AV-Vertrag (Auftragsverarbeitungsvertrag) – Einfach erklärt

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?

Ein Auftragsverarbeitungsvertrag (kurz: AV-Vertrag) ist ein Vertrag, der bei der Beauftragung über die Verarbeitung personenbezogener Daten zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen wird. Der Abschluss eines AV-Vertrages ist gemäß Art. 28 Abs. 3 DS-GVO zwingend erforderlich. Der Vertrag regelt die Rechte und Pflichten von Verantwortlichen und Auftragsverarbeiter. Durch den AV-Vertrag soll gewährleistet werden, dass die dem Auftragsverarbeiter anvertrauten personenbezogene Daten nur zu dem Zweck verarbeitet werden, zu dem diese auch von dem Verantwortlichen erhoben wurden. Der Auftragsverarbeiter verpflichtet sich durch den AV-Vertrag zum umfassenden Schutz der personenbezogenen Daten. Um diesen auch gewährleisten zu können, werden dem Verantwortlichen Kontrollrechte eingeräumt.

Aus Sicht des Verantwortlichen ist eine Auftragsverarbeitung insofern vorteilhaft, als dass sie arbeitsteilige Datenverarbeitung ermöglicht. Der Verantwortliche muss somit nicht alle innerhalb seiner Organisation anfallenden Verarbeitungen selbst durchführen. Stattdessen erlangt er die Möglichkeit, Datenverarbeitung auszulagern, wodurch er Effizienzvorteile gewinnt, da Datenverarbeitung für den Verantwortlichen zumeist komplex und aufwendig ist. Dabei bleibt der Verantwortliche bei der Auftragsverarbeitung, im Gegensatz zu Fällen gemeinsamer Verantwortung, in welchen mehrere Personen gleichberechtigt auf die Verarbeitung einwirken (vgl. Art. 26 DS-GVO, weisungsbefugt.

Wer ist Verantwortlicher und wer ist Auftragsverarbeiter?

1. Auftragsverarbeiter

Ein Auftragsverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Dabei handelt es sich um eine Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten. Der Begriff des Auftragsverarbeiters ist gemäß Art. 4 Nr. 8 DS-GVO definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Klassische Auftragsverarbeiter sind beispielsweise Unternehmen, welche im Auftrag des Verantwortlichen Kontakterhebung („Callcenter“) oder Werbeadressenpflege („Lettershop“) betreiben.

2. Verantwortlicher

Dem Auftragsverarbeiter steht der Verantwortlichen gegenüber. Verantwortlicher ist, wer „alleine oder gemeinsam über die Mittel und den Zweck der Verarbeitung der personenbezogenen Daten entscheidet“. Die Definition des Begriffs des Verantwortlichen findet sich in Art. 4 Nr. 7 DS-GVO. Der Verantwortliche trifft die Entscheidung über den Verarbeitungszweck der personenbezogenen Daten und kann die Entscheidung über angemessene technische und organisatorische Maßnahmen an den Auftragsverarbeiter übertragen.

Wann ist die von dem Verantwortlichen beauftragte Verarbeitung eine Auftragsverarbeitung gem. Art. 28 DS-GVO?

1. Personenbezogene Daten

Bei einer Auftragsverarbeitung müssen zum einen personenbezogene Daten verarbeitet werden. Gemäß Art. 4 Nr. 1 DS-GVO können personenbezogene Daten „alle Informationen sein, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online - Kennung oder zu einem oder mehreren besonderen Merkmalen (…) identifiziert werden kann“.  Personenbezogene Daten können daher insbesondere folgende Informationen über Kunden oder Beschäftigte sein:

  • Name, Alter, Familienstand, Geburtsdatum,
  • Kontaktdaten wie postalische Anschrift, Telefonnummer, E-Mail-Adresse.
  • dienstliche Kontaktdaten, die einen Personenbezug aufweisen, wie max.mustermann[at]unternehmen.de oder die persönliche dienstliche Durchwahl,
  • Bankverbindungsdaten
  • Kraftfahrzeugnummer, Kfz-Kennzeichen,
  • Personalausweis- und Sozialversicherungsdaten, einschließlich der Ausweis- und Versicherungsnummern sowie
  • genetische Daten und Gesundheitsdaten.

Es ist zudem zu beachten das personenbezogene Daten auch auf Foto- und Videoaufnahmen enthalten sein können. Das von einer Kamera aufgezeichnete Bild einer Person fällt unter den Begriff „personenbezogene Daten“, sofern es die Identifikation der betroffenen Person ermöglicht (vgl. EuGH, Urteil vom 11.12.2014 – C-212/13).

Steht in Frage, ob eine Person identifizierbar ist, so sind alle Mittel zu berücksichtigen, die der Verantwortliche oder eine andere Person nach allgemeinem Ermessen voraussichtlich nutzen wird, um eine Identifizierung vorzunehmen. Im Rahmen dessen ist auf alle objektiven Faktoren abzustellen – insbesondere auf die Kosten und den erforderlichen Zeitaufwand sowie die zum Zeitpunkt der Verarbeitung verfügbare Technologie. Es bleibt jedoch stets die Möglichkeit, eine Anonymisierung der personenbezogenen Daten durchzuführen, sodass die betroffene Person nicht (mehr) identifiziert werden kann. Es reicht in der Regel aus, den Personenbezug derart aufzuheben, dass eine Re-Identifizierung praktisch nicht durchführbar ist.

2. Weisungsgebundenheit 

Zu anderen darf die beauftragte Stelle nicht ihrerseits Verantwortliche sein. Eine Auftragsverarbeitung gem. Art. 28 DS-GVO liegt grundsätzlich dann vor, wenn nicht über die Mittel und Zwecke der Verarbeitung entschieden wird. Maßgebend ist die Weisungsgebundenheit des Auftragnehmers. Ausschlaggebend sind insoweit die tatsächlichen Verhältnisse, nicht etwaige Vertragsbezeichnungen. Eine Auftragsverarbeitung ist bei den folgenden Dienstleistungen anzunehmen:

  • Löschung von Datenträgern mit personenbezogenen Daten durch Dienstleister
  • Speicherung von personenbezogenen Daten in einer Cloud (Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing auch ohne, dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist)
  • Verarbeitung von Kundendaten und Kontaktdatenerhebung durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume dort
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten mit personenbezogenen Daten
  • Datenverarbeitungstechnische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren (nicht aber Steuerberater, da dieser freiberuflich tätig ist)
  • Übernahme der Digitalisierung des schriftlichen Posteingangs durch einen Dienstleister
  • Übernahme von Werbeadressenpflege und -ausdruck sowie Werbepostversand („Lettershop“)
  • Zugriff eines IT-Dienstleisters zu Wartungszwecken auf die IT-Infrastruktur des Verantwortlichen (Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen, soweit bei dieser Tätigkeit ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann)
  • Auslagerung von Backup-Sicherungsspeicherung und anderer Archivierungen
  • Zentralisierung bestimmter Dienstleistungen innerhalb eines Konzerns wie Dienstreisen-Planungen oder Reisekostenabrechnungen („Shared Services“)
  • Apothekenrechenzentren gemäß § 300 SGB V (Abrechnung von Apotheken und weiteren Stellen)
  • Ärztliche Verrechnungsstellen ohne Forderungsverkauf
  • Sicherheitsdienste, welche an der Pforte Besucher- und Anlieferdaten erheben
  • externe Dienstleister, die dazu beauftragt wurden, Messwerte in Mietwohnungen abzulesen, zu erfassen oder zu verarbeiten
  • Visabeschaffungsdienstleister, welche durch den Arbeitgeber die Daten des Beschäftigten erhalten

Wann ist demgegenüber eine Auftragsverarbeitung zu verneinen?

1. Datenverarbeitung als „Nebensache“

Eine Auftragsverarbeitung ist nicht gegeben, wenn die Datenverarbeitung im Zusammenhang mit der Erbringung einer Hauptdienstleistung für einen anderen erfolgt. Dies ist der Fall, wenn die Datenverarbeitung nicht speziell beabsichtigt ist, beziehungsweise nicht den Schwerpunkt oder einen wichtigen Bestandteil der Leistung des Auftragnehmers darstellt. Erhält ein Dienstleister den Auftrag, Textilien mit Namen zu bedrucken, ist der Schwerpunkt des Auftrags das Bedrucken der Textilien und nicht die Verarbeitung von personenbezogenen Daten. In diesem Fall liegt somit keine Auftragsverarbeitung vor, da die Verarbeitung personenbezogener Daten unvermeidliches Beiwerk der eigentlichen Dienstleistung ist. Weitere Fälle, in welchen keine beauftragte Verarbeitung von personenbezogenen Daten vorliegt, da der Auftrag im Schwerpunkt auf eine andere Tätigkeit zielt, sind:

  • ein vom Vermieter beauftragter Handwerker, welcher die erforderlichen Mieterdaten erhält,
  • ein Sachverständiger, der einen Kfz-Schaden begutachtet,
  • Personenbeförderung und Krankentransportleistungen,
  • Bewachungsdienstleistungen,
  • Reinigungsdienstleistungen und Handwerkseinsätze in Unternehmen,
  • Reinigung von Berufskleidung mit Namensschildern,
  • Druck von Prospekten oder Katalogen mit Bildern von Beschäftigten und Fotomodellen,
  • Transport von ausreichend geschreddertem Papiermaterial (sofern es nicht ohnehin bereits an der Identifizierbarkeit fehlt),
  • Transport von Unterlagen und Waren durch Kurierdienste, Speditionen oder Zeitungsausträger,
  • Übersetzung von Texten aus oder in fremde Sprachen.

2. Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen

Eine Auftragsverarbeitung ist nicht gegeben, wenn fremde Fachleistungen bei einem eigenständigen Verantwortlichen in Anspruch genommen werden. Beispiele hierfür sind:

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
  • Insolvenzverwalter,
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstitute für den Geldtransfer,
  • Postdienste für den Brief- oder Pakettransport,
  • Privatdetektive im Rahmen ihrer Überwachungs- und Ausforschungstätigkeit,
  • Versicherungs- oder Finanzmakler im Rahmen ihres Kundenvertrages.

Berufsgeheimnisträgern droht im Falle einer Offenbarung fremder Daten gegebenenfalls eine Strafbarkeit gemäß § 203 StGB (Verletzung von Privatgeheimnissen). Für Steuerberater, Rechtsanwälte, Wirtschaftsprüfer sowie entsprechende (Partner-) Gesellschaften stellt § 3 i.V.m. § 11 II StBerG klar, dass die Verarbeitung personenbezogener Daten unter Beachtung der im Übrigen geltenden Berufspflichten weisungsfrei erfolgt.

3. Abgrenzung zur gemeinsamen Verantwortlichkeit

Eine Auftragsverarbeitung ist zu verneinen, wenn eine gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO gegeben ist („joint control“). In diesem Fall entscheiden mehrere Verantwortliche statt einer Person allein über die Verarbeitungszwecke und Verarbeitungsmittel. Die an der Verarbeitung beteiligten können jeweils eigene Zwecke verfolgen. Es fehlt gerade an der Weisungsgebundenheit. Erforderlich ist jedoch nicht, dass die Verantwortung gleichmäßig oder gleichberechtigt verteilt ist. Die gemeinsam Verantwortlichen können in die Entscheidungen etwa bezüglich des verfolgten Zwecks unterschiedlich stark und in unterschiedlicher Weise eingebunden sein. So ist beispielsweise der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Seitenbesucher verantwortlich (EuGH, 5.6.2018 – C-210/16). Dass der Fanpage-Betreiber keinen Einfluss auf oder Zugang zur Datenverarbeitung durch Facebook hat, sei demnach kein entscheidendes Kriterium, da maßgebend sei, dass der Betreiber mit der Eröffnung seines Accounts die Nutzungsbedingungen einschließlich der Cookie-Richtlinien von Facebook akzeptiere. Demnach sei er sich zum einen der Datenverarbeitung durch Facebook bewusst und zum anderen akzeptiere er diese durch Abschluss der Nutzungsbedingungen. Zudem profitiere er durch die von Facebook durchgeführte Nutzungsanalyse und nehme durch seine Einstellungen an der Verarbeitung teil. Gemeinsame Verantwortlichkeit liegt zudem beispielsweise vor bei:

  • klinischen Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen,
  • grundsätzlich im Rahmen gemeinsamer Forschungsprojekte und Produktentwicklungen,
  • gemeinsamer Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen,
  • Personalvermittlern, welche nicht nur Bewerbungen auswerten, sondern auch geeignete Bewerber aus ihrer eigenen Datenbank auswählen („Headhunter“),
  • dem Einbinden von Tracking-Tools,
  • möglicherweise auch WhatsApp: der „Fanpage“-Entscheidung (s.o.) zu Folge soll genügen, dass die Möglichkeit einer Datenerhebung „vermittelt“ wird; die Nutzung von WhatsApp durch den Verwender allein bedingt, dass WhatsApp die empfangenen Daten zu anderen Zwecken verwenden kann – andererseits soll das „Institut“ der gemeinsamen Verantwortlichkeit nicht dazu führen, dass Einzelpersonen sich verpflichtet fühlen, aus Sorge vor den  entsprechenden Anordnungen von einer Verwendung abzusehen; daher bei WhatsApp wohl eher keine gemeinsame Verantwortlichkeit,
  • im Rahmen von Tür-zu-Tür-Verkündigungen gesammelten personenbezogenen Daten durch eine religiöse Gruppe soweit davon auszugehen ist, dass die Gemeinschaft das entsprechende Verhalten organisiert, koordiniert und dazu ermuntert („Jehova“-Entscheidung; EuGH, 10.07.2018 – C-25/17),
  • dem Verwalter einer Wohnungseigentümergemeinschaft, da der Verwalter über die Verarbeitung personenbezogener Daten der Wohnungseigentümergemeinschaft und evtl. Mieter entscheidet (AG Mannheim, 11.9. 2019 – 5 C 1733/19 WEG).

Die Pflichten des Verantwortlichen

1. Auswahl des Auftragsverarbeiters

Gemäß Art. 24 DS-GVO liegt Datenschutz im Pflichtenkreis des Verantwortlichen. Der Verantwortliche muss den Auftragsverarbeiter sorgfältig auswählen. Bei der Auswahl ist darauf zu achten, dass der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass technische und organisatorische Maßnahmen durchgeführt werden, die einen angemessenen Schutz für die Verarbeitung von personenbezogenen Daten gewährleisten (Art. 28 Abs.1 DS-GVO i.V.m. Art. 32 Abs.1 DS-GVO). Technische Maßnahmen im Sinne der Norm sind alle Vorkehrungen und Verfahrensweisen, deren Schutzwirkung auf der Funktonalität technischer Hilfsmittel beruht, welche sich auf die Datenverarbeitung unmittelbar oder mittelbar physisch auswirken (beispielsweise Wegschließen von Datenträgern; Maßnahmen, die den Zutritt Unbefugter verhindern sollen; Verschlüsselung und Passwortsicherung oder sonstige Maßnahmen der Zugriffs- und Weitergabekontrolle).

Organisatorische Maßnahmen sind dagegen auf die äußeren Bedingungen des technischen Verarbeitungsprozesses gerichtet (beispielsweise Einhaltung des Vier-Augen-Prinzips; Protokollierungen; Stichprobenüberprüfungen; Mitarbeiterschulungen). Auch die Sicherstellung einer Möglichkeit, personenbezogene Daten oder den Zugang zu ihnen notfalls rasch wiederherstellen zu können sowie die Einführung eines regelmäßigen Überprüfungsverfahrens der Wirksamkeit der Maßnahmen kommen in Betracht (vgl. Art. 32 Abs. 1 DS-GVO).  Die Vorschrift des Art. 28 Abs. 1 DS-GVO stellt zudem nicht ausschließlich auf den Zeitpunkt ab, in welchem das Auftragsverhältnis begründet wird. Hieraus lässt sich schlussfolgern, dass den Verantwortlichen neben einer Auswahlpflicht auch eine fortwährende Überprüfungspflicht trifft („arbeitet nur mit“). Bietet der Auftragsverarbeiter nicht mehr die erforderlichen hinreichenden Garantien oder stellt der Verantwortliche im Nachhinein fest, dass der Auftragsverarbeiter die Voraussetzungen nie erfüllt hat, ist er verpflichtet, die Zusammenarbeit mit dem Auftragsverarbeiter zu beenden und weitere Datenverarbeitungen zu unterbinden.

2. Informations- und Mitteilungspflichten

Den Verantwortlichen treffen gesonderte Informations- und Mitteilungspflichten. Er muss insbesondere den Betroffenen darüber informieren, wer Empfänger der personenbezogenen Daten ist. Gemäß Art. 33 Abs.1 DS-GVO hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten grundsätzlich unverzüglich der zuständigen Aufsichtsbehörde zu melden. In Betracht kommt in diesem Fall auch eine Pflicht zur Benachrichtigung der betroffenen Person, sofern ein hohes Risiko für deren persönliche Rechte und Freiheiten besteht (Art. 34 DS-GVO). Gemäß Art. 30 Abs. 1 DS-GVO ist er grundsätzlich (vgl. Ausnahmen gemäß Abs. 5) zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten unter seiner Zuständigkeit verpflichtet, welches gemäß Abs. 4 auf Anfrage der Aufsichtsbehörde zu Verfügung zu stellen ist. Das Verzeichnis hat die folgenden Angaben zu enthalten:

  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters sowie des Datenschutzbeauftragten,
  • die Verarbeitungszwecke,
  • eine Beschreibung der Kategorien betroffener Personen und Daten,
  • die Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden,
  • ggf. Übermittlungen von Daten an Drittländer oder internationale Organisationen,
  • soweit möglich die vorgesehenen Fristen zur Löschung von Daten,
  • soweit möglich eine Beschreibung der getroffenen Schutzmaßnahmen.

Die Gesamtverantwortung der Verarbeitung von personenbezogenen Daten und die Nachweisplicht gem. Art. 5 Abs. 2 DS-GVO bleiben, trotz Auftragsverarbeitung, bei dem Verantwortlichen. Diese Rechenschaftspflicht bezieht sich auf die Grundsätze für die Bearbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DS-GVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“, „Zweckbindung“, „Datenminimierung“, „Richtigkeit“, „Speicherbegrenzung“, „Integrität und Vertraulichkeit“). Diese Pflichten sind jedoch durch die Art. 24 ff. DS-GVO hinreichend konkretisiert (s.o.), sodass Art. 5 DS-GVO für den Verantwortlichen einer Auftragsverarbeitung allenfalls ergänzende Bedeutung hat.

Die Pflichten des Auftragsverarbeiters

Die Pflicht des Auftragsverarbeiters ist es, weisungsgebunden die personenbezogenen Daten zu verarbeiten (Art. 29 DS-GVO). Des Weiteren muss der Auftragsverarbeiter wie auch der Verantwortliche (s.o.) ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien der von ihm durchgeführten Tätigkeiten führen, wobei die inhaltlichen Anforderungen derjenigen des Verantwortlichen im Wesentlichen entsprechen (gem. Art. 30 Abs. 2 DS-GVO). Dieses Verzeichnis muss der Auftragsverarbeiter ebenfalls der Aufsichtsbehörde auf Anfrage zu Verfügung stellen (Art. 30 Abs. 4 DS-GVO). Zudem ist der Auftragsverarbeiter verpflichtet, Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden dem Verantwortlichen zu melden (Art. 33 Abs. 2 DS-GVO).

Was muss ein AV-Vertrag beinhalten?

Art. 28 DS-GVO regelt die Mindestanforderungen, welche in einem AV-Vertrag enthalten sein müssen. Diese sollten dem Einzelfall entsprechend ausgearbeitet werden und dem Auftragsverarbeiter und seiner Tätigkeiten angepasst werden.

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten, die verarbeitet werden
  • Kategorien der von der Verarbeitung betroffener Personen
  • Rechte und Pflichten des Verantwortlichen
  • Pflichten des Auftragsverarbeiters:
    • Verarbeitungsvorgänge dürfen nach dokumentierter Weisung vorgenommen werden,
    • Vertraulichkeitsverpflichtung,
    • geeignete technische und organisatorische Maßnahmen zum Schutz der Verarbeitung,
    • Bedingung für die rechtmäßige Einbindung von Subunternehmern,
    • Unterstützung des Verantwortlichen bei:
      • Betroffenenanfragen,
      • der Bestimmung von geeigneten technischen und organisatorischen Maßnahmen,
      • Meldungen an die Aufsichtsbehörde bei Verletzungen des Schutzes personenbezogener Daten,
      • Benachrichtigung der von der Verletzung betroffener Personen,
      • der Datenschutzfolgenabschätzung,
      • der Kontaktierung der Aussichtsbehörde für Verarbeitungstätigkeiten mit hohem Risiko.
    • Löschung / Rückgabe der personenbezogenen Daten bei Beendigung der Auftragsverarbeitung,
    • Unterstützung bei Überprüfungen durch bereitstellen der benötigten Informationen.

Wer haftet bei Datenschutzverstößen?

Nach Art. 82 Abs. 1 DS-GVO hat jeder, dem aufgrund eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Der Begriff des Schadens ist hierbei weit auszulegen, um sicherzustellen, dass der Betroffene wirksam geschützt ist. In Betracht kommt unter anderem ein Ersatzanspruch aufgrund folgender Schäden:

  • Diskriminierung,
  • Identitätsdiebstahl oder –betrug,
  • Rufschädigung,
  • Verlust von der Vertraulichkeit des Berufsgeheimnisses unterliegenden personenbezogen Daten,
  • unbefugte Aufhebung der Pseudonymisierung,
  • jeder finanzielle Verlust oder andere erhebliche wirtschaftliche Nachteile.

Gemäß Art. 82 Abs. 2 DS-GVO haftet der Verantwortliche für jeden aufgrund einer nicht den Anforderungen der DS-GVO entsprechenden Verarbeitung entstandenen Schaden, wohingegen sich die Haftung des Auftragsverarbeiter auf Verstöße gegen die ihm im AV-Vertrag auferlegten Pflichten beschränkt. Von der Haftung freigestellt ist der Verantwortliche oder der Auftragsverarbeiter, wenn nachweisbar ist, dass dieser für den Umstand, durch welchen der Schaden entstanden ist, nicht verantwortlich ist (Art. 82 Abs. 3 DS-GVO). „Verantwortung“ meint Verschulden, welches grundsätzlich vermutet wird. Um diese Vermutung zu widerlegen, hat der in Anspruch Genommene die Beweislast dafür zu tragen, dass er weder vorsätzlich noch fahrlässig im Sinne des § 276 Abs. 2 BGB gehandelt hat.

Sind sowohl ein Verantwortlicher als auch ein Auftragsbearbeiter an der fraglichen Verarbeitung beteiligt und für den entstandenen Schaden verantwortlich, so ist ein wirksamer Schutz des Betroffenen dadurch sichergestellt, dass er von dem Verantwortlichen oder dem Auftragsverarbeiter gleichermaßen den vollen Schadensersatz verlangen kann (§ 82 Abs. 4 DS-GVO). Der voll in Anspruch Genommene kann das ihm Zustehende im Anschluss im Innenverhältnis von seinem Vertragspartner zurückfordern (DS-GVO Art. 82 Abs. 5).

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz. ... Weiterlesen

Vorbeugende Unterlassungserklärungen wirksamer Schutz?

Kann die Abgabe einer vorbeugenden Unterlassungserklärung ein wirksamer Schutz vor Folgeabmahnungen sein? ... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon,... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx rar zip.

* Diese Angaben werden benötigt.

Kanzleibriefe
Abschlusserklärung und Abschlussschreiben was ist das?

Was bezweckt eine Abschlusserklärung? Eine Abschlusserklärung dient ähnlich wie eine strafbewehrte Unterlassungserklärung dazu, den Rechtstreit der Parteien endgültig zu beenden. ... Weiterlesen

Urheber- und Medienrecht: Abmahnung der Kanzlei Waldorf Frommer (Frommer Legal) wegen einer Urheberrechtsverletzung am Film „Midway“

Abmahnung der Waldorf Frommer (Frommer Legal) Rechtsanwälte wegen unerlaubter Nutzung des Films „Midway“ ... Weiterlesen

Urheber- und Medienrecht: Abmahnung der Kanzlei RKA wegen einer Urheberrechtsverletzung am Computerspiel "Metro Exodus"

Abmahnung der Kanzlei RKA wegen unerlaubter Nutzung des Computerspiels „Metro Exodus“ ... Weiterlesen