Hauptinhalt

Haftung des Verantwortlichen und des Auftragsverarbeiters

Mit der Datenschutz-Grundverordnung ändert sich das bisherige Haftungsregime. Bisher hat nach § 23 Absatz 1 Sächsisches Datenschutzgesetz bei Datenschutzverstößen der Träger der öffentlichen Stelle, die einem Betroffenen einen Schaden zugefügt hat, hierfür gehaftet. Da der Auftragsverarbeiter quasi als verlängerter Arm der öffentlichen Stelle angesehen wurde, hatte der Träger der öffentlichen Stelle im Außenverhältnis auch für dessen Fehlverhalten einzustehen.

Nunmehr bestimmt Artikel 82 Absatz 1 Datenschutz-Grundverordnung, dass eine betroffene Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter hat. Verantwortlicher und Auftragsverarbeiter haften für einen Schaden, für den sie mitverantwortlich sind, gegenüber der betroffenen Person in voller Höhe (Artikel 82 Absatz 4 Datenschutz-Grundverordnung).

Im Innenverhältnis kann ein Ausgleich je nach der Höhe des Anteils an der Verantwortung für den verursachten Schaden geltend gemacht werden. Eine Haftung des Auftragsverarbeiters entfällt, wenn er

  • den sich aus der Datenschutz-Grundverordnung ergebenden Pflichten nachgekommen ist (z. B. ausreichend technisch-organisatorische Maßnahmen für die Datensicherheit vorgesehen hat) und
  • er entsprechend den rechtmäßig erteilten Weisungen des Verantwortlichen und nicht entgegen dieser Weisungen gehandelt hat.

Verantwortlicher oder Auftragsverarbeiter haften nicht, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

zurück zum Seitenanfang