kommentare-haftungav

Haftung und Schadenersatz in Auftragsverarbeitungen

Wenn eine betroffene Person durch die Verarbeitung ihrer personenbezogenen Daten einen Schaden erleidet, hat sie gemäß Art. 82 DSGVO einen Anspruch auf Schadenersatz.

Im Rahmen von Auftragsverarbeitungsverhältnissen haften Verantwortlicher und Auftragsverarbeiter gesamtschuldnerisch für einen durch die Datenverarbeitung entstandenen Schaden. Im Außenverhältnis (die Haftung gegenüber der betroffenen Person) bedeutet dies, dass jedes der beteiligten Unternehmen in der vollen Höhe der Schadenssumme haftet. Das Innenverhältnis (die Verteilung der Haftung untereinander) können die Gesamtschuldner im Rahmen ihrer Vertragsfreiheit selbst regeln.

Volle Haftung im Innenverhältnis?

Dürfen die Vertragsparteien aber in ihrem Vertrag jede beliebige Regelung zur Haftungsverteilung treffen und dabei die Haftung auch einem Unternehmen, z. B. dem Auftragsverarbeiter, allein zuweisen?

Der Auftragsverarbeitungsvertrag enthält neben den datenschutzrechtlichen Vereinbarungen im allgemeinen auch die Haftungsregeln, auch wenn diese nicht zu dem von der DSGVO vorgeschriebenen Inhalt nach Art. 28 DSGVO gehören. Der Verantwortliche könnte danach die Absicht haben, die Haftung in voller Höhe allein dem Auftragsverarbeiter zuzuweisen (falls dieser das akzeptiert und den Vertrag dennoch eingeht oder falls der Verantwortliche, etwa als Muttergesellschaft einer Unternehmensgruppe, besondere Einflussmöglichkeiten hat).

Der Gesetzgeber legt jedoch offenbar Wert darauf, dass die Feststellung des eigenen Anteils jedes beteiligten Unternehmens an einem Schaden, der der betroffenen Person zugefügt wird, nicht bereits formal durch die Vertragsgestaltung ausgeschlossen wird (Erwägungsgrund 146 zur DSGVO).

Für die Praxis bedeutet dies …

Es ist wichtig, bereits bei Abschluss eines Auftragsverarbeitungsvertrages auf die Haftungsregelungen – besonders auch im Innenverhältnis zwischen den beteiligten Unternehmen – zu achten. Eine Beteiligung des Verantwortlichen und des Auftragsverarbeiters an der Haftung entsprechend ihrem jeweiligen Anteil am entstandenen Schaden muss auf jeden Fall gewährleistet sein.

Andernfalls könnte ein Auftragsverarbeitungsvertrag – zumindest bezüglich der Haftungsregelungen – anfechtbar sein.