§ 8 Auftragsverarbeitung / 1. Erforderlichkeit der Abgrenzung/haftungsrechtliche Gesichtspunkte

Rz. 13

Gelangt man im Rahmen der Abgrenzung der Auftragsverarbeitung zur "eigenen" Verantwortung zu dem Ergebnis, dass der Beauftragte selbst als Verantwortlicher und damit nicht als Auftragsverarbeiter zu qualifizieren ist, ist weiter zu prüfen, ob sich die Verantwortlichkeit des Beauftragten als eigenständige oder gemeinsame Verantwortung darstellt.

Rz. 14

Dies kann – vor allem aus haftungsrechtlicher Sicht – von erheblicher Bedeutung sein. Denn unter Geltung der DSGVO haften gemeinsam Verantwortliche gem. Art. 82 Abs. 2 S. 1 DSGVO^[12] dem geschädigten Betroffenen gesamtschuldnerisch^[13] für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Dies bedingt ein nicht unerhebliches Risiko, weil der nicht direkt an einer Verarbeitung beteiligte gemeinsame Verantwortliche damit im Außenverhältnis vollumfänglich (auch mit Blick auf etwaige Verstöße gegen Art. 5 bis 7 und 9 DSGVO) auch für die Verfehlungen seines Mitverantwortlichen einzustehen hat, was insbesondere dort zu Problemen führen kann, wo zwischen den gemeinsam Verantwortlichen ein erhebliches wirtschaftliches Ungleichgewicht besteht und sich der in Art. 82 Abs. 5 DSGVO vorgesehene Innausgleich im Falle der Inanspruchnahme des wirtschaftlich stärkeren Verantwortlichen im Außenverhältnis im Innenverhältnis der Verantwortlichen nicht vollständig realisieren lässt.

Rz. 15

Nach Art. 83 Abs. 4 lit. a) hat jeder gemeinsam Verantwortliche ordnungsrechtlich für die Einhaltung der an die gemeinsame Verantwortung in Art. 26 DSGVO gestellten Anforderungen einzustehen. Diese Verpflichtungen beziehen insbesondere die Erfüllung der Informations- und Auskunftspflichten gegenüber der betroffenen Person mit ein, die unabhängig von der tatsächlichen Aufgabenverteilung, gegenüber jedem der gemeinsam Verantwortlichen erhoben und geltend gemacht werden können (Art. 26 Abs. 3 DSGVO). Auch insoweit besteht also eine gesamtschuldnerische Verpflichtung. Fraglich erscheint, ob die "gemeinsame Verantwortung" – ordnungsrechtlich – zusätzlich auch zu einer Einstandspflicht jedes Verantwortlichen in Bezug auf die originär für jeden Verantwortlichen bestehenden Pflichten, wie die Verpflichtung zur Führung eines Verfahrensverzeichnisses, die Bestellung eines Datenschutzbeauftragten, die Etablierung technischer und organisatorischer Maßnahmen, usw. führt. Dies ist – jedenfalls nach dem Wortlaut des Art. 83 Abs. 4 lit a.) DSGVO – naheliegend.^[14] Eine Einstandspflicht für die Einhaltung der allgemeinen Datenschutzgrundsätze nach Art. 5 DSGVO und die Verarbeitungsgrundsätze nach Art. 6, 7 und 9 DSGVO begründet die gemeinsame Verantwortung nicht, so dass jeder gemeinsam Verantwortliche nicht nur eigenständig über die Rechtmäßigkeit der Verarbeitung zu befinden, sondern auch alleine dafür einzustehen hat. Ein Verstoß gegen Art. 5 bis 7 und 9 DSGVO durch einen gemeinsamen Verantwortlichen bedingt damit keinen ordnungsrechtlichen Verstoß auch des anderen Verantwortlichen.

[12] Hier heißt es: "Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde."

[13] So auch Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 26 Rn 29.

[14] In diesem Sinne auch Hartung, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 26 Rn 31.