Artikel 74 EU-DSGVO: Aufgaben des Vorsitzes
- Der Vorsitz hat folgende Aufgaben:
- Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen,
- Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden,
- Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach Artikel 63.
- Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Geschäftsordnung fest.
Kommentar zu Art. 82 DSGVO
Was sagt Art. 82 DSGVO aus?
Art. 82 DSGVO richtet einen eigenen deliktischen Schadensersatzanspruch für natürliche Personen gegen Verantwortliche und Auftragsverarbeiter ein. Nach Abs. 1 kann der Anspruch von allen Personen geltend gemacht werden, denen ein materieller oder immaterieller Schaden durch einen Verstoß gegen die DSGVO entstanden ist. Dabei sind nicht nur Verstöße gegen die in der DSGVO geregelten Datenschutzbestimmungen, sondern auch solche gegen die Verordnung selbst und deren allgemeine Grundsätze gemeint. Laut dem Erwägungsgrund 146 werden unter „Verstoß gegen die Verordnung“ auch erlassene delegierte Rechtsakte und Durchführungsakte mitumfasst sowie Regelungen der Mitgliedstaaten, welche das Datenschutzrecht über die DSGVO hinaus präzisieren. Der Schadensbegriff soll nach dem 146. Erwägungsgrund weit ausgelegt werden. Die Erwägungsgründe 75 und 85 nennen zudem Beispiele für Vermögens- sowie nicht Vermögensschäden, wie Diskriminierung, Rufschädigung oder die unbefugte Aufhebung einer Pseudonymisierung.
Art. 82 Abs. 2 DSGVO trifft Aussagen zum Haftungsumfang für Verantwortliche und Auftragsverarbeiter. Danach haftet jeder Verantwortliche, der an einer Verarbeitung beteiligt ist, grundsätzlich für den Schaden, der durch eine nicht mit der DSGVO vereinbare Verarbeitung entstanden ist. Unter „Beteiligung“ ist zu verstehen, dass der Beteiligte zwar Verantwortlicher für die Verarbeitung war, aber diese nicht durch ihn erfolgt sein muss, wie etwa im Rahmen einer Auftragsverarbeitung. Ein etwaiger Haftungsausgleich erfolgt nur im Innenverhältnis zwischen Auftragsverarbeiter und Verantwortlichem (s. Abs. 5) Ein Auftragsverarbeiter hingegen haftet nur dann für einen Schaden durch eine gegen die DSGVO verstoßende Verarbeitung, an der er beteiligt ist, wenn er seinen Pflichten als Auftragsverarbeiter (insbesondere Art. 28 DSGVO) durch die DSGVO nicht nachgekommen ist oder den Anweisungen des Verantwortlichen zuwidergehandelt hat bzw. diese ignoriert hat.
Ein Verantwortlicher oder Auftragsverarbeiter kann sich nach Abs. 3 jedoch von der Haftung gemäß Abs. 2 befreien (sog. „Exkulpation“), sofern er in keiner erdenklichen Weise für den Umstand verantwortlich ist, der den Schaden verursacht hat. Da die Verantwortung bzw. das Verschulden vermutet wird, muss er seine Unschuld selbst beweisen (Beweisführungslast). Dazu muss er durch Dokumentationen seiner Maßnahmen nachweisen können, dass er alle Vorgaben der DSGVO sowie delegierte Rechts- und Durchführungsakte umgesetzt hat. Hier gelten auch die Grundsätze der Mitarbeiterhaftung, weshalb für eine Entlastung kein Verschulden der beteiligten Mitarbeiter vorliegen darf.
Die gesamtschuldnerische Haftung wird durch Abs. 4 geregelt. Eine solche liegt vor, wenn mehrere Personen, in diesem Fall mehrere Verantwortliche und bzw. oder Auftragsverarbeiter, für denselben Schaden gemeinsam verantwortlich sind. Dabei kann sich der Anspruchsberechtigte bzw. Geschädigte aussuchen, wen er in Anspruch nehmen will. So soll sichergestellt werden, dass die geschädigte Person den vollständigen Schaden ersetzt bekommt. Hat ein in Anspruch genommener Schuldner den Schaden im Außenverhältnis komplett ersetzt, wird der Schaden anschließend zwischen den Beteiligten im Innenverhältnis ausgeglichen. Diesen sogenannten Innenausgleich regelt Abs. 5, wonach derjenige, der den Schaden ersetzt hat, den jeweiligen Anteil von den übrigen Verantwortlichen und Auftragsverarbeitern zurückfordern kann.
Abs. 6 regelt abschließend die Zuständigkeit der Gerichte. Danach sind Schadensersatzklagen vor den Gerichten zu erheben, die nach Art. 79 Abs. 2 DSGVO zuständig sind. In Deutschland unterliegt der Schadensersatzanspruch den Zivilgerichten.
Was hat sich geändert?
Die Reglung eines vergleichbaren Schadensersatzanspruchs sah schon Art. 23 der alten DSRL für die Mitgliedstaaten vor. Jedoch ließ der Artikel offen, welche Art von Schaden (materiell oder immateriell) vorliegen muss und ob neben einem Verantwortlichen auch Auftragsverarbeiter anspruchsverpflichtet sein können. Durch Art. 82 DSGVO wurden die Voraussetzungen für einen solchen Anspruch präzisiert, sodass dem bislang untergeordneten Schadensersatzanspruch voraussichtlich auch eine größere Bedeutung zukommt.
Welchen Zweck hat Art. 82 DSGVO und welche Folgen ergeben sich daraus?
Der Schadensersatzanspruch gegen Verantwortliche und Auftragsverarbeiter dient sowohl general-repressiven (Strafverfolgung) als auch präventiven (Gefahrenabwehr) Zwecken. Er sorgt für den Ausgleich erlittener Schäden von betroffenen Personen und beugt weiteren Verstößen vor, sodass ein zusätzlicher Anreiz für Sicherheitsmaßnahmen von Verantwortlichen und Auftragsverarbeitern zu erwarten ist. Vor dem Hintergrund dieser Vorschrift, i. V. m. Art. 77-81, 83, 84 DSGVO, sollten Sie als Verantwortlicher oder Auftragsverarbeiter nochmals Ihre Sicherheitsvorkehrungen für die Datenverarbeitungen überprüfen. Falls Sie diesbezüglich noch gar keine Vorkehrungen getroffen haben, hilft Ihnen auch gerne ein von uns bereitgestellter externer Datenschutzbeauftragter bei diesen Maßnahmen.