem Umfang Einzelpersonen überwacht werden, oder
  • falls in großem Umfang besondere Kategorien von Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden.

Ernannte DSB haben:

  • das Recht, die Organisation aufzufordern, alle erforderlichen Ressourcen zum Schutz der Daten zur Verfügung zu stellen
  • die Befugnis, Zugang zu den mit Datenverarbeitungstätigkeiten befassten Mitarbeitern und den Verarbeitungsvorgängen zu nehmen
  • das Recht, im Rahmen der Ausübung ihrer Tätigkeit Schutz vor Entlassung oder Benachteiligung geltend zu machen.

In punkto Haftung muss darauf hingewiesen werden, dass die DSGVO keine spezifische Haftung für einen DSB vorsieht. Der Verantwortliche oder der Auftragsverarbeiter bleiben dafür verantwortlich nachzuweisen, dass die Verarbeitung gemäß der Verordnung erfolgt, und diese beiden Parteien tragen auch die diesbezügliche Beweislast. Das bedeutet, dass der DSB im Falle der Nichteinhaltung der DSGVO nicht persönlich verantwortlich ist.

Allerdings ist der DBS natürlich für seine Tätigkeiten haftbar und hat sich u. a. an strafrechtliche Vorschriften zu halten – die im Allgemeinen von den innerstaatlichen Gesetzen des betreffenden Mitgliedstaates festgelegt werden. Wenn also eine klare rechtswidrige Absicht vorliegt, haftet auch der DSB. Dies befreit den Auftragsverarbeiter oder Verantwortlichen jedoch nicht unbedingt von seiner eigenen Haftung.

Wie wirkt sich die DSGVO auf die persönliche Haftung aus?

Die Auswirkungen der DSGVO sind noch nicht vollständig bekannt, und es wird einige Zeit dauern, bis alle Unsicherheiten ausgebügelt sind. Die Verordnung und bestimmte Urteile jedoch machen klar, dass letztlich die Organisation für die Einhaltung der DSGVO haftet. Die internationale Anwaltskanzlei Norton Rose Fulbright schreibt in ihrem Blog: „Die Verantwortung für die Einhaltung der DSGVO fällt in der Praxis den Führungskräften der Einrichtung zu”.

Obwohl die DSGVO noch nicht in Kraft getreten ist, gibt es doch aus jüngster Zeit Beweise dafür, dass die Organisation selbst dann haftet, wenn ein einziger Mitarbeiter hinter einer Datenschutzverletzung steht. Der Fall fand zwar in UK statt und wurde unter dem Datenschutzgesetz von 1998 verhandelt, aus den Rechtsgrundsätzen des Falles jedoch lassen sich Lektionen für die Zukunft ziehen – nicht zuletzt aufgrund der Tatsache, dass die Grundsätze der Datenschutzrichtlinie in der DSGVO wieder aufgenommen werden. Der Fall, der eine Reihe von Mitarbeitern des Supermarkts Morrison und das Unternehmen an sich einbezog, wurde auf der Website der Kanzlei Gilson Gray vorgestellt. Kurz, die Gerichte kamen zu dem Schluss, die britische Supermarktkette sei für die Verletzung der Datenschutzgesetze haftbar, obwohl es ein verärgerter Mitarbeiter war, der personenbezogene Daten online veröffentlicht hatte. Die Kanzlei schreibt: „Das Gericht gab an, dass die bloße Tatsache, dass personenbezogene Daten veröffentlicht wurden, zwangsläufig bedeutet, dass Morrison verantwortlich ist,“ obwohl gewisse Maßnahmen ergriffen worden waren, um den Zugriff auf diese Daten zu minimieren. Ferner hielt das Gericht den Arbeitgeber deshalb für haftbar, weil er dem Mitarbeiter den Zugang zu den Daten anvertraut hatte – hierdurch hat sich der Arbeitgeber haftbar gemacht, selbst wenn der Mitarbeiter entschieden hat, sein Zugangsrecht zu missbrauchen.

Wie sollten Organisationen sich auf die DSGVO vorbereiten?

Das Voranstehende macht klar, dass Organisationen Datenschutz ernst nehmen müssen. Aufgrund der breiteren Haftungsimplikationen sollten Belange in Zusammenhang mit der Einhaltung der Verordnung ein Schwerpunktthema für Organisationen sein. Dabei geht es nicht nur darum, ein Unternehmen direkt vor externen Bedrohungen zu schützen, sondern es muss auch sichergestellt werden, dass die Risiken potenzieller interner Verletzungen eingeschränkt werden. Organisationen haben nicht nur eine erheblich breiter gefasste Haftpflicht, sondern auch eine tiefgreifendere Verpflichtung, ihre Einhaltung der Verordnung nachzuweisen.

Organisationen müssen sich jetzt darauf konzentrieren, ihre Datensicherheitsprotokolle, Datenschutzrichtlinien und Datenschutzerklärungen auf den neuesten Stand zu bringen. Außerdem ist Personalschulung ein wesentlicher Teil von Datenschutz- und -management, und es muss genau unter die Lupe genommen werden, wer, wie und wann Zugang zu den Daten hat. Organisationen müssen diesbezüglich eine ordnungsgemäße Risikobewertung ausführen und eine Testphase durchlaufen.

Als europäischer Dienstleister und starker Verfechter von Datensicherung und
-schutz entspricht Drooms schon jetzt der Datenschutzgrundverordnung und nimmt seine Rolle als Auftragsverarbeiter ausgesprochen ernst.

Datenschutz kann nützlich für Organisationen sein

Zwar sehen manche die DSGVO als Mechanismus zur Bestrafung von Unternehmen, ein verbesserter Datenschutz kann jedoch durchaus nützlich für Organisationen sein. Die Öffentlichkeit sollte in der Lage sein, den Organisationen, mit denen sie etwas zu tun hat, zu vertrauen – und wer sich darauf konzentriert, alles richtig zu machen, wird mehr Vertrauen genießen. Zudem werden die Bemühungen die Sicherheit verbessern und Unternehmen besser vor kriminellen Machenschaften schützen.