DuD 2018
DS-GVO und Haftungsfragen
Berlin, 11.06.2018
Rechtsanwalt Dr. Jens EckhardtFachanwalt IT-Recht
Datenschutz-Auditor (TÜV) und Compliance-Officer (TÜV)
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 2
DS-GVO und Haftungsfragen – Ein Überblick
Bußgelder in der DS-GVO
Schadensersatzansprüche nach der DS-GVO
DS-GVO und Haftungsfragen - Agenda
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 3
Haftung in Form von Bußgeldern
o Bußgeldsanktionen nach DS-GVO und BDSG-2018
o Adressaten von Bußgeldern
Haftung in Form von Schadensersatzpflichten
o Anspruchsgrundlagen: DS-GVO, Deliktsrecht nach BGB und Vertrag
o Anspruchsberechtigte: betroffene Personen oder jede Person
o Voraussetzungen: Pflichtverletzung, Verschulden, Kausalität und Schaden
o Beweislast
o Relevanz der Meldung/ Benachrichtigung nach Artt. 33, 34 DS-GVO
o Auswirkungen des Auskunftsanspruchs nach Art. 15 DS-GVO
o Schäden: materielle und immaterielle sowie Grundlage der Bemessung
o Schadensersatzpflichtiger: Verantwortlicher, Auftragsverarbeiter, Handelnder, Datenschutzbeauftragter
Sonderkonstellationen
o Auftragsverarbeitung: gemeinsame Haftung und Haftungsverteilung
o Haftung für Bußgelder (Unternehmensleitung, Handelnder, DSB)
DS-GVO und Haftungsfragen – Ein Überblick
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 4
DS-GVO und Haftungsfragen – Ein Überblick
Bußgelder in der DS-GVO
Schadensersatzansprüche nach der DS-GVO
DS-GVO und Haftungsfragen - Agenda
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 5
Bußgeldbemessung nach Maßgaben des Art. 83 Abs. 2 DS-GVO
o Bußgeldtatbeständeo Abs. 4: Artt. 8, 11, 25 bis 39, 42, 43 (Verantwortlicher und Auftragsverarbeiter) sowie 42,
43 (Zertifizierungsstelle ) sowie 41 Abs. 4 (Überwachungsstelle)
o Abs. 5: Artt. 5, 6, 7 und 9 sowie Artt. 12 bis 22 sowie Artt. 44 bis 49 sowie Verstoß gegen Vorgaben nach Art. 58 Abs.2 und Art. 58 Abs. 1
o Abs. 6: Verstoß gegen Vorgaben nach Art. 58 Abs. 2
o Problem?: Bestimmtheitsgebot des Grundgesetzes
o Beweislast: Unschuldsvermutung <-> „Rechenschaftspflicht“ (Artt. 5, 24 DS-GVO)
o Ermessen in Bezug auf Ob und Höhe: Welcher Spielraum besteht?
o Kriterien der Entscheidung, unter anderem:
o Art, Schwere, Zahl der betroffenen Personen, Ausmaß des Schadens (…)
o Maßnahmen zur Schadensminimierung gegenüber betroffenen Personen
o Verantwortlichkeit unter Berücksichtigung der Schutzmaßnahmen
o Zusammenarbeit mit AB, um abzuhelfen und Auswirkungen zu mindern
o wie Verstoß bekannt wurde
o vertiefend: Eckhardt/Menz, DuD 2018 (Heft 3), Seiten 139 ff.
Grundlagen für die Bemessung eines Bußgelds
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 6
Risiko: Bußgeld bei Verstößen gegen Vorgaben der DS-GVO …
o gegen das Unternehmen (Verschulden der Organe, § 30 OWiG)
o Relevanz (!?) der Organisationspflicht nach Art. 24 DS-GVO
o gegen das/die Organ/e (nach OWiG) (und Haftung auf Schadensersatz)?
Risikosteuerung durch Aufsicht und Organisation (vgl. § 130 OWiG)
o gegen erweiterten Adressatenkreis (Einheitstäterbegriff des § 14 OWiG)?
Bußgelder gegen Datenschutzbeauftragten in seiner Rolle als Datenschutzbeauftragter
o keine Nennung in Art. 83 DS-GVO
o Schadensersatz wegen Bußgeldern gegen das Unternehmen
o Grundlage: Pflichtverletzung – kausaler Schaden - Verschulden
o Aufgaben des Datenschutzbeauftragten
o ≠ „Datenschutzmacher“, sondern Beratung und Überwachung
o keine Weisungs- oder Direktionsbefugnis
Datenschutz nach DS-GVO = Aufgabe der Leitung des „Verantwortlichen“
o vertiefend: Gutachten des BvD zur Stellung des DSB (www.bvdnet.de)
o Haftung bei Verstoß gegen Aufgaben des Art. 39 DS-GVO?
o Übernahme weiterer Aufgaben möglich, aber kein Interessenkonflikt
Adressat von Bußgeldern und Haftung für Bußgelder
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 7
DS-GVO und Haftungsfragen – Ein Überblick
Bußgelder in der DS-GVO
Schadensersatzansprüche nach der DS-GVO
DS-GVO und Haftungsfragen - Agenda
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 8
Haftung und Recht auf Schadenersatz (Art. 82 DS-GVO)
o Spezialregelung zum Schadensersatz
o Einbeziehung immaterieller Schäden
o Sonderregelung zur Haftung des Auftragsverarbeiters
o Reminder: daneben Ansprüche aus Vertrag und allgemeinem BGB-Deliktsrecht
Voraussetzungen eines Schadensersatzanspruchs (nach Art. 82 DS-GVO)
o 5 (bzw. 6) Voraussetzungen eines Schadensersatzes
o Anspruchsberechtigter (Anspruchsteller)
o „jede Person“ (Art. 82 Abs. 1 DS-GVO)
o Anspruchsgegner
o Verantwortlicher und Auftragsverarbeiter (Art. 82 Abs. 1 DS-GVO)
o aber: Auftragsgverarbeiter nur nach Maßgabe des Art. 82 Abs. 2 S. 2 DS-GVO
o Pflichtverletzung durch Anspruchsgegner
o „Verstoßes gegen diese Verordnung“ (Art. 82 Abs. 1 DS-GVO)
o Regelung zur Zulässigkeit der Verarbeitung sowie Betroffenenrechte, Dokumentations- und Organisationspflichten??
Adressat von Bußgeldern und Haftung für Bußgelder
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 9
o Schaden des Anspruchstellers
o materieller und immaterieller Schaden (Art. 82 Abs. 1 DS-GVO)
o Bemessung des Schadens
o keine Vorgaben durch DS-GVO
o Herausforderung bei immateriellen Schäden
o D: Grundsatz der Schadenskompensation <-> EU: Vorgaben des EU-Rechts
o Risiko: „überkompensatorischer Strafschadensersatz“
o Kausalität der Pflichtverletzung für den Schaden
o keine Vorgaben durch DS-GVO
o Verschulden des Anspruchsgegners (Art. 82 Abs. 3 DS-GVO)
o Anspruchsgegner: Beweislast für fehlendes Verschulden
o Sonderfall: Mitverschulden des Anspruchstellers
o Anwendung des § 254 BGB (umstritten)
Beweislast im Zivilprozess
o keine Beweislastumkehr durch Rechenschaftspflicht nach Artt. 5, 24 DS-GVO (str.)
o faktische Auswirkung des Auskunftsanspruchs (Art. 15 DS-GVO) und der Melde- und Benachrichtigungspflicht (Artt. 33, 34 DS-GVO)
Adressat von Bußgeldern und Haftung für Bußgelder
Rechtsanwalt Dr. Jens Eckhardt – Düsseldorf, Ulm, Berlin 10
Haftung des Auftragsverarbeiters (in seiner Rolle als Auftragsverarbeiter)„Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann,wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnungnicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen desVerantwortlichen oder gegen diese Anweisungen gehandelt hat.“
o Beweislast für diese Pflichtverletzung?
Haftung im Rahmen der Auftragsverarbeitung und Joint Controllership„Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl einVerantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind siegemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schadenverantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamtenSchaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.“
o volle Haftung eines jeden im Außenverhältnis
o (nur) Regress im Innenverhältnis der Beteiligten zueinander
o Art. 82 Abs. 5 DS-GVO
o § 426 Abs. 1 Satz 2 BGB analog (str.)
vertiefend: v. Lewinski, in: Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, S. 342 ff. und Wybitul/Neu/Strauch, ZD 2018, 202 ff. und Steffen DuD 2018, 145 ff.
Adressat von Bußgeldern und Haftung für Bußgelder
Bild RA Bild RA
Fragen und Diskussion!
Rechtsanwalt Dr. Jens EckhardtFachanwalt für IT-Recht
Datenschutz-Auditor (TÜV)Compliance-Officer (TÜV)
Berliner Allee 5540212 Düsseldorf
Tel.: +49 211 – 17 52 06 60 Fax: +49 211 – 17 52 06 66
Rechtsanwalt Dr. Jens EckhardtFachanwalt für Informationstechnologierecht und Datenschutz-Auditor (TÜV)sowie Compliance-Officer (TÜV)
Derra, Meyer & Partner – www.derra.eu – [email protected]
Seit 2001 berät er bundesweit nationale und internationale Unternehmen zu den Themen Datenschutz,Informationstechnologie, Telekommunikation und Marketing. Die Beratung umfasst die gerichtliche Vertretung,Vertretung gegenüber Aufsichtsbehörden, insbesondere im Datenschutz, die strategische Beratung bei der Einführungneuer Systeme, die Bewertung von bestehenden Systemen, das Outsourcing sowie die Vertragsgestaltung.
Funktionen als
• Mitglied im Vorstand des Berufsverband der
Datenschutzbeauftragten Deutschlands (BvD) e.V
(Ressort Recht)
• Mitglied im Vorstand von EuroCloud Deutschland_eco e.V.
(Ressort Recht)
• Dozent zum Datenschutzrecht der udis Ulmer Akademie für
Datenschutz und IT-Sicherheit – gemeinnützige Gesellschaft mbH
• Dozent der DeutscheAnwaltAkademie Gesellschaft für Aus- und
Fortbildung sowie Serviceleistungen mbH (Fortbildung im Bereich
Fachanwalt IT-Recht)
• Lehrbeauftragter der SRH Fernhochschule Riedlingen zum
Internet- und Medienrecht und Datenschutz im Studiengang
Medien und Kommunikation
• Anhörung durch die Datenschutzaufsichtsbehörden als
Fachexperte für Werbung und Adresshandel
• Moderator und Referent verschiedener
Datenschutzveranstaltungen und Autor von Fachbeiträgen zum
Datenschutz-, IT-, Zivil- und Wettbewerbsrecht und zur
Datenschutz-Grundverordnung
Auswahl der Veröffentlichungen:
• Herausgeber eines inhaltlichen aufbereiteten Gesetzestextes zur DS-
GVO, TKMmed!a
• Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, Verlag C.H. Beck
• Eckhardt/Kramer/Tausch, DS-GVO-Kompendium, TKMmed!a
• Datenschutz und Marketing – Praxisleitfaden für
Datenschutzbeauftragte und Geschäftsleitung, TKMmed!a,
• Bergmann/Möhrle/Herb, BDSG/DS-GVO , Mit-Autor, Boorberg Verlag
• Beck‘scher Online-Kommentar, Wolff/Brink, BDSG/DS-GVO , Mit-
Autor, Verlag C.H. Beck München
• Recht der elektronischen Medien, Kommentar, Mitautor seit 1. Aufl.,
Verlag C. H. Beck München
• Handbuch IT- und Datenschutzrecht, Mitautor seit 1. Aufl., Verlag C.
H. Beck München
• Beck’scher TKG Kommentar, Mitautor seit 4. Aufl. 2013, Verlag C. H.
Beck München
• Bspw. „Wann ist ein Datum ein personenbezogenes Datum?“,
gemeinsam mit Dr. Brink (Landesbeauftragter für den Datenschutz
Baden-Württemberg, ZD Editorial 1/2015 und ZD 2015, 205 ff.
• Leitfaden – Datenschutz und Cloud Computing, Mitautor und Leiter
der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud
Computing“, Trusted Cloud-Initiative des BMWi
• Big Data im Marketing – Chancen und Möglichkeiten für eine
effektive Kundenansprache, 2015, Mitautor, Haufe Gruppe
• Digitalisierung und Transformation im Unternehmen, Mitautor, KS-
Energy-Verlag