Ja - seit der DSGVO können sowohl Bußgelder als auch Schadensersatzforderungen direkt gegen Auftragsverarbeiter gerichtet werden. Dies war unter dem alten BDSG nicht in diesem Umfang möglich.
Bußgeldhaftung (Art. 83 DSGVO):
Alle Maßnahmen der Aufsichtsbehörden nach Art. 58 DSGVO können sich nun auch gegen Auftragsverarbeiter richten (DSK-Kurzpapier Nr. 2). Der Auftragsverarbeiter haftet insbesondere für die Einhaltung seiner eigenen Pflichten nach Art. 28 DSGVO (Auftragsverarbeitungsvertrag), Art. 32 DSGVO (Sicherheit der Verarbeitung), Art. 30 Abs. 2 DSGVO (Verzeichnis der Verarbeitungstätigkeiten für Auftragsverarbeiter) und Art. 33 Abs. 2 DSGVO (unverzügliche Meldung von Datenpannen an den Verantwortlichen).
Schadensersatzhaftung (Art. 82 Abs. 2 DSGVO):
Der Auftragsverarbeiter haftet für Schäden durch DSGVO-Verstöße, aber nur:
- wenn er seinen eigenen DSGVO-Pflichten nicht nachgekommen ist, oder
- wenn er außerhalb oder entgegen den Weisungen des Verantwortlichen gehandelt hat.
Gesamtschuldnerische Haftung (Art. 82 Abs. 4 DSGVO):
Wenn sowohl Verantwortlicher als auch Auftragsverarbeiter für den Schaden verantwortlich sind, haften beide als Gesamtschuldner. Die betroffene Person kann den vollen Schadensersatz von jedem der Beteiligten verlangen. Der zahlende Teil hat ein Rückgriffsrecht (Art. 82 Abs. 5).
Praxishinweis: Für Auftragsverarbeiter (z.B. Cloud-Anbieter, IT-Dienstleister, Lohnabrechner) ist es daher essentiell, einen ordnungsgemäßen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen und die darin vereinbarten Maßnahmen tatsächlich umzusetzen.