Zum Inhalt springen Zur Navigation springen
Verantwortlicher und Auftragsverarbeiter – Wie ist die Haftung untereinander?

Verantwortlicher und Auftragsverarbeiter – Wie ist die Haftung untereinander?

Verantwortlicher und Auftragsverarbeiter haften als Gesamtschuldner für einen durch die Datenverarbeitung entstandenen Schaden, Art. 82 DSGVO. Was das Außenverhältnis betrifft, also die Haftung gegenüber einem Dritten, bedeutet dies, dass jeder auf die volle Summe haftet. Das Innenverhältnis, also die Haftungsverteilung untereinander, können die Gesamtschuldner regelmäßig selbst ausgestalten.

Volle Haftung im Innenverhältnis?

Doch was bedeutet dies nun für das Innenverhältnis? Können die Vertragsparteien jede beliebige Regelung treffen? Womöglich die Haftung im Endeffekt ganz auf einen Auftragsverarbeiter abwälzen?

Die Welt der Datenverarbeitung ist gespickt mit zahlreichen Auftragsverarbeitungsverträgen, die regelmäßig der Einfachheit wegen aus vorformulierten Klauseln bestehen und damit AGB darstellen. Der Auftragsverarbeitungsvertrag enthält regelmäßig insbesondere Haftungsregeln, auch wenn es nicht zum von der DSGVO vorgeschriebenen Mindestinhalt gehört. Der Verantwortliche als „Big Boss“ der Verarbeitung könnte nun also auf die Idee kommen, die Haftung voll auf den Auftragsverarbeiter abzuwälzen.

Dass dem der Gesetzgeber jedoch einen Riegel vorschieben wollte, zeigt sich an folgenden Punkten:

  • Entstehungsgeschichte
  • Systematik und Widerspruch gegen die Effektivität
  • Analogie und „effet utile“
  • Vergleichbarkeit mit der Haftung im Vertragskonzern
  • Vertragsfreiheit vs. Schutz der Allgemeinheit

Entstehungsgeschichte

Hinsichtlich der Entstehung der Gesetzesvorschrift ist zunächst zu beachten, dass es sich um eine europäische Norm handelt, die aufgrund ihres Verordnungscharakters unmittelbar geltendes Recht in den nationalen Rechtsordnungen mit Inkrafttreten wird (Art. 288 AEUV). Das alte BDSG kann also nicht weiterhelfen. Der europäische Gesetzgeber ist ganz bewusst vom alten deutschen Datenschutzrecht abgewichen, um es im Hinblick auf Um- und Durchsetzung effektiver zu gestalten (Erwägungsgrund 10 DSGVO).

Da das Europarecht von nationaler Ebene selbständig und losgelöst (autonom) interpretiert werden muss, ist es zu einer historischen Auslegung erforderlich, das mitunter nicht immer leicht durchschaubare Kompromiss- und Beschlussverfahren zwischen Europäischem Rat, Parlament und der Kommission nachzuvollziehen (Art. 289 AEUV).

Systematik und Widerspruch gegen die Effektivität

Mit Blick auf die Haftungsregelung im Außenverhältnis zeichnet sich deutlich ab, dass es die Alternativhaftung, also die Möglichkeit als Betroffener sich wegen des vollen Schadens sowohl an den Verantwortlichen als auch an den Auftragsverarbeiter wenden zu können, ist, die eine effektive Durchsetzung nach außen gewährleistet und den Individualrechten Rechnung trägt.

Der Gesetzgeber beabsichtigt also, dass der Verantwortliche eines Datenverarbeitungsprozesses zur Verantwortung gezogen werden kann und im Endeffekt auch tatsächlich einen Haftungsanteil trägt, falls etwas „schief geht“.

Bildlich gesprochen: Der Verantwortliche stellt die tragende Säule des Haftungskonzepts dar. Unterstützend kommt eine zweite Säule hinzu, falls ein Auftragsverarbeiter beteiligt ist. Wenn sich nun aber der Verantwortliche von der Haftung im Innenverhältnis freizeichnen könnte, wäre diesem Haftungskonzept das tragende Element genommen: Es bricht zusammen bzw. ist im Ergebnis nicht gleichermaßen effektiv und das Niveau des Schutzes der Allgemeininteressen sinkt.

Damit läge ein hohes Datenschutzniveau fernab aller Szenarien der Realität. In der Praxis entscheidet sich am Verhandlungstisch anhand der wirtschaftlichen Kräfteverhältnisse, wer die Fäden bei der Gestaltung der Vertragsklauseln in der Hand hält. Es gewinnt der wirtschaftlich Stärkere, meist der Verantwortliche, mit dem Ergebnis, dass ihn im Endeffekt keinerlei Konsequenz einer fehlerhaften Datenverarbeitung trifft. (Erwägungsgrund 146 DSGVO)

Analogie und „effet utile“

Weiter kann auf deutsche, die Gesamtschuldnerschaft regelnden Vorschriften in Analogie zurückgegriffen werden, um etwas Licht ins Dunkel zu bringen. Zum einen hat der EU-Gesetzgeber keine Regelung getroffen. Dann darf und hat das nationale Recht zum Zuge zu kommen. Zum anderen ist es aus Gesichtspunkten der Einheit der Rechtsordnung nicht wesensfremd, „gebietsübergreifend“ Begriffe auszufüllen. Zu guter Letzt wird – mangels ersichtlich entgegenstehendem gesetzgeberischem Willen – so dem „effet utile“ Rechnung getragen. Die nationalen Instanzen können „schnell und einfach“ das Europarecht anwenden, was zur Harmonisierung beiträgt.

Vergleichbarkeit mit der Haftung im Vertragskonzern

Die Situation ist vergleichbar mit dem Verhältnis zwischen Mutter- und Tochtergesellschaft. Aufgrund der rechtlichen Macht, die eine Muttergesellschaft wie auch ein Verantwortlicher durch das Weisungsrecht gegenüber dem Auftragsverarbeiter innehat, ist der Verantwortliche wie das herrschende Unternehmen über das abhängige Unternehmen, Herr über die Datenverarbeitungsprozesse, die der Auftragsverarbeiter vornimmt.

Beim Verantwortlichen laufen die Fäden der Datenverarbeitung zusammen. Es ist der Verantwortliche, der die Früchte des „großen und ganzen Datenverarbeitungsprozesses“ trägt. Er steuert und bestimmt (vgl. Auswahlverantwortung). So ist es auch im vertraglich verbundenen Konzern. Auftragsverarbeiter und Tochtergesellschaft hingegen, ernten nur einen kleinen, vertraglich bestimmten Teil.

Im Gegenzug dazu, dass der Verantwortliche die Leitungsmacht über den Datenverarbeitungsprozess innehat, muss er auch die Verantwortung dafür tragen, was bedeutet, dass er irgendwie haften muss. Etwas anderes – wie es auch das Gesetz vorschreibt – gilt nur dann, wenn der Auftragsverarbeiter eine Weisung missachtet oder seinen gesetzlichen Pflichten nicht nachkommt (Art. 82 Abs. 2 S.2 DSGVO).

Vertragsfreiheit vs. Schutz der Allgemeinheit

Steht die Annahme, dass eine Haftungsbeschränkung auf den Auftragsverarbeiter im Innenverhältnis unzulässig ist, nicht der Vertragsfreiheit entgegen? Dies könnte man meinen, denn es herrscht im Grunde Vertragsfreiheit.

Doch letztendlich ist die Grenze der Vertragsfreiheit erreicht, wenn im Innenverhältnis alles auf eine Partei geschoben wird. Die Begründung folgt daraus, dass der europäische Gesetzgeber bei Erlass des Gesetzes neben dem Individualschutz auch den Schutz der Allgemeinheit im Blick hatte. Damit sind der Vertragsfreiheit hier durch zwingendes Recht die Grenzen gesetzt. Von zwingendem Recht kann nicht durch individuelle, vertragliche Regelungen abgewichen werden.

Der Schutz der Allgemeinheit durch die Garantie eines hohen Datenschutzniveaus würde auf ein vergleichsweise niedriges Level herabsinken, wenn tatsächlich nicht alle Beteiligten irgendwie oder zumindest nach ihrem Verschuldensgrad haften. Denn das Datenschutzniveau ist in seiner Höhe auch davon abhängig, inwiefern einzelne Daten Verarbeitende für Fehler haftbar gemacht werden, frei nach der Erkenntnis: Ohne Konsequenzen auch kein Bedürfnis für ein Einhalten der Vorschriften.

Zudem wird dem Schadensersatz Ausgleichs- und Genugtuungsfunktion beigemessen. Zwar wäre der am Ende der Kette stehende Betroffene noch zufriedengestellt, wenn er einen Ausgleich in Geld irgendwoher liquidieren könnte. Ihm wäre genüge getan. Doch beliefe sich die Ausgleichsfunktion in ihrer Wirksamkeit auf null, wenn die Haftung im Innenverhältnis gänzlich auf den Auftragsverarbeiter geschoben werden könnte. Der aus einem Datenverarbeitungsfehler resultierende Schaden würde nicht vom eigentlichen Haftungssubjekt, von dem die Verarbeitung delegiert wird, getragen, sondern pauschal auf den Auftragsverarbeiter abgewälzt und damit nur derjenige einen Ausgleich schaffen, der gar nicht Hauptverantwortlicher des „Großen und Ganzen“ ist.

Für die Praxis bedeutet dies…

Auf die Haftungsregelungen besonders im Innenverhältnis zu achten und dabei Vorsicht walten zu lassen. Eine Haftung des Auftragsverarbeiters entlang des Auftragsverarbeitungsvertrages muss gewährleistet sein.

Falls ein Vertrag, der dem Auftragsverarbeiter die Haftung auf die volle Summe auch im Innenverhältnis zuschiebt, schon unterschrieben ist und der Haftungsfall Realität wird, kann die Haftungsregelung angegriffen werden, ohne dass der Vertrag als Ganzes nichtig ist.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Leider entsteht hier der falsche Eindruck, der Auftragsverarbeiter hafte nach außen gesamtschulderisch für alle Datenschutzverstöße des Verantwortlichen. Das ist so nicht richtig: Die gesamtschuldernische Haftung greift nur, wenn der Auftragsverarbetier „seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist“ oder weisungswidrig handelt, Art. 82 Abs.2 Satz 2 DSGVO.

    Für die Haftung relevant sind dabei vorallem, die dem Auftragsverarbeiter nach Art. 32 DSGVO auferlegten Pflichten zur Datensicherheit. Im Wesentlichen droht dem Auftragsverarbeiter also bei mangelhafter Datensicherheit eine gesamtschuldernische Haftung.

    Von der gesetztlichen Regelung in Art. 82 DSGVO abweichenden Vereinbarungen zur Innenhaftung droht in Standard-AV-Verträgen die AGB-rechtliche Unwirksamkeit, § 307 Abs. 2 Nr. 1 BGB. Die AGB-Konformität von Auftragsverarbeitungsverträgen wird leider ebenfalls häufig übersehen. Statt pauschaler Haftungsregelungen im Innenverhältnis ist es daher meines Erachtens sinnvoller die VERANTWORTLICHKEIT für die Datensicherheit im Innenverhältnis zu regeln. Legen die Parteien etwa im AV-Vertrag konkrete TOMs fest, wäre klarzustellen, wer im Innenverhältnis die Verantwortung dafür übernimmt, dass diese TOMs ausreichend sind.

    • Der Artikel beschäftigt sich mit der Ausgestaltung des Innenverhältnisses dieser gesamtschuldnerischen Haftungsfälle, die immer dann gegeben sind, wenn einem Dritten ein Schaden entsteht, wobei dem Auftragsverarbeiter selbst ein Pflichtverstoß nach der DSGVO zur Last fällt oder er rechtskonforme Weisungen des Verantwortlichen missachtet hat, was gerade Artikel 82 Abs. 2 S. 2 DSGVO vorschreibt und auch im Artikel durch Zitierung deutlich werden dürfte.
      Dabei stellt sich die Verfasserin des Artikels auf den Standpunkt, dass eine gänzliche Haftungsabwälzung auf den Auftragsverarbeiter in einem so gelagerten Fall und in Bezug auf das Innenverhältnis nicht möglich ist.

      Die DSGVO legt Verantwortlichem und Auftragsverarbeiter Pflichten auf, die sich parallel zueinander verhalten, aber auch in einem Über-Unterordnungsverhältnis zueinander stehen, da der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Das heißt jeder hat ein Pflichtenprogramm zu erfüllen. Doch selbst dabei bleibt der Verantwortliche „Herr über die Datenverarbeitung“ und hat den Auftragsverarbeiter zu kontrollieren. In der Umsetzung helfen hierbei Dokumentationspflichten bzw. die Erstellung von Verzeichnissen. Erwägungsgrund 79 und 80 der DSGVO lassen erkennen, dass die Verantwortlichkeit in Bezug auf TOMs festgelegt werden sollte. Hierbei trifft den Verantwortlichen jedoch eine Organisations- und Nachweispflicht. Er muss sicherstellen, dass jede Verarbeitung DSGVO-konform abläuft.

      Abgesehen davon ist es richtig, dass meist AGB-Recht auf die Auftragsverarbeitungsverträge anzuwenden ist, da es sich um Formularverträge handelt. Hierauf geht der Artikel jedoch nicht gesondert ein, da es den Gegenstand der Untersuchung sprengen würde. Ganz grundlegend ist bezüglich AGB-Recht dann das Verbot überraschender Klauseln sowie das Transparenzgebot (§ 305c BGB) zu beachten. Insbesondere bei einer eigenen Gestaltung der Haftungs“verteilung“ besteht dann die Gefahr, dass – nach Auffassung im Blogartikel – intransparente und damit nicht mehr durchsetzbare Klauseln geschaffen werden. Abgesehen davon, können die Regelungen auch schon am Klauselverbot für einen Haftungsausschluss bei grobem Verschulden (§ 309 Nr. 7b BGB) sowie am Klauselverbot für eine Beweislastumkehr (§ 309 Nr. 12 BGB) scheitern. Das bedeutet auch, dass – unter Teilung der Auffassung des Artikels – eine Haftungsabwälzung im Innenverhältnis, ohne dass es dabei auf den Verursachungsbeitrag des Verantwortlichen ankommt – eine unangemessene Benachteiligung (§ 307 Abs. 2 Nr. 1 BGB) gegeben sein kann. Diese Klauseln würden ebenfalls nicht Vertragsbestandteil, wobei der übrige Vertrag bestehen bleibt.

  • Der Artikel ist völliger Quatsch. Das Innen- und Außenverhältnis wird völlig durcheinandergebracht. Es ergibt sich überhaupt nicht, woraus letztlich die „Unwirksamkeit“ bestehen soll: Auf der Grundlage einer irgendwie aus der Luft gegriffenen Auslegung? Und was hat das alles mit einer „Analogie“ zu tun?

    • Auftragsverarbeiter sehen sich im Auftragsverarbeitungsvertrag oftmals einer Haftungsregelung gegenüber, die ihre volle Haftung im Innenverhältnis zum Verantwortlichen bestimmt. Nicht jeder möchte das so hinnehmen und fragt sich, ob hier alles vereinbart werden kann, ohne dass es Grenzen dafür gibt, die auch im Gesetz bzw. in den Rechtsordnungen anklingen.

      Juristische Argumentationsstränge ergeben sich nach Auslegungen und Analogien. Die Gesetzesauslegung kommt mitunter dann zum Zug, wenn Gesetze zu unbestimmt oder unscharf sind. Sie dient dazu, die Bedeutung des Gesetzestextes ermitteln zu können. Eine Analogie kann immer dann zum Zuge kommen, wenn für einen bestimmten Sachverhalt bei vergleichbarer Interessenlage eine planwidrige Regelungslücke gegeben ist. Hier geht es um Gesamtschuldnerschaft, die typischerweise sowohl eine Komponente des Außen- als auch des Innenverhältnisses hat. Die DSGVO verhält sich zwar zum Außenverhältnis, nicht jedoch dazu, wie die Haftungsverteilung genau im Innenverhältnis aus zu sehen hat (Erwägungsgrund 146 DSGVO, v.a. Sätze 7-9). Daher zieht der Artikel die zu den §§ 421 ff. BGB entwickelten Grundsätze vergleichend heran und kommt zu dem Schluss, dass insbesondere nicht etwas anderes dahingehend geregelt werden kann, dass zwar der Verantwortliche bei einer Inanspruchnahme im Außenverhältnis beim Auftragsverarbeiter im Innenverhältnis immer Regress nehmen kann, für den Auftragsverarbeiter dies aber immer ausgeschlossen sein soll.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.