Daten. Leben.

einfach. machen.

Die Auftragsdatenverarbeitung

Neuregelung für Verantwortliche und Auftragsverarbeiter: gemeinsame Verantwortung – gemeinsame Haftung. 

Bislang sah die deutsche Datenschutzgesetzgebung keine gesamtschuldnerische Haftung vor. Diese verblieb im Normalfall beim Auftraggeber bzw. Verantwortlichen. Er musste dafür gerade stehen, dass alle für ihn tätigen Auftragsverarbeiter dies auch immer datenschutzkonform tun. Das ändert sich nun maßgeblich mit der neuen europäischen Datenschutz-Grundverordnung. Nach Art. 82 Abs. 2 DSGVO haftet der Auftragsverarbeiter direkt im Verhältnis zur betroffenen Person - auch bei immateriellen Schäden. Betroffene können Rechtsverstöße zukünftig sowohl beim Verantwortlichen als auch beim Auftragsbearbeiter oder bei beiden zugleich geltend machen. Die gesamtschuldnerische Haftung erfordert also eine verstärkte Prüfung der eigenen Verfahren inklusive einer Risikoanalyse aus Betroffenensicht. Denn nur so kann ggf. später im Innenverhältnis von Verantwortlichen und Auftragsverarbeitern eine Exkulpation erfolgen, um Strafzahlungen bei korrektem Vorgehen im eigenen Arbeitsbereich zu vermeiden. Die Beweispflicht, dass alle Arbeitsschritte datenschutzrechtlich einwandfrei sind und auch alle möglichen Risiken detailliert betrachtet, bewertet und ggf. mit Schutzmaßnahmen minimiert wurden, obliegt beiden Vertragspartnern und sollte über ein Verzeichnis der Verarbeitungstätigkeiten sowie idealer Weise durch die Etablierung eines Datenschutz-Management-Systems im Unternehmen dokumentiert sein.