Die Datenschutzgrundverordnung sieht eine ganze Reihe an Sanktionsmöglichkeiten vor, wenn es zu Datenschutzverstößen kommt. Die bekannteren Sanktionen sind die Bußgelder nach DSGVO. Jedoch zählen weitere, andere Mechanismen dazu, die vor allem ein wirtschaftliches Risiko für die Beteiligten darstellen können.
Schließen zwei Parteien einen Auftragsverbeitungsvertrag i.S.d. Art. 28 abs. 3 DSGVO ist der Auftraggeber als Verantwortlicher derjenige, der Mittel und Zweck der Verarbeitung bestimmt und allein verantwortet. Er ist dem Auftragnehmer als Verarbeiter allein weisungsbefugt. Der Verarbeiter hat sich an die Anweisungen grundsätzlich zu halten und darf nicht selbst über Mittel und Zweck bestimmen oder diese verändern. Trotz seiner begrenzten Möglichkeit gerade bei den Mitteln der Verarbeitung (z.B. Entscheidungen über die eingesetzte Hardware), darf er die engen Grenzen nicht überschreiten.
Hat der AVV jedoch Schwächen bei der Zweckbestimmung für die Verarbeitung, und tritt allein durch die Art und Weise der Verarbeitung (Nutzung der Daten) eine Zweckänderung ein, wird der Verarbeiter nach Art 28 Abs. 10 DSGVO selbst Verantwoirtlicher.
Dadurch stehen für die Verarbeitung der betroffenen personenbezogenen Daten zwei Verantwortliche nebeneinander. Stellt sich dadurch die vermeintliche Auftragsverarbeitung als gemeinsame Verantwortliche dar, liegt ein Joint Control nach Art. 26 DSGVO vor und beide haften als Gesamtschuldner dem Betroffenen bei einem Schaden. Die Entscheidung Wirtschaftsakademie Schleswig-Holstein des EuGH (Facebook Fanpage) verdeutlicht, dass bereits die faktische Nutzung einer Datenquelle ausreicht, um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO anzunehmen.
E-Learning Datenschutz
- Datenschutz praktische Lektion
- https://juristi.de/home/index.php?quiz/