PowerPoint-Präsentation · o gegen das/die Organ/e (nach OWiG) (und Haftung auf Schadensersatz)?...

DuD 2018

DS-GVO und Haftungsfragen

Berlin, 11.06.2018

Rechtsanwalt Dr. Jens EckhardtFachanwalt IT-Recht

Datenschutz-Auditor (TÜV) und Compliance-Officer (TÜV)

Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 2

DS-GVO und Haftungsfragen – Ein Überblick

Bußgelder in der DS-GVO

Schadensersatzansprüche nach der DS-GVO

DS-GVO und Haftungsfragen - Agenda


Haftung in Form von Bußgeldern

o Bußgeldsanktionen nach DS-GVO und BDSG-2018

o Adressaten von Bußgeldern

Haftung in Form von Schadensersatzpflichten

o Anspruchsgrundlagen: DS-GVO, Deliktsrecht nach BGB und Vertrag

o Anspruchsberechtigte: betroffene Personen oder jede Person

o Voraussetzungen: Pflichtverletzung, Verschulden, Kausalität und Schaden

o Beweislast

o Relevanz der Meldung/ Benachrichtigung nach Artt. 33, 34 DS-GVO

o Auswirkungen des Auskunftsanspruchs nach Art. 15 DS-GVO

o Schäden: materielle und immaterielle sowie Grundlage der Bemessung

o Schadensersatzpflichtiger: Verantwortlicher, Auftragsverarbeiter, Handelnder, Datenschutzbeauftragter

Sonderkonstellationen

o Auftragsverarbeitung: gemeinsame Haftung und Haftungsverteilung

o Haftung für Bußgelder (Unternehmensleitung, Handelnder, DSB)



Bußgeldbemessung nach Maßgaben des Art. 83 Abs. 2 DS-GVO

o Bußgeldtatbeständeo Abs. 4: Artt. 8, 11, 25 bis 39, 42, 43 (Verantwortlicher und Auftragsverarbeiter) sowie 42,

43 (Zertifizierungsstelle ) sowie 41 Abs. 4 (Überwachungsstelle)

o Abs. 5: Artt. 5, 6, 7 und 9 sowie Artt. 12 bis 22 sowie Artt. 44 bis 49 sowie Verstoß gegen Vorgaben nach Art. 58 Abs.2 und Art. 58 Abs. 1

o Abs. 6: Verstoß gegen Vorgaben nach Art. 58 Abs. 2

o Problem?: Bestimmtheitsgebot des Grundgesetzes

o Beweislast: Unschuldsvermutung <-> „Rechenschaftspflicht“ (Artt. 5, 24 DS-GVO)

o Ermessen in Bezug auf Ob und Höhe: Welcher Spielraum besteht?

o Kriterien der Entscheidung, unter anderem:

o Art, Schwere, Zahl der betroffenen Personen, Ausmaß des Schadens (…)

o Maßnahmen zur Schadensminimierung gegenüber betroffenen Personen

o Verantwortlichkeit unter Berücksichtigung der Schutzmaßnahmen

o Zusammenarbeit mit AB, um abzuhelfen und Auswirkungen zu mindern

o wie Verstoß bekannt wurde

o vertiefend: Eckhardt/Menz, DuD 2018 (Heft 3), Seiten 139 ff.

Grundlagen für die Bemessung eines Bußgelds


Risiko: Bußgeld bei Verstößen gegen Vorgaben der DS-GVO …

o gegen das Unternehmen (Verschulden der Organe, § 30 OWiG)

o Relevanz (!?) der Organisationspflicht nach Art. 24 DS-GVO

o gegen das/die Organ/e (nach OWiG) (und Haftung auf Schadensersatz)?

Risikosteuerung durch Aufsicht und Organisation (vgl. § 130 OWiG)

o gegen erweiterten Adressatenkreis (Einheitstäterbegriff des § 14 OWiG)?

Bußgelder gegen Datenschutzbeauftragten in seiner Rolle als Datenschutzbeauftragter

o keine Nennung in Art. 83 DS-GVO

o Schadensersatz wegen Bußgeldern gegen das Unternehmen

o Grundlage: Pflichtverletzung – kausaler Schaden - Verschulden

o Aufgaben des Datenschutzbeauftragten

o ≠ „Datenschutzmacher“, sondern Beratung und Überwachung

o keine Weisungs- oder Direktionsbefugnis

Datenschutz nach DS-GVO = Aufgabe der Leitung des „Verantwortlichen“

o vertiefend: Gutachten des BvD zur Stellung des DSB (www.bvdnet.de)

o Haftung bei Verstoß gegen Aufgaben des Art. 39 DS-GVO?

o Übernahme weiterer Aufgaben möglich, aber kein Interessenkonflikt

Adressat von Bußgeldern und Haftung für Bußgelder


Haftung und Recht auf Schadenersatz (Art. 82 DS-GVO)

o Spezialregelung zum Schadensersatz

o Einbeziehung immaterieller Schäden

o Sonderregelung zur Haftung des Auftragsverarbeiters

o Reminder: daneben Ansprüche aus Vertrag und allgemeinem BGB-Deliktsrecht

Voraussetzungen eines Schadensersatzanspruchs (nach Art. 82 DS-GVO)

o 5 (bzw. 6) Voraussetzungen eines Schadensersatzes

o Anspruchsberechtigter (Anspruchsteller)

o „jede Person“ (Art. 82 Abs. 1 DS-GVO)

o Anspruchsgegner

o Verantwortlicher und Auftragsverarbeiter (Art. 82 Abs. 1 DS-GVO)

o aber: Auftragsgverarbeiter nur nach Maßgabe des Art. 82 Abs. 2 S. 2 DS-GVO

o Pflichtverletzung durch Anspruchsgegner

o „Verstoßes gegen diese Verordnung“ (Art. 82 Abs. 1 DS-GVO)

o Regelung zur Zulässigkeit der Verarbeitung sowie Betroffenenrechte, Dokumentations- und Organisationspflichten??



o Schaden des Anspruchstellers

o materieller und immaterieller Schaden (Art. 82 Abs. 1 DS-GVO)

o Bemessung des Schadens

o keine Vorgaben durch DS-GVO

o Herausforderung bei immateriellen Schäden

o D: Grundsatz der Schadenskompensation <-> EU: Vorgaben des EU-Rechts

o Risiko: „überkompensatorischer Strafschadensersatz“

o Kausalität der Pflichtverletzung für den Schaden

o keine Vorgaben durch DS-GVO

o Verschulden des Anspruchsgegners (Art. 82 Abs. 3 DS-GVO)

o Anspruchsgegner: Beweislast für fehlendes Verschulden

o Sonderfall: Mitverschulden des Anspruchstellers

o Anwendung des § 254 BGB (umstritten)

Beweislast im Zivilprozess

o keine Beweislastumkehr durch Rechenschaftspflicht nach Artt. 5, 24 DS-GVO (str.)

o faktische Auswirkung des Auskunftsanspruchs (Art. 15 DS-GVO) und der Melde- und Benachrichtigungspflicht (Artt. 33, 34 DS-GVO)



Haftung des Auftragsverarbeiters (in seiner Rolle als Auftragsverarbeiter)„Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann,wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnungnicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen desVerantwortlichen oder gegen diese Anweisungen gehandelt hat.“

o Beweislast für diese Pflichtverletzung?

Haftung im Rahmen der Auftragsverarbeitung und Joint Controllership„Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl einVerantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind siegemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schadenverantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamtenSchaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.“

o volle Haftung eines jeden im Außenverhältnis

o (nur) Regress im Innenverhältnis der Beteiligten zueinander

o Art. 82 Abs. 5 DS-GVO

o § 426 Abs. 1 Satz 2 BGB analog (str.)

vertiefend: v. Lewinski, in: Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, S. 342 ff. und Wybitul/Neu/Strauch, ZD 2018, 202 ff. und Steffen DuD 2018, 145 ff.


Bild RA Bild RA

Fragen und Diskussion!

Rechtsanwalt Dr. Jens EckhardtFachanwalt für IT-Recht

Datenschutz-Auditor (TÜV)Compliance-Officer (TÜV)

Berliner Allee 5540212 Düsseldorf

Tel.: +49 211 – 17 52 06 60 Fax: +49 211 – 17 52 06 66

[email protected]

Rechtsanwalt Dr. Jens EckhardtFachanwalt für Informationstechnologierecht und Datenschutz-Auditor (TÜV)sowie Compliance-Officer (TÜV)

Derra, Meyer & Partner – www.derra.eu – [email protected]

Seit 2001 berät er bundesweit nationale und internationale Unternehmen zu den Themen Datenschutz,Informationstechnologie, Telekommunikation und Marketing. Die Beratung umfasst die gerichtliche Vertretung,Vertretung gegenüber Aufsichtsbehörden, insbesondere im Datenschutz, die strategische Beratung bei der Einführungneuer Systeme, die Bewertung von bestehenden Systemen, das Outsourcing sowie die Vertragsgestaltung.

Funktionen als

• Mitglied im Vorstand des Berufsverband der

Datenschutzbeauftragten Deutschlands (BvD) e.V

(Ressort Recht)

• Mitglied im Vorstand von EuroCloud Deutschland_eco e.V.

(Ressort Recht)

• Dozent zum Datenschutzrecht der udis Ulmer Akademie für

Datenschutz und IT-Sicherheit – gemeinnützige Gesellschaft mbH

• Dozent der DeutscheAnwaltAkademie Gesellschaft für Aus- und

Fortbildung sowie Serviceleistungen mbH (Fortbildung im Bereich

Fachanwalt IT-Recht)

• Lehrbeauftragter der SRH Fernhochschule Riedlingen zum

Internet- und Medienrecht und Datenschutz im Studiengang

Medien und Kommunikation

• Anhörung durch die Datenschutzaufsichtsbehörden als

Fachexperte für Werbung und Adresshandel

• Moderator und Referent verschiedener

Datenschutzveranstaltungen und Autor von Fachbeiträgen zum

Datenschutz-, IT-, Zivil- und Wettbewerbsrecht und zur

Datenschutz-Grundverordnung

Auswahl der Veröffentlichungen:

• Herausgeber eines inhaltlichen aufbereiteten Gesetzestextes zur DS-

GVO, TKMmed!a

• Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, Verlag C.H. Beck

• Eckhardt/Kramer/Tausch, DS-GVO-Kompendium, TKMmed!a

• Datenschutz und Marketing – Praxisleitfaden für

Datenschutzbeauftragte und Geschäftsleitung, TKMmed!a,

• Bergmann/Möhrle/Herb, BDSG/DS-GVO , Mit-Autor, Boorberg Verlag

• Beck‘scher Online-Kommentar, Wolff/Brink, BDSG/DS-GVO , Mit-

Autor, Verlag C.H. Beck München

• Recht der elektronischen Medien, Kommentar, Mitautor seit 1. Aufl.,

Verlag C. H. Beck München

• Handbuch IT- und Datenschutzrecht, Mitautor seit 1. Aufl., Verlag C.

H. Beck München

• Beck’scher TKG Kommentar, Mitautor seit 4. Aufl. 2013, Verlag C. H.

Beck München

• Bspw. „Wann ist ein Datum ein personenbezogenes Datum?“,

gemeinsam mit Dr. Brink (Landesbeauftragter für den Datenschutz

Baden-Württemberg, ZD Editorial 1/2015 und ZD 2015, 205 ff.

• Leitfaden – Datenschutz und Cloud Computing, Mitautor und Leiter

der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud

Computing“, Trusted Cloud-Initiative des BMWi

• Big Data im Marketing – Chancen und Möglichkeiten für eine

effektive Kundenansprache, 2015, Mitautor, Haufe Gruppe

• Digitalisierung und Transformation im Unternehmen, Mitautor, KS-

Energy-Verlag

PowerPoint-Präsentation · o gegen das/die Organ/e (nach OWiG) (und Haftung auf Schadensersatz)?...

Documents

Transcript of PowerPoint-Präsentation · o gegen das/die Organ/e (nach OWiG) (und Haftung auf Schadensersatz)?...