News und Infos zur EU-DSGVO und BDSG-neu
Kennen Sie schon den Artikel 82 der EU DS-GVO?
Im Kapitel VIII der DS-GVO – Rechtsbehelfe, Haftung und Sanktionen [Erwägungsgründe 141 – 152] befindet sich der überaus folgenreiche Art. 82:
Artikel 82
Haftung und Recht auf Schadenersatz[Erwägungsgründe 146, 147]
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
(4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
(5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
(6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.
Dazu die relevanten Erwägungsgründe:
(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten.
Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz
für den erlittenen Schaden erhalten. Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden.
Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. Jeder Verantwortliche
oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.
(147) Soweit in dieser Verordnung spezifische Vorschriften über die Gerichtsbarkeit – insbesondere in Bezug auf Verfahren im Hinblick auf einen gerichtlichen Rechtsbehelf einschließlich Schadenersatz gegen einen Verantwortlichen oder Auftragsverarbeiter – enthalten sind, sollten die allgemeinen Vorschriften über die Gerichtsbarkeit, wie sie etwa in der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates1 enthalten sind, der Anwendung dieser spezifischen Vorschriften nicht entgegenstehen.
Was bedeutet dies nur für die Praxis?
Der Nachweis des Verantwortlichen oder des Auftragsverarbeiters kann nur gelingen, wenn allen Dokumentations- und Nachweispflichtern nachgekommen wurde.
- Dokumentationspflichten „Datenschutzkoforme Datenverarbeitung“:
- Rechenschaftspflicht Art. 5 Abs. 2
- Rechtmäßigkeit Art. 6
- Einwilligung Art. 7 und 8
- Einwilligung Kind Art. 8
- Besondere Kategorien Art. 9
- Identifizierung Art. 11
- Erhebung beim Betroffenen Art. 13 i.V.m. Art 12
- Erhebung durch Dritten Art. 14 i.V.m. Art. 12
- Verarbeitung Art. 24
- Privacy by design & by default Art. 25
- Gemeinsame Verarbeitung Art. 26
- Keine EU-Niederlassung Art. 27
- Auftragsverarbeiter Art. 28
- Verarbeitung unter Aufsicht Art. 29
- Verarbeitungsverzeichnis Art. 30
- Sicherheit der Verarbeitung Art. 32
- Datenschutz- Folgenabschätzung Art. 35
- Konsultation Art. 36
- Drittlandübermittlung Art. 44 bis 47
- Dokumentationspflichten „Sicherstellung der Betroffenenrechte“:
- Ausübung Betroffenenrechte Art. 12
- Auskunft Art. 15
- Berichtigung Art. 16 i.V.m. Art. 19
- Löschung Art. 17 i.V.m. Art. 19
- Einschränkung Art. 18 i.V.m. Art. 19
- Datenübertragbarkeit Art. 20
- Widerspruch Art. 21
- Automatisierte Entscheidung Art. 22
- Dokumentationspflichten „Handhabung von Datenschutzverletzungen“:
- Meldung Datenschutzverletzung Art. 33
- Benachrichtigung Datenschutzverletzung Art. 34