Tipps zur Haf­tungs­ein­schrän­kung

Datenschutz ist (nicht nur) Chefsache – Wie Sie das datenschutzrechtliche Risiko in den Griff bekommen

Mit der DSGVO wird die Schadenersatzpflicht von Unternehmen gegenüber den Betroffenen an Bedeutung gewinnen. Nach der DSGVO hat nämlich jede Person, welcher aufgrund eines datenschutzrechtlichen Verstoßes ein Schaden entstanden ist, Anspruch auf Ersatz ihres materiellen und immateriellen Schadens. Diesen Anspruch kann die Person gegen den Verantwortlichen oder gegen den Auftragsverarbeiter geltend machen. Dazu kommen die Strafen nach dem DSG (max. 50 000 Euro) und der DSGVO (bis zu 10 Mio. Euro oder 2% des weltweit erzielten Jahresumsatzes oder 20 Mio. Euro oder 4% des weltweit erzielten Jahresumsatzes), die die Datenschutzbehörde für einen Verstoß auferlegen kann.

Im Außenverhältnis besteht gegenüber dem Geschädigten eine Solidarhaftung des Verantwortlichen und des Auftragsverarbeiters: das bedeutet, dass sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter zur ungeteilten Hand die volle Summe bei Inanspruchnahme zu leisten hat. Wurde einmal geleistet, steht im Innenverhältnis ein beschränkter Regressanspruch gegenüber den anderen Unternehmen zu. Die Möglichkeit der Inanspruchnahme ist nämlich nur auf den tatsächlich verursachten Anteil der Haftung beschränkt.

Denken Sie vorausschauend – schon jetzt bestehende und zukünftige Verträge auf Compliance prüfen

Deshalb sollte vor allem z.B. vor einer Datenübermittlung außerhalb der EU bzw. des Europäischen Wirtschaftsraums oder vor der Inanspruchnahme eines Cloud-Serviceproviders das Vertragsregelwerk einer genaueren Betrachtung auf Einhaltung des DSG und der DSGVO unterzogen werden. Bestehende Verträge sollten auf Compliance-Lücken überprüft und gegebenenfalls angepasst werden. Bei Nicht-EU-Diensteanbietern sollte in Vertragsverhandlungen nachgefragt werden, wie sie die Einhaltung der DSGVO gewährleisten werden.

Beschränken Sie Regressansprüche durch interne Haftungsregelungen

Damit ist gemeint, dass Sie Haftungsthemen im Rahmen der Vertragsverhandlungen zu Auftragsverarbeitervereinbarungen oder Vereinbarungen zwischen gemeinsamen Verantwortlichen privatautonom regeln können. 

Dokumentieren Sie die Verfahren im Verarbeitungsverzeichnis und aktualisieren Sie dieses regelmäßig

Implementieren Sie „Privacy by Default“ und „Privacy by Design“

Beispiele für Maßnahmen nach dem „Privacy by Design“ Prinzip könnten Pseudonoymisierungsmaßnahmen, Erstellung von Backups, physische Sicherheitsmaßnahmen, etc. sein. 

Sensibilisieren Sie Ihre Mitarbeiter durch Schulungen

Beachten Sie Melde- und Genehmigungspflichten

Wie unsere Ausführungen gezeigt haben, setzt die DSGVO einen hohen Maßstab an Eigenverantwortung: Hier gilt es aber umso mehr, achtsam zu sein – denn die DSGVO sieht für bestimmte Fälle eine Meldung und/oder sogar eine Genehmigung der Datenschutzbehörde vor. Auch wenn dieser Tatbestand sehr eng gefasst ist und in der Praxis selten zur Anwendung gelangen wird, hat ihn der europäische Gesetzgeber bewusst eingebaut und Verstöße dagegen mit dem höchsten Strafmaß sanktioniert. 

Vorsicht bei Verhaltensregeln oder Zertifizierungen

Die DSGVO normiert eine Reihe an Verhaltensregeln, die als Auslegungshilfen herangezogen werden können. Die praktische Bedeutung dieser Regelung wird sich aber erst in der Zukunft zeigen. Die Intention des europäischen Gesetzgebers war es, Verbänden und anderen Vereinigungen, die bestimmte Verantwortliche und Auftragsverarbeiter vertreten, die Möglichkeit einzuräumen, branchenspezifische Verhaltensregeln auszuarbeiten. Verhaltensregeln, die durch die österreichische Datenschutzbehörde genehmigt worden sind, können dann als Faktor für den Nachweis einer DSGVO Compliance herangezogen werden. Neben diesen Verhaltensregeln werden datenschutzrechtliche Zertifizierungsverfahren und Datenschutzsiegel von der EU gefördert –  auch für diese gilt das oben Gesagte.

Wichtig ist jedoch, zu bedenken, dass diese Verfahren kein „Freifahrtsschein“ sind, sondern lediglich als zusätzliches „Asset“ dienen, um eine Compliance mit der DSGVO nachzuweisen.

Inwieweit diese Verfahren in die Beurteilung der Datenschutzbehörde, ob eine ausreichende Compliance vorliegt, hineinfließen werden, kann zum jetzigen Zeitpunkt – mangels einer Stellungnahme/Guidelines der österreichischen Datenschutzbehörde – noch nicht gesagt werden.