Gesamtschuldnerische Haftung bei einer Auftragsverarbeitung

Haftung bei der AV

Frage des GDD-Erfa-Kreises Würzburg:
Nach der DS-GVO besteht nun in bestimmten Fällen eine gesamtschuldnerische Haftung von Auftraggeber und Auftragnehmer (Art. 82 DS-GVO). Kann hieraus abgeleitet werden, dass nun auch der Auftragnehmer für den Abschluss des ADV haftet, d.h. er hier in die Haftung genommen werden kann, wenn er sich weigert einen ADV zu unterzeichnen? Wenn der Abschluss eines derartigen Vertrages höchstens im Interesse des Auftragsverarbeiters wäre, aber aufgrund fehlender Mitwirkung nicht geschlossen wird bzw. nicht die gesetzlichen Mindestinhalte erhält, würde auch nach der DS-GVO ein Bußgeld allein den Auftraggeber treffen.

Antwort BayLDA:
Die Haftungsregelung nach Art. 82 DS-GVO wegen einer Person entstandener materieller oder immaterieller Schäden muss getrennt von den Verantwortlichkeiten bei der Verhängung von Geldbußen nach Art. 83 Abs. 4 und 5 DS-GVO gesehen werden.
Eine Geldbuße nach Art. 83 DS-GVO kann gegen denjenigen Verantwortlichen oder Auftragsverarbeiter verhängt werden, der bestimmte datenschutzrechtliche Pflichten, insbesondere aus der DS-GVO, verletzt.
Die Pflicht, nur Auftragsverarbeiter aufgrund einer ausreichenden Vertragsregelung nach Art. 28 Abs. 3 DS-GVO einzusetzen, trifft den Verantwortlichen als Auftraggeber, Art. 28 Abs. 1, Art. 24 Abs. 1 und Art. 5 Abs. 2 DS-GVO.
Verweigert sich ein potentieller Auftragsverarbeiter einer Vertragsregelung gemäß Art. 28 Abs. 3 DS-GVO, darf der Verantwortliche ihm keine personenbezogenen Daten übergeben bzw. die Möglichkeit einer Kenntnisnahme von Daten zulassen. Denn ein solcher Auftragsverarbeiter bietet keine hinreichenden Garantien im Sinne von Art. 28 Abs. 1 DS-GVO.

( Bild von Tumisu auf Pixabay )

Letztes Update:08.09.19

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    2019-11-07, 09:00 | Köln

    1059.10 € Mehr erfahren
  • Telematik: DSK positioniert sich zu Personenkennzeichen und Verantwortlichkeit

    Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat sich gestern mit der Nutzung von einheitlichen, verwaltungsübergreifenden Personenkennzeichen zur direkten Identifizierung von Bürgerinnen und Bürgern befasst. Was die Bundesregierung derzeit verfolgt, lehnt die DSK hingegen ab. DSK gegen verwaltungsübergreifende Personenkennzeichen In ihrer diesbezüglichen Entschließung weist die DSK darauf hin, dass die Schaffung einer

    Mehr erfahren
  • Leitlinien Videoaufnahmen

    EDSA veröffentlicht Entwurf für Richtlinien bzgl. Videoaufnahmen

    Der Europäische Datenschutzausschuss (EDSA) hat kürzlich seine Leitlinien im Hinblick auf die Verarbeitung personenbezogener Daten durch Videoaufnahmen zur Konsultation veröffentlicht. Obwohl die Leitlinien Beispiele für die Datenverarbeitung durch Videoaufnahmen enthalten, erhebt der EDSA keinen Anspruch auf Vollständigkeit der Beispiele. Die Leitlinien sollen vielmehr Orientierung für die Anwendung der DS-GVO in allen Bereichen bieten, in denen

    Mehr erfahren
  • Meldung Data Breach

    Meldung einer Datenpanne

    Frage des GDD-Erfa-Kreises Würzburg:Nach dem Wesen der Auftragsverarbeitung bilden Auftragsverarbeiter und Auftraggeber eine Handlungs-/Haftungseinheit. Wird die Aufsicht vor diesem Hintergrund eine Anrechnung schon beim Auftragsverarbeiter bis zur Eigenmeldung an den Verantwortlichen abgelaufener Meldefristanteile beim Auftraggeber vornehmen/anstreben? Würde also die (verbleibende) Meldefrist für den Auftraggeber auf 60 Stunden verkürzt, wenn der Auftragsverarbeiter selbst 12 Stunden ins

    Mehr erfahren