Unternehmen nutzen in vielen Fällen die personenbezogenen Daten ihrer Kunden. Das ist ganz normal und auch im Vertrag vereinbart. Doch muss das Unternehmen darauf achten, dass ebendiese Daten nicht in die falschen Hände geraten. Welches Risiko besteht beim Einsetzen von Auftragsverarbeitern schadensersatzpflichtig zu werden?
Das Landgericht Lübeck hatte sich mit einem Fall dieser Art auf Grundlage der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) zu befassen.
Der Art. 28 IV DSGVO regelt den Fall, dass ein Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiter in Anspruch nimmt, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen durchzuführen. Hierbei muss zwischen den Auftragsverarbeiter und dem (Unter-)Auftragsverarbeiter "ein Vertrag oder ein anderes Rechtsinstrument" vorliegen, der diesen mit denselben Pflichten belegt, die der Auftragsverarbeiter gegenüber dem Verantwortlichen selbst zu wahren hat.
Personalien: Louisa Specht-Riemenschneider – die künftige Erste Datenschützerin
Das LG Lübeck kam zu der Einschätzung, dass, ohne das Vorliegen eines solchen Vertrages zwischen den beiden beteiligten Parteien, eine Datenübermittlung sofort rechtswidrig sei. Im Falle einer Weitergabe vom Verantwortlichen an einen Auftragsverarbeiter solle dies gem. Art 28 III DSGVO der Fall sein - für die Weitergabe an einen Unterauftragsverarbeiter gem. Art. 28 IV.
Hierin wurde eine Schadensersatzpflicht gem. Art. 82 I DSGVO angenommen. Frei von der Schadensersatzpflicht wird der Verantwortliche oder der (erste) Auftragsverarbeiter gem. Art. 82 III DSGVO,
„wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
Das LG Lübeck kam weiter zu dem Schluss, als Beklagter könne man sich jedenfalls dann nicht auf „Nichtswissen“ berufen, wenn man ein international tätiges Unternehmen sei. Dieses habe nämlich „ganz offenkundig“ die Möglichkeiten, zu überprüfen ob die Daten tatsächlich an der fraglichen Stelle gelandet sind.
In dem Fall ging es darum, dass die Datenübermittlung zunächst an die Konzernmutter und anschließend an ein Tochterunternehmen erfolgte. Dass Argument des beklagten Unternehmens, es sei "marktüblich und nicht zu beanstanden, (...) dass Verträge innerhalb eines Konzerns von der Muttergesellschaft abgeschlossen" würden, überzeugte das Gericht nicht. Vielmehr seien auch konzernverbundene Gesellschaften als jeweils selbstständige Rechtspersönlichkeiten zu erachten.
„Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten.“
Diese Einschätzung erstaunt, denn die Einschätzungen des Europäischen Gerichtshofs deuteten bisher in eine andere Richtung.
Auch interessant: Schadensersatz von Facebook?
Die Rechtmäßigkeit der Verarbeitung ergibt sich aus den Vorgaben der Art. 5 und 6 DSGVO. Auf Grundlage dieser hatte der EuGH zum Beispiel noch 2023 entschieden, eine Verletzung der Pflicht zur Dokumentation einer Datenverarbeitung würde noch nicht zur generellen Rechtswidrigkeit der Verarbeitung führen. (C‑60/22 EuGH)
Hierbei heißt es recht eindeutig:
„Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DSGVO selbst ergibt, gerade in ebendiesem Artikel geregelt“
Um mehr über dieses Thema zu erfahren bieten wir auch eine umfangreiche Datenschutz-Beratung.