Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) nähern sich einem wichtigen Zwischenstopp- Bei dem nächsten Treffen der Justiz- und Innenminister in Brüssel (15.16. Juni 2015), will der Rat der Europäischen Union seine gemeinsame Position zur DS-GVO verabschieden. Danach würden die Verhandlungen zwischen Kommission, Parlament und dem Rat beginnen.
Dies bedeutet gleichzeitig auch noch einmal Hochbetrieb bei den Delegationen der Mitgliedstaaten im Rat, um letzte Vorschläge für Textänderungen einzubringen.
Auch die deutsche Delegation erhöht noch einmal die Schlagzahl. In einem Dokument vom 21. April 2015 (PDF) schlägt Deutschland Anpassungen bei der Frage vor, wer unter welchen Umständen für Verstöße gegen die Vorgaben der DS-GVO haftet. Deutschland geht es, aufgrund der hohen praktischen Relevanz dieses Themas, vor allem darum, klare und verständliche Vorgaben für Unternehmen, Behörden und auch Betroffene zu schaffen.
Immaterieller Schaden
Die deutsche Delegation schlägt eine Anpassung des Artikels 77 der DS-GVO dergestalt vor, dass zunächst klar geregelt wird, dass Schadenersatzansprüche von Betroffenen sowohl materielle als auch immaterielle Schadenspositionen umfassen. Dieser Vorschlag wird vor allem das Parlament freuen, da auch dessen Position eine solche Klarstellung vorsieht. Gerade bei einem möglichen immateriellen Schaden wird sich das praktische Problem der Beweisbarkeit stellen. Wer muss also den Schaden nachweisen? Nach Ansicht der EU-Kommission obliegt es dem Betroffenen zu beweisen, dass ein materieller oder auch immaterieller Schaden vorliegt (vgl. in diesem Dokument mit einer Gegenüberstellung der Positionen aus Kommission, Parlament und Rat, S. 564, Fn. 426, PDF).
Grundsatz: Haftung des für die Verarbeitung Verantwortlichen
Nach dem Vorschlag der deutschen Delegation soll grundsätzlich der für die Verarbeitung Verantwortliche für Rechtsverstöße gegen die DS-GVO haften. Wie bereits von Kommission und auch Parlament vorgeschlagen, soll der für die Verarbeitung Verantwortliche jedoch die Möglichkeit der Exkulpation besitzen. Er kann also nachweisen, dass der entstandene Schaden nicht aufgrund seines Fehlverhaltens entstanden ist.
Haftung des Auftragsdatenverarbeiters
Ein Auftragsdatenverarbeiter soll nur dann haften, wenn er gegen direkt an ihn gerichtete Pflichten aus der DS-GVO verstoßen hat oder aber wenn er entgegen den Anweisungen des für die Verarbeitung Verantwortlichen gehandelt hat. Auch der Auftragsdatenverarbeiter hat in diesen Fällen die Möglichkeit nachzuweisen, dass der Schaden nicht auf seinem Fehlverhalten beruht. Der deutschen Delegation geht es vor allem darum, dass der für die Verarbeitung Verantwortliche sich nicht einer Haftung entziehen kann, nur weil er einen Dienstleister als Auftragsdatenverarbeiter einsetzt.
Gemeinsame Verantwortlichkeiten
Sollte die Situation eintreten, dass mehrere Verantwortliche eine Datenverarbeitung durchführen oder auch mehrere Auftragsdatenverarbeiter gemeinsam handeln, gegen Pflichten aus der DS-GVO verstoßen, die konkret sie betreffen und sie sich nicht exkulpieren können, dann sind die gemeinsam handelnden für die Verarbeitung Verantwortlichen als auch die gemeinsam handelnden Auftragsdatenverarbeiter sowohl gemeinsam als auch jeder einzeln für den entstandenen Schaden verantwortlich.