Den Datenverantwortlichen trifft ab nächstem Jahr nach der künftigen unmittelbar geltenden EU-Datenschutzgrundverordnung die umfassende Verantwortung und Haftung für die Verarbeitung von personenbezogenen Daten. Bei Zuwiderhandeln können ihn drakonisch hohe Bußgelder treffen. Der Online-Händler sieht sich so ab dem 28.5.2018 mit einer Unzahl von schwierigen Fragen konfrontiert. Wer genau ist der Verantwortliche? Welche Pflichten kommen auf ihn zu? Können seine Pflichten an Dritte delegiert werden? Welcher Haftungsmaßstab gilt? Weiter geht es in Teil 2 des Gastbeitrags der IT Recht Kanzlei München.
GENEHMIGTE VERHALTENSREGELN UND ZERTIFIZIERUNGEN
Wie gestern in Teil 1 ausgeführt, werden auch kleinere Onlineunternehmen, die regelmäßig personenbezogene Daten verarbeiten, nicht von den Vorgaben der der Datenschutz-Grundverordnung entlastet. Die rechtliche Unbestimmtheit vieler Pflichten ist für Online-Händler wegen erheblicher Sanktionsdrohungen problematisch. Der Verordnungsgeber hat das Problem, dass gerade mittlere und Kleinunternehmen mit den Anforderungen der Datenschutzgrundverordnung überlastet wird, gesehen. Abhilfe sollen Verbände und Vereinigungen schaffen, die über genehmigte Verhaltensregeln und Zertifizierungsverfahren die Pflichten des Verantwortlichen präzisieren und seine Nachweispflicht erleichtern. Die Nachweispflicht gilt mit der Einhaltung von Verhaltensregeln und eines Zertifizierungsverfahrens (mit Datenschutzsiegel und -prüfzeichen) zwar nicht als erfüllt (s. dazu auch unten Kapitel 5), aber sie ist doch ein wichtiges Indiz, dass der Verantwortliche seine Pflichten erfüllt hat.
Als Antragsteller kommen Verbände in Betracht, die Onlinehändler vertreten. Sie sollen Verhaltensregeln ausarbeiten, die die branchenspezifischen Besonderheiten des Onlinehandels insbesondere die Bedürfnisse von kleineren und mittleren Onlineunternehmen berücksichtigen. Verhaltensregeln müssen ein förmliches Genehmigungsverfahren bei der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes durchlaufen. Die Überwachung, ob genehmigte Verhaltensregeln eingehalten werden, muss durch den Verband erfolgen. Der Verband kann die Überwachung aber auch an eine Überwachungsstelle delegieren, die einer Akkreditierung durch die zuständige Aufsichtsbehörde bedarf.
Eine zugelassene Zertifizierungsstelle darf Zertifizierungen durchführen. Die zuständige Aufsichtsbehörde kann aber entscheiden, dass sie selber Zertifizierungen anbietet. Damit ist ein Interessenkonflikt nicht zu vermeiden. Ob dies auch der Intention des deutschen Anpassungsgesetzes entspricht, ist unklar. Das Zertifizierungsverfahren muss den besonderen Bedürfnissen der Kleinstunternehmen und Klein- und Mittelunternehmen entsprechen. Gem. § 39 Anpassungsgesetz soll die Akkreditierung durch die deutsche Akkreditierungsstelle (DAkks) im Einvernehmen mit der zuständigen Aufsichtsbehörde erfolgen. Nach aktuellem Stand sind uns noch keine genehmigten Zertifizierungsmaßnahmen oder genehmigte Verhaltensregeln bekannt.
Es ist unklar, welche Bedeutung alte Zertifikate im Kontext der künftigen Datenschutz-Grundverordnung haben werden. Jedenfalls genießen sie nicht die Nachweiserleichterung, dass der Verantwortliche seine o.g. Pflichten nach Datenschutz-Grundverordnung erfüllt hat und sind somit für die Onlinehändler im Kontext der Datenschutz-Grundverordnung faktisch wertlos.
AUFTRAGSVERARBEITUNG
Die Beauftragung eines spezialisierten Dienstleisters mit der Einhaltung der Vorgaben der Datenschutz-Grundverordnung ist gerade für kleinere und mittlere Online-Unternehmen, die in der Regel nicht über die notwendige Sachkenntnis des Datenschutzrechts verfügen, äußerst praxisrelevant. Die Datenschutz-Grundverordnung hat dem Rechnung getragen und die Beauftragung eines sogenannten Auftragsverarbeiters durch den Verantwortlichen in Art. 28 geregelt. Art. 28 will vor allem datenschutzrechtliche Standards bei der Auswahl und der Beauftragung des Auftragsverarbeiters regeln.
Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien zur Durchführung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten bieten.
HAFTUNG DES VERANTWORTLICHEN
Der Verantwortliche haftet für Schäden, die einer Person aufgrund einer Datenverarbeitung entstehen, die mit der Datengrundschutz-Verordnung oder dem deutschen Anpassungsgesetz nicht in Einklang stehen (Erwägungsgrund 146). Anspruchsberechtigt ist daher nicht nur der Kunde, sondern z.B. auch der Besucher der Webseite des Onlineshops, der keine Ware bestellt aber auf Grund seines Besuches personenbezogene Daten hinterlässt.
Hier ist die Nachweispflicht zu Lasten des Verantwortlichen erheblich erleichtert oder die Beweislast umgekehrt.
Die einen Schaden geltend machende Person muss nur insoweit die Rechtswidrigkeit der Datenverarbeitung darlegen, wie ihm dies ohne Einblick in die internen Datenverarbeitungsprozesse möglich ist. Er muss also nur Anhaltspunkte für einen Datenschutzverstoß benennen (s. Kommentar Gola, Art. 82, Rdnr, 15). Gemäß Art. 82 Abs. 3 muss der Verantwortliche (und nicht der Geschädigte) nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Der Geschädigte muss nachweisen, dass ihm durch die rechtswidrige Verarbeitung von Daten durch den Verantwortlichen ein Schaden entstanden ist. Dabei reicht es aus zu beweisen, dass die Datenverarbeitung grundsätzlich geeignet war, den Schaden auszulösen.
Den Betroffenen trifft allerdings die volle Beweislast, dass ein Schaden entstanden ist und in welcher Höhe (s. Kommentar Bucher/Kühling, Art. 82 Rdnr. 20, 48).
Grundsätzlich sind Vermögensschäden erstattungspflichtig. Typische Schäden, die im Rahmen der Tätigkeit von Onlineshops auftreten könnten sind Schäden wegen Vertragsverweigerung auf Basis falscher Bonitätswerte, Mehrkosten wegen eines negativen Schufa-Scores, der wegen Vertragsverweigerung auf Grund falscher Bonitätswerte entstanden sind (s. Kommentar Bucher/Kühling a.a.O.).
Zu erstatten sind auch Schäden, die mittelbar entstehen wie die Kosten der Rechtsverfolgung, Anwaltskosten bei Beschwerden gegenüber der Beschwerdebehörde (s. Kommentar Bucher/Kühling, Art. 82, Rdnr. 19).
Nach bisheriger deutscher Rechtsprechung, die auch dem bisherigen § 8 Abs. 2 Bundesdatenschutzgesetz entspricht, konnten immaterielle Schäden nur bei schwerwiegenden Persönlichkeitsverletzungen geltend gemacht werden. § 8 Bundesdatenschutzgesetz wird mit Geltung der Datenschutz-Grundverordnung aufgehoben. Art. 82 Abs. 1 verpflichtet ausdrücklich auch zu einem Ersatz eines immateriellen Schadens. Die bisherige Einschränkung auf schwerwiegende Persönlichkeitsverletzungen wird dann wohl nicht mehr gelten.
Es bleibt abzuwarten, wie die künftige Rechtsprechung den Art 82 Abs. 1 auslegen wird und ob künftig bei Datenschutzverletzungen signifikante Schmerzensgelder zugesprochen werden.
Der Verantwortliche haftet dabei auch für das Handeln seiner Mitarbeiter.
Verantwortlicher und Auftragsverarbeiter haften gemeinsam (Art. 82 Abs. 1). Vertragliche Absprachen mit dem Auftragsverarbeiter, die eine Haftung des Verantwortlichen ausschließen, sind nicht zulässig. Sind Verantwortlicher und Auftragsverarbeiter an derselben Datenverarbeitung beteiligt, so haften sie regelmäßig als Gesamtschuldner. Der Geschädigte kann sich an beide wenden (s. Gola, Art. 82, Rdnr. 6. Soweit der Schaden dem Auftragsverarbeiter zuzurechnen ist, hat der Verantwortliche, der vollen Schadensersatz geleistet hat, einen Rückgriffsanspruch gegen den Auftragsverarbeiter.
Erwägungsgrund 21 stellt klar, dass das Providerprivileg der Artikel 12-15 E-Commerce Richtlinie (§§ 7 ff Telemediengesetz) unverändert fort gilt. Hosting-Provider sind damit weiterhin von der Haftung für Inhalte Dritter auf ihrer Plattform freigestellt, wenn sie keine Kenntnisse von der Rechtswidrigkeit dieser Inhalte haben, die Rechtswidrigkeit nicht offensichtlich ist und sie solche Inhalte unverzüglich nach Kenntnis löschen oder sperren.
SANKTIONEN GEGEN DEN VERANTWORTLICHEN
Die künftige Datenschutz-Grundverordnung führt gegenüber der bisherigen Rechtslage europaweit zu einer drastischen Verschärfung der Sanktionen bei Datenschutzverstößen, die den Verantwortlichen ungleich härter treffen können als Schadensersatzansprüche von betroffenen Personen (s. dazu Kapitel V). Auch die Interventionsmöglichkeiten der Aufsichtsbehörden wurden wesentlich verschärft.
Die Aufsichtsbehörde haben sehr weitgehende Interventionsmöglichkeiten, die Online-Händler empfindlich treffen können (Art.58). § 40 Anpassungsgesetz hat die Interventionsmöglichkeiten der Aufsichtsbehörde ergänzend konkretisiert.
Die Aufsichtsbehörde verfügt gem. Art. 58 Abs. 1 über folgende Untersuchungsbefugnisse, die es ihr gestatten,
– den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
– Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
– eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
– den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
– von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten, Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen
und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
Die Aufsichtsbehörde verfügt gem. Art. 58 Abs. 2 über folgende Abhilfebefugnisse, die es ihr gestatten,
- einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
- einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
- den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
- den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
- eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
- die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten offengelegt wurden, über solche Maßnahmen anzuordnen,
- eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
- die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
Art. 83 nennt eine Vielzahl von Bemessungskriterien, in welcher Weise Geldbußen neben den dargestellten Interventionsmöglichkeiten der Aufsichtsbehörden verhängt werden sollen. Es soll laut Art. 83 Abs. 1 sichergestellt werden, dass die Verhängung von Geldbußen wirksam, verhältnismäßig und abschreckend ist. Die rechtswidrige Bearbeitung von Daten durch Online-Händler kann daher ernste Folgen haben.
Bei schweren Verstößen gegen die Pflichten des Verantwortlichen (Art. 83 nennt hier Verstöße gegen Artikel 8, 11, 25 bis 39, 42, 43) sollen Geldbußen bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes verhängt werden.
Das sind in der Tat drakonische Sanktionen, die eine Abschreckungswirkung nicht verfehlen werden.
Bei Vorsatz und in schweren Fällen können neben Geldstrafen auch Freiheitsstrafen verhängt werden.
Gem. § 42 Abs. 1 Anpassungsgesetz wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt und hierbei gewerbsmäßig handelt.
Gem. § 42 Abs. 2 Anpassungsgesetz wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
DIE IT RECHT KANZLEI EMPFIEHLT
Onlinehändler sollten angesichts der drakonischen Sanktionsmöglichkeiten die Vorgaben zur Datenverarbeitung nach der Datenschutz-Grundverordnung sehr ernst nehmen. Da die meisten Online-Händler angesichts der komplexen datenschutzrechtlichen Materie damit überfordert sind, die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung zu organisieren, werden sie sich an externe Dienstleister wenden müssen. Dabei ist auf die Seriosität dieser Dienstleister zu achten. Es sollten keine Aufträge an Dienstleister vergeben werden, die nicht die Einhaltung genehmigter Verhaltensregeln und Zertifizierungsverfahren gewährleisten können. Es ist zu hoffen, dass die Aufsichtsbehörden, die ja gerade auch kleine und mittlere Unternehmen in Fragen des Datenschutzes unterstützen sollen, ihrer Betreuungsfunktion gerecht werden.