Kurzbeitrag : Datenschutz: Haftungsvereinbarungen in Auftragsverarbeitungsverträgen : aus der RDV 1/2021, Seite 29 bis 31
Sind Haftungsbegrenzungen in Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO rechtlich unzulässig?
Zuweilen wird vertreten, dass eine Begrenzung der Haftung für die Verletzung der Vertragsverpflichtungen bei Auftragsverarbeitungsverträgen (AVV) nach Art. 28 DS-GVO unzulässig ist. Die rechtlichen Begründungen, die hierfür angeführt werden, überzeugen nicht, da sich der Gesetzgeber hierzu nicht ausdrücklich geäußert hat, wie der folgende Artikel darlegen wird. Dabei dürfte diese Erkenntnis vor allem die Kundenseite sehr freuen. Denn häufig fühlten sich Kunden massiv unter Druck gesetzt bei Ihren Lieferanten eine unbegrenzte Haftung für Datenschutzverletzung zu fordern, mit der Lieferanten leider nicht einverstanden waren. Mit der Erkenntnis, dass eine unbegrenzte Haftung für Datenschutzverletzung nicht zwingend rechtlich erforderlich ist, dürften sich zukünftige Verhandlungen von AVV wesentlich einfacher für die Kunden gestalten.
I. Grundlagen
In privatwirtschaftlichen IT-Verträgen und in EVB-IT[1] -Verträgen werden regelmäßig Regelungen zur Begrenzung der Haftung des Auftragsverarbeiters vereinbart. Es stellt sich die Frage, warum datenschutzrechtliche Verfehlungen der Auftragsverarbeiter anders zu behandeln sein sollten als sonstige zivilrechtliche Ansprüche. Insbesondere gestaltet sich eine Abgrenzung in der juristischen Praxis eher schwierig, da die Ursache für beide Arten von Verfehlungen ggf. die gleiche ist. Schützt z. B. ein Auftragsverarbeiter seine Serversysteme nicht ausreichend gegen Hackerangriffe, so haftet er ggf. zivilrechtlich begrenzt bis zur vereinbarten Haftungshöchstgrenze. Verletzt die gleiche Handlung aber eine vergleichbare Regelung aus der AVV, so muss der Auftragsverarbeiter herfür unbegrenzt haften. Dies erscheint nicht interessengerecht!
Die Vereinbarung von Haftungsbegrenzungen ist grundsätzlich zivilrechtlich zulässig[2] und dient dem Zweck einer Risikoverteilung im Verhältnis zur Vergütung. Häufig wird vertreten: Würde der Kunde unbegrenzt zahlen, würde der Auftragsverarbeiter auch unbegrenzt haften. Dies ist aber nicht das Parteiinteresse und so werden entsprechende Vergütungsvereinbarungen und Haftungsbegrenzungen in den Vertrag aufgenommen. Fraglich ist, warum hierzu in einer AVV etwas anderes vereinbart werden sollte.
II. Haftung nach DS-GVO
Jeder an einer Verarbeitung beteiligte Verantwortliche haftet gemäß Art. 82 Abs. 2 Satz 1 DS-GVO für den Schaden, der durch eine nicht der Datenschutz-Grundverordnung entsprechende Datenverarbeitung verursacht wurde. Gem. Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen und/oder gegen den Auftragsverarbeiter. Zwar haftet der Auftragsverarbeiter grundsätzlich auch; aber anders als der Verantwortliche, haftet er nur für die in seiner Funktion als Auftragsverarbeiter obliegenden gesetzlichen Verpflichtungen, vgl. Abs. 2 S. 2 Var. 1 gegenüber einer dritten Person. Dies sind alle Vorschriften, die den Auftragsverarbeiter als Normadressaten benennen, sei es allein oder zusammen mit dem oder alternativ zum Verantwortlichen.[3]
Sind mehrere Verantwortliche und/oder Auftragsverarbeiter für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haften sie grundsätzlich gesamtschuldnerisch („jeder trägt alles“). Auf diese Weise soll ein wirksamer Schadensersatz für die betroffene Person sichergestellt werden, vgl. Art. 82 Abs. 4 DS-GVO. Ein Verantwortlicher oder ein Auftragsverarbeiter wird von der Haftung befreit, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist, vgl. Art. 82 Abs. 3 DS-GVO.[4]
Zielsetzung des Art. 82 DS-GVO ist der Schutz des Betroffenen[5] und nicht des Verantwortlichen. Somit ist der Schutzwirkung des Art. 82 DS-GVO nicht das Verhältnis des Verantwortlichen zu seinem Auftragsverarbeiter. Vereinbaren diese beiden Parteien eine interne Regelung, kann der nach außen Haftende im Anschluss ggf. auf gesetzlicher Grundlage einen Regressanspruch geltend machen. Dieser dient dazu, die Last im Innenverhältnis zu verteilen,[6] was aber nichts mit der Schutzwirkung des Art. 82 DS-GVO zu tun hat. Bei der internen Haftung bestehen keine Besonderheiten gegenüber der zivilrechtlichen Haftungsregelung im Hauptvertrag, da sich die Haftung nach den Haftungsnormen § 280 Abs. 1 S. 1 BGB i.V.m. § 241 Abs. 2 BGB richtet.[7]
Da der Auftragsverarbeiter nicht im Vorfeld mit allen Personen, deren Daten er im Auftrag verarbeitet, eine Haftungsbegrenzung vereinbaren kann, haftet der Auftragsverarbeiter gegenüber dieser verletzten Person unbegrenzt. So haften im Verhältnis zu Betroffenen der Verantwortliche und der Auftragsverarbeiter erst einmal voll.[8] Folglich geht es bei einer Regelung zur Haftungsbegrenzung in einer AVV lediglich um die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen.
III. Zulässigkeit einer Haftungsbegrenzung
Erfolgt gem. Art. 28 Abs. 1 DS-GVO eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, so dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Zielsetzung der Norm ist vor allem die Sicherheit der Verarbeitung, aber auch, dass der Auftragsverarbeiter im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen entsprechende Garantien bieten soll.[9] Die Verwendung des Begriffes „Garantie“ lässt viele oberflächliche Leser vermuteten, dass der Gesetzgeber hier bewusst eine Nähe zu einer in § 443/§ 444 BGB definierten Garantie gesucht hat. Denn gem. § 444 BGB kann sich der Verkäufer nicht auf eine Haftungsbeschränkung berufen, wenn er eine Garantie für die Beschaffenheit der Sache übernommen hat.
Aus dieser rechtlich simplen Ableitung wird in der Praxis häufig die Begründung für eine unbegrenzte Haftung hergeleitet. Dies ist aber zu kurz gesprungen, da die DS-GVO auf der „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ beruht und hierbei nicht allein die deutsche Sichtweise angewendet wurde. So entspricht die Wortwahl der deutschen Fassung der DS-GVO der englischen Fassung, die insoweit von „sufficient guarantees“ spricht, vgl. Art. 28 sec. 1 GDPR. Solche „sufficient guarantees“haben in anderen Mitgliedstaaten der EU aber nicht die gleiche rechtliche Bedeutung wie das Wort „Garantie“ i.S.v. § 444 BGB. Auch ist hinsichtlich der Entstehung der Gesetzesvorschrift zu beachten, dass es sich um eine europäische Norm handelt, die aufgrund ihres Verordnungscharakters mit Inkrafttreten unmittelbar geltendes Recht in den nationalen Rechtsordnungen wird (Art. 288 AEUV). Es kann dabei mit sehr großer Sicherheit unterstellt werden, dass der europäische Gesetzgeber die Verordnung (EU) 2016/679 nicht allein für den deutschen Rechtsraum gestaltet hat und somit kann auch unterstellt werden, dass mit der Verwendung des Begriffes „sufficient guarantees“/Garantie nicht die Rechtsfolge von § 444 BGB gemeint gewesen ist. Sicherlich gilt aber für Auftraggeber, dass ausreichende vertragliche Verpflichtungen sowie Nachweise von Auftragsverarbeitern vorzulegen sind, die eine sorgfältige und gewissenhafte Erbringung der Tätigkeiten unter Einhaltung der Vorgaben der DS-GVO wahrscheinlich machen,[10] aber eben keine unbegrenzte Haftung. Hierzu sind aus der DS-GVO keine ausdrücklichen Hinweise zu entnehmen, und da immer noch grundsätzlich die Vertragsfreiheit herrscht, können die Parteien hier vereinbaren, was nach den einschlägigen zivilrechtlichen Normen möglich ist. So besagt auch Erwägungsgrund 146 Satz 4 DS-GVO, dass weitergehende Schadensersatzansprüche auf der Grundlage von Unions- oder nationalem Recht unberührt bleiben. Damit ist in der Richtlinie deutlich dokumentiert, dass sie sich gar nicht in nationales Haftungsrecht einmischen will.
Der Schutz des Betroffenen, der im Fokus der DS-GVO steht, wird – wie unter Ziff. I. dargestellt – von dieser Haftungsbegrenzung im Innenverhältnis zwischen Auftraggeber und Auftragsverarbeiter in seinen Ansprüchen nicht begrenzt.[11] Dem Betroffenen steht weiterhin eine unbegrenzte Haftung zu. Somit steht der Vereinbarung einer Haftungsbegrenzung in einer AVV die DS-GVO nicht im Wege, wobei hierbei natürlich weiterhin die allgemeinen Haftungsgrundsätze und Grenzen des BGB Anwendung finden,[12] insbesondere durch § 309 Nr. 7 & 8 BGB bei AGB’s.
Auch besagt Art. 82 Abs. 5 DS-GVO, dass jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadensersatz geleistet hat, anschließend – ggf. anteilig – Rückgriff auf andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter nehmen kann.[13] „Ggf. anteilig“ lässt den Schluss zu, dass die Parteien hierzu eine entsprechende Regelung treffen können, um den Ausgleich im Innenverhältnis entsprechend zu regeln.
Zuweilen werden Haftungsbegrenzungen zwischen Auftraggeber und Auftragsverarbeiter und die damit ver bundene Risikoverteilung kritisch gesehen, da der Auftragsverarbeiter den Anreiz verlieren könnte, auf Daten schutz konformität zu achten.[14] Für eine solche absichtliche, sprich vorsätzliche Vorgehensweise kann vertraglich die Haftung nicht ausgeschlossen werden, da die Haftung wegen Vorsatzes dem Schuldner nicht im Voraus erlassen werden kann, vgl. § 276 Abs. 3 BGB. Somit erscheinen diese Bedenken völlig unbegründet.
IV. Resümee
Bei einer Regelung zur Haftungsbegrenzung in einer AVV handelt sich um eine wirtschaftliche Vereinbarung, um Chancen und Risiken entsprechend dem Markt und der Vergütung zu regeln. Festzuhalten bleibt, dass die DS-GVO und auch ihre Schutzrichtung sich nicht ausdrücklich gegen eine Vereinbarung zur Haftungsbeschränkung zwischen Auftraggeber (Verantwortlicher) und Auftragsverarbeiter in einer AVV aussprechen. Solange die Rechte des Betroffen durch die Haftungsbeschränkung nicht eingeschränkt werden, scheint nach den allgemeinen Grundsätzen des BGB und insbesondere der §§ 305 ff BGB (AGB-Recht), eine Haftungsbegrenzung auch in AVV zwischen Auftraggeber (Verantwortlicher) und Auftragsverarbeiter möglich zu sein, wie in jedem anderen Vertrag auch.
* Die Autorin ist in leitender Funktion in der Rechtsabteilung eines internationalen IT-Unternehmens tätig.
[1] EVB-IT: Ergänzende Vertragsbedingungen für die Beschaffung von ITLeistungen.
[2] Grüneberg, in: Palandt BGB, 79. Aufl. 2020, § 276, Rn. 7.
[3] Gola/Piltz, RDV 2015, 279 (282)
[4] Erwägungsgrund 146, Satz 2.
[5] Bergt, in: Kühling/Buchner DS-GVO Kommentar, 1. Aufl. 2017, Art. 82 Rn. 13.
[6] Grages, DB 2020, 168.
[7] Gola/Piltz, DS-GVO, 2. Aufl. 2018, Art. 82 Rn. 21 und 22.
[8] Grages, DB 2020, 168.
[9] Plath, in: Plath BDSG/DS-GVO, 3. Aufl. 2018, Art. 28, Rn. 8.
[10] Hartung, in: Kühling/Buchner DS-GVO Kommentar, 1. Aufl. 2017, Art. 82, Rn. 56.
[11] Grages, DB 2020, 168 (169).
[12] Grüneberg, in: Palandt BGB, 79. Aufl. 2020, § 276, Rn. 35.
[13]Https://www.datenschutz-bayern.de/technik/orient/oh_auftragsverarbeitung.pdf, abgerufen am 29.07.2020.
[14] 14 Grages, DB 2020, 168 (169).