Haftungsregelung bei der Auftragsverarbeitung

Was regelt ein Auftragsverarbeitungsvertrag überhaupt?

Ein Auftragsverarbeitungsvertrag legt die Rechte und Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter (Art. 4 DSGVO), also dem eingesetzten Dienstleister fest. Die DSGVO legt in Art. 28 den inhaltlichen Rahmen fest. Zu regeln gilt es neben der Sicherheit der Verarbeitung (eingesetzte technische und organisatorische Maßnahmen) auch den Umfang der Verarbeitung, die Weisungsgebundenheit des Auftragsnehmers sowie beispielsweise den vertraulichen Umgang mit den zu verarbeitenden personenbezogenen Daten. Auch Anforderungen an eingesetzte Unterauftragnehmer oder an einen möglichen Drittlandtransfer sind zu definieren.

Neben den in Art. 28 DSGVO festgesetzten Inhalten können darüber hinaus auch übliche vertragliche Regelungen getroffen werden, wie etwa ein außerordentliches Kündigungsrecht oder Haftungsregelungen. Zu beachten gilt, dass diese vertraglichen Regelungen den datenschutzrechtlichen Vereinbarungen und Gesetzen nicht entgegenstehen dürfen.

Haftungsregelung der DSGVO

Haftungsregelungen zwischen Vertragsparteien sind im Datenschutzrecht vor allem bei Schadensersatzforderungen von Betroffenen nach Art. 82 DSGVO und bei der Verhängung von Bußgeldern nach Art. 83 DSGVO denkbar.

Art. 82 DSGVO berücksichtigt dabei bereits die einzelnen Haftungsanteile der von der Verarbeitung betroffenen Parteien. In Absatz 2 wird geregelt, dass jeder Verantwortliche für den Schaden haftet, welcher aufgrund einer nicht gesetzeskonformen Verarbeitung entstanden ist. Auftragsverarbeiter haften nur dann, wenn diese entgegen der ihnen auferlegten Pflichten aus dem Auftragsverarbeitungsvertrag oder entgegen der Weisung des Verantwortlichen gehandelt haben.

Auch berücksichtigt Art. 82 DSGVO, dass sich jeder an der Verarbeitung Beteiligte von der Haftung gänzlich freisprechen kann, wenn Nachweise erbracht werden können, für den haftungsauslösenden Umstand nicht verantwortlich zu sein.

Darüber hinaus legt Art. 82 DSGVO fest, dass jeder an der Verarbeitung Beteiligte dem jeweiligen Betroffenen gegenüber vollständig haftet, aber sich entsprechend seiner Verantwortung für die gesetzeswidrige Verarbeitung vom Vertragspartner freistellen lassen kann. Im Rahmen der Schadensersatzzahlungen sind die Haftungsregelungen also klar vorgegeben.

Eine solche Regelung kennt Art. 83 DSGVO gerade nicht. Zwar soll bei der Entscheidung über die Verhängung und Höhe einer Geldbuße neben weiteren Anforderungen wie etwa Art, Schwere und Dauer des Verstoßes auch berücksichtigt werden, in welchem Grad der Verantwortliche oder der Auftragsverarbeiter in der Verantwortung steht. Das bedeutet aber nicht, dass ein Bußgeld gegen alle Beteiligten verhängt wird und diese aber nur den Betrag zu tragen haben, für welchen sie verantwortlich sind.

Vielmehr schätzen die Aufsichtsbehörden den jeweiligen Grad der Verantwortung und verhängen gegen jeden Beteiligten ein separates Bußgeld. Da die Aufsichtsbehörden gegebenenfalls aber nicht alle Umstände kennen und den Umfang der Verantwortung der Beteiligten nur auf Basis der bis dato vorliegenden Informationen festlegen können, kann es durchaus vorkommen, dass hier eine Abweichung von der tatsächlichen Verantwortung der Beteiligten entsteht.

Um einem solchen Ungleichgewicht entgegenzuwirken, ist es ratsam eine Haftungsregelung zwischen den Parteien festzulegen.

Regelungsmöglichkeiten zur Haftung im AVV

Dabei stellt sich natürlich die Frage, inwieweit die Haftung zwischen den Parteien geregelt werden kann. Kurz gesagt ist – in Bezug auf Haftungsregelungen hinsichtlich Bußgeldern – alles erlaubt, was das nationale Recht zulässt. Eine unionsrechtliche Regelung ist bei Geldbußen nach Ansicht des Europäischen Gerichtshofs (EuGH) in seinem Urteil vom 10. April 2014 nicht zulässig, dies sei vielmehr Sache der nationalen Gerichte und Gesetzgebung unter Beachtung des Unionsrechts. Diese Entscheidung wurde zwar vor Inkrafttreten der DSGVO gefasst, ist aber weiterhin aktuell und daher zu beachten.

In Deutschland regelt das Bürgerliche Gesetzbuch (BGB) in seinem Paragraphen 426 die Ausgleichspflicht zwischen Gesamtschuldnern. Danach können zwischen den Parteien Regelungen im gesetzlichen Umfang getroffen werden, inwiefern sie sich gegenseitig von Forderungen, oder in diesem Fall bei datenschutzrechtlichen Bußgeldern, freistellen.

Eine Regelung der Haftungsverteilung bei Schadensersatzansprüchen ist dagegen unionsrechtlich erlaubt und in den Gesetzen verankert und in der DSGVO in Art. 82, wie bereits dargestellt, umgesetzt.

Für die Vereinbarung eines AVVs bedeutet das konkret, dass hinsichtlich einer möglichen Verhängung von Bußgeldern eine Regelung zwischen den Parteien getroffen werden kann, welche festlegt, wer welchen Anteil an Bußgeldern zu tragen hat. In Bezug auf Schadensersatzforderungen liefert das Gesetz bereits eine Regelung der anteiligen Bemessung der Höhe, so dass hier keine eigens darüberhinausgehende Regelung erforderlich ist.

Fazit: Vereinbarung und Prüfung von Haftungsregelungen sind wichtig

Festzuhalten ist, dass eine Haftungsregelung, insbesondere hinsichtlich eines möglichen Bußgeldes, durchaus sinnvoll ist. Durch eine solche Regelung ist bereits vor der Zusammenarbeit klar geregelt, welche Anteile wer in einem solchen Fall zu tragen hat. Eine gerichtliche Entscheidung kann gegebenenfalls umgangen werden.

Im Umkehrschluss bedeutet dies jedoch auch, dass Sie bei Ihnen angebotenen AV-Verträgen stets enthaltene Haftungsregelungen prüfen sollten, damit Sie dann bei Geltendmachung daraus resultierender Ansprüche Ihres Gegenübers kein böses Erwachen erleben.

Wenn Sie sich unsicher sind, ob der Mindestinhalt in Ihrem AV-Vertrag ausreichend geregelt ist und wie die Haftungsregelungen einzuschätzen ist, helfen Ihnen unsere Experten gerne weiter.