Ergebnis 1 bis 8 von 8

Thema: Möglichkeit der Exculpation bei der Haftung nach Art. 82 Abs. 3 DS-GVO bzw. § 83 BDSG

  1. #1
    Registriert seit
    06.10.2017
    Beiträge
    2

    Standard Möglichkeit der Exculpation bei der Haftung nach Art. 82 Abs. 3 DS-GVO bzw. § 83 BDSG

    Hallo,
    ich habe eine Frage zur Haftung des Verarbeiters nach BDSG-neu bzw. DS-GVO wenn ein System gehackt worden ist, personenbezogene Daten entwendet wurden und dadurch die Betroffenen einen Schaden erlitten haben.

    In Art. 82 Abs. 3 DS-GVO gibt es eine Exculpationsmöglichkeit.
    wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist

    Allerdings bezieht sich der Absatz 3 nur auf den Absatz 2. Ich würde das erst einmal so interpretieren, dass bei mehreren Beteiligten (Verantwortliche und Auftragsdatenverarbeiter) diejenigen nicht haften, die nachweisen können, dass sie nicht verantwortlich sind. Absatz 3 bezieht sich aber nicht auf Absatz 1. Bedeutet dies, dass eine Exculpation insgesamt nicht möglich ist? Oder kann dieser sich bei einem Hack dadurch exculpieren, dass er nachweißt, dass er alle Sicherheitsmaßnahmen state of the art eingehalten hat? Woran misst sich dann dieser state of the art?

    Schaut man jetzt ins BDSG-neu, so findet sich eine Exculpationsmöglichkeit dort im § 83 BDSG-neu nicht. Allerdings ist die Haftung schon von vornhinein restriktiver als in der DS-GVO formuliert. Eine Haftung ist hier nur bei rechtswidriger Verarbeitung gegeben. Unklar ist mir dabei, ob der Verantwortliche nur seine eigenen Maßnahmen verantworten muss, oder ob er auch für den rechtswidrigen Hack des Hackers haftbar ist. Im letzten Fall würde die Haftung des BDSG-neu die Haftung der DS-GVO zumindest in bestimmten Fällen übersteigen. Im ersten Fall dagegen wäre die Haftung geringer. Denn nach BDSG-neu müsste der Geschädigte nachweisen, dass die Verarbeitung rechtswidrig war während es gemäß der DS-GVO schon reicht, wenn der Verantwortliche seine Nichtverantwortlichkeit nicht nachweisen kann. Ist eine Einschränkung der Haftung der DS-GVO durch das BDSG-neu möglich? Oder ist § 1 Abs. 5 BDSG-neu bzw. der Vorrang des Europarechts einschlägig und daher die Haftung nur nach der DS-GVO zu bestimmen?

    Freue mich auf Ihre/Eure Antworten und möchte mich schon mal im vornhinein dafür bedanken.

    Jörn Erbguth

  2. #2
    Registriert seit
    19.06.2009
    Beiträge
    4.858

    Standard

    Zitat Zitat von erbguth Beitrag anzeigen
    Absatz 3 bezieht sich aber nicht auf Absatz 1. Bedeutet dies, dass eine Exculpation insgesamt nicht möglich ist?
    Genau das ist der Sinn. Gefährdungshaftung wegen Betrieb eines komplexen Verarbeitungssystems, das Eingriffe Dritter nicht absolut verhindern kann.

    Zitat Zitat von erbguth Beitrag anzeigen
    Schaut man jetzt ins BDSG-neu, so findet sich eine Exculpationsmöglichkeit dort im § 83 BDSG-neu nicht. Allerdings ist die Haftung schon von vornhinein restriktiver als in der DS-GVO formuliert. Eine Haftung ist hier nur bei rechtswidriger Verarbeitung gegeben.
    Art. 82 Abs. 1 DSGVO verlangt ja einen "Verstoß gegen diese Verordnung". Das würde ich als äquivalent zu "rechtswidrig" ansehen.

    Ein Problem könnte aber darin liegen, dass jeder Verstoß gegen die GVO erfasst wird. Man muss wohl hineinlesen, dass ein Recht des Geschädigten verletzt worden sein muss. Also muss gegen eine Vorschrift verstoßen worden sein, die den Betroffenen/Geschädigten schützt. Sonst wären das reine Windfall-Profits.
    Ulrich Dammann
    Moderator - Administrator

  3. #3
    Registriert seit
    06.10.2017
    Beiträge
    2

    Standard

    Vielen Dank Herr Dammann für die prompte Antwort.

    Ganz klar wird mir die Sache mit Ihrer Antwort allerdings noch nicht:

    Geht es um

    a) eine Gefährdungshaftung und der Verantwortliche muss auch für den Verstoß gegen die die DS-GVO durch den Hacker haften?
    b) eine Gefährdungshaftung mit Exculpationsmöglichkeit auch wenn dadurch niemand (außer natürlich dem Hacker) haftet?
    c) eine kausale Verschuldenshaftung, bei dem die Rechtswidrigkeit / der Verstoß gegen die DS-GVO dem Verantwortlichen zurechenbar sein muss und dadurch der Schaden entstanden sein muss?

    Nach der DS-GVO würde ich zu a) evtl. auch b) tendieren. Nach dem BDSG-neu eher zu c).

    Bezieht sich bei der Haftung des originär Verantwortlichen die Rechtswidrigkeit bzw. der Verstoß gegen die Verordnung auch auf den Hacker? Oder müsste man als Rechtswidrigkeit bzw. Verstoß eine Verletzung von Sicherheitsstandards auf Seiten des Verantwortlichen nachweisen?

    Viele Grüße

  4. #4
    Registriert seit
    05.01.2017
    Beiträge
    37

    Standard

    Zitat Zitat von § 83 Abs. 1 BDSG 2017
    Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt,...
    Das BDSG verlangt, dass der Verantwortliche selbst durch die rechtswidrige Verarbeitung den Schaden zugefügt hat. Hier wird meines Erachtens keine Gefährdungshaftung postuliert.

    Zitat Zitat von Art. 82 Abs. 1 DSGVO
    Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
    Die DSGVO dagegen scheint hier vom Wortlaut her tatsächlich nicht darauf abzustellen, dass der Verstoß auch vom Verantwortlichen begangen worden sein muss. Ich wäre sehr geneigt, den Absatz 1 dahingehend zu interpretieren, dass der Verantwortliche nur für eigene Verstöße haftbar gemacht werden kann, wären da nicht Absatz 2 samt Exculpationsmöglichkeit in Absatz 3, von denen sich der Absatz 1 bei einer solchen Interpretation nicht mehr sinnvoll abgrenzen würde. Ich gehe daher davon aus, dass Absatz 1 DSGVO tatsächlich eine verschuldensunabhängige Haftung des Verantwortlichen auch für Verstöße Dritter aufstellt. Dass der Verantwortliche beim Hacker Regress nehmen kann, entschärft die Sachlage nur vernachlässigbar, ist aber insoweit folgerichtig, als nur der Verantwortliche tatsächlich über Mittel verfügen kann, den Hacker ausfindig zu machen. Das Haftungsrisiko wird daher demjenigen zugesprochen, der zum Einen das Risiko schafft (die Verarbeitung vornimmt) und zum Anderen als einziger die Möglichkeit haben kann, den Schädiger zu identifizieren.

    Der Schaden muss "wegen eines Verstoßes" entstanden sein, so dass dort ein kausaler Zusammenhang bestehen muss. Daher stimme ich zu, dass es um ein Recht des Geschädigten gehen muss, dass verletzt wurde - mir fällt auch nach längerem Grübeln kein Beispiel ein, bei dem ein Verstoß, der einen Schaden verursacht, nicht auch ein Recht des Geschädigten verletzt hat.

  5. #5
    Registriert seit
    10.02.2011
    Beiträge
    3.632

    Standard

    Zitat Zitat von cheinrich Beitrag anzeigen
    Die DSGVO dagegen scheint hier vom Wortlaut her tatsächlich nicht darauf abzustellen, dass der Verstoß auch vom Verantwortlichen begangen worden sein muss.
    Wer außer den Verantwortlichen bzw. Auftragsverarbeitern kann gegen diese Verordnung verstoßen? Es ist doch niemand anderes zu deren Einhaltung verpflichtet? Würde auf Verstöße Dritter abgestellt, müßte es dann nicht lauten:

    "(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung oder durch Dritte verursacht wurde."?

    Ich lese in Art.82 Abs.1 die Erklärung eines grundsätzlichen Anspruchs auf Schadensersatz gegen diese beiden. Quasi als Einleitung der zu erfüllenden Bedingungen für Haftung, Exkulpation, etc. in den nachfolgenden Absätzen - die Ausnahmen von der Regel. Abs.2 Satz 1 befreit den Verantwortlichen nicht von seiner Schuld, sofern der Auftragsverarbeiter seinen Pflichten nachkam. Das ist ein sicher nicht selten vorkommendes Szenario: Auftragnehmer (Auftragsverarbeiter) weist auf zu erfüllende Maßnahmen oder Anforderungen hin, der Auftraggeber (Verantwortliche) setzt andere Prioritäten und die Maßnahmen nicht um. Einen solchen Fall sehe ich durch Abs.2 abgedeckt.
    Der Verantwortliche wird eher selten die Möglichkeit haben, den Angreifer ausfindig machen zu können. Er kann aber dafür erforderliche Daten z.B. den Strafverfolgungsbehörden zur Verfügung stellen, die dann "den Russen" finden und zurückhacken können.

    Das BDSG setzt mit §83 die EU-Richtlinie 2016/680 um, nicht die DSGVO. Gem. BDSG entfällt die Ersatzpflicht bei einem Schaden durch nicht automatisierte Verarbeitungen, wenn der Schaden nicht durch den Verantwortlichen verschuldet wurde. Die Exkulpation fürs Analoge, falls jemand Papierakten aus dem Hochsicherheitstrakt klaut. Ich lese in §83 Abs.1: Nicht das BKA wäre zum Ersatz des Schadens verpflichtet, der den Journalisten mit dem Entzug der G20-Akkreditierung zugefügt wurde. Hier kann das Innenministerium als Rechtsträger einspringen, denn bei solchen Vorkommnissen ist der Vorwurf eines strukturellen Versagens wohl gerechtfertigt und dieses beginnt bei denen, die vom liebgewonnenen Datenschutzrecht fabulieren.

  6. #6
    Registriert seit
    10.02.2011
    Beiträge
    3.632

    Standard

    Zitat Zitat von erbguth Beitrag anzeigen
    a) eine Gefährdungshaftung und der Verantwortliche muss auch für den Verstoß gegen die die DS-GVO durch den Hacker haften?
    Wie kann ein Angreifer gegen die DSGVO verstoßen? Seine Aufgabe besteht nicht in der Herstellung einer rechtmäßigen Verarbeitung, denn sein Job ist die Rechtswidrigkeit, für deren Belohnung das StGB zuständig ist (z.B. der sog. Hackerparagraph). Es sei denn, man betrachtet ihn als Verantwortlichen, sobald ihm durch fehlende Sicherheitsstandards die "geklauten" Daten abhanden kommen. Insofern könnte man natürlich über eine Exkulpationskette philosophieren, die eine Haftung der ursprünglich Verantwortlichen betrachtet, wenn der Angreifer gehackt wird...
    Es geht doch um die Verantwortung des Verantwortlichen bzw. Auftragsverarbeiters. Kann ein Angreifer durch deren Verantwortungslosigkeit etwas gefährden, dann haften die beiden je nach Anteil an der Verantwortungslosigkeit (z.B. ungenügende Sicherheitsstandards wie die Beibehaltung des Standardlogins "admin,admin", die einem Angreifer erst eine Gefährdung ermöglicht).

    Zitat Zitat von erbguth Beitrag anzeigen
    b) eine Gefährdungshaftung mit Exculpationsmöglichkeit auch wenn dadurch niemand (außer natürlich dem Hacker) haftet?
    Siehe Erwägungsgründe 74 und 146.

    Zitat Zitat von erbguth Beitrag anzeigen
    c) eine kausale Verschuldenshaftung, bei dem die Rechtswidrigkeit / der Verstoß gegen die DS-GVO dem Verantwortlichen zurechenbar sein muss und dadurch der Schaden entstanden sein muss?
    a + b = c?

    Der Verantwortliche bzw. Auftragsverarbeiter wird vor Gericht nachweisen müssen, daß die Verletzung des Schutzes personenbezogener Daten nicht auf seiner Unverantwortlichkeit basiert (Abs.3). Besonders spannend stelle ich mir ein Gerichtsverfahren mit Blick auf die Abwägung zwischen Implementierungskosten des Art.25 Abs.1 DSGVO und einem immateriellen Schaden vor ("Ja, nee, Herr Richter, wir mußten die Klaut für die Mandantendaten nutzen. Etwas anderes können wir uns doch gar nicht leisten und außerdem haben wir uns doch am BDSG orientiert, so wie die Gesetzesbegründung des StGB es vorsieht." "Na wenn das so ist."...).

    Hacker ist kein Äquivalent zu Böser Wicht. Das muß man beachten.

  7. #7
    Registriert seit
    19.10.2017
    Beiträge
    41

    Standard

    Ist es nicht so, dass § 83 BDSG neu gar nicht zur Anwendung kommt, wenn es um allgemeinen Datenschutz geht?

    Er befindet sich doch im

    Teil 3 Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

    Und diese VO beschäftigt sich doch nur mit Sicherheitsbehörden.

    Nur

    "Teil 2 Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679".

    betrifft den allgemeinen Datenschutz.

    Richtig?


    Und, nein, die Exkulpationsmöglichkeit nach Absatz 3 der DSGVO befreit nicht grundsätzlich von der Haftung.
    Sie befreit nur denjenigen für den sie auch zutrifft.

  8. #8
    Registriert seit
    10.02.2011
    Beiträge
    3.632

    Standard

    Zitat Zitat von Marsmänsch Beitrag anzeigen
    Ist es nicht so, dass § 83 BDSG neu gar nicht zur Anwendung kommt, wenn es um allgemeinen Datenschutz geht? ...
    Deswegen schrieb ich: Das BDSG setzt mit §83 die EU-Richtlinie 2016/680 um, nicht die DSGVO.
    Diese Richtlinie ist, wie der Name schon sagt, eine Richtlinie und keine VO.

Ähnliche Themen

  1. Vorgehen bei Ergänzung/Änderung der Datenschutzerklärung
    Von Uliwu60 im Forum Allgemeine Rechtsfragen, Gesetze, Gesetzgebung
    Antworten: 2
    Letzter Beitrag: 06.06.2018, 13:15
  2. Papiere der ASBs zu Praxisproblemen der DSGVO
    Von Ulrich Dammann im Forum DSGVO Datenschutzgrundverordnung
    Antworten: 2
    Letzter Beitrag: 30.01.2018, 22:12
  3. Antworten: 22
    Letzter Beitrag: 04.11.2017, 10:54
  4. Informationspflichten Art. 14 DS-GVO im B2B-Geschäft
    Von KMUDSB im Forum Allgemeine Rechtsfragen, Gesetze, Gesetzgebung
    Antworten: 7
    Letzter Beitrag: 13.10.2017, 17:16
  5. Wie wichtig ist die "Checkliste zur Erfüllung der Aufgaben nach § 9 BDSG und Anlage"?
    Von Daniiiii im Forum Einzelne Arbeitsfelder, Praxisprobleme
    Antworten: 6
    Letzter Beitrag: 24.06.2017, 13:09

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •