Schadensersatz bei Datenübermittlung ohne Auftragsverarbeitungsvertrag

17. Dezember 2024
Geschrieben von: Benedikt Renschler

Unternehmen nutzen in vielen Fällen die personenbezogenen Daten ihrer Kunden. Das ist ganz normal und auch im Vertrag vereinbart. Doch muss das Unternehmen darauf achten, dass ebendiese Daten nicht in die falschen Hände geraten. Welches Risiko besteht beim Einsetzen von Auftragsverarbeitern schadensersatzpflichtig zu werden?

Fall vor dem LG Lübeck

Das Landgericht Lübeck hatte sich mit einem Fall dieser Art auf Grundlage der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) zu befassen. 

Der Art. 28 IV DSGVO regelt den Fall, dass ein Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiter in Anspruch nimmt, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen durchzuführen. Hierbei muss zwischen den Auftragsverarbeiter und dem (Unter-)Auftragsverarbeiter "ein Vertrag oder ein anderes Rechtsinstrument" vorliegen, der diesen mit denselben Pflichten belegt, die der Auftragsverarbeiter gegenüber dem Verantwortlichen selbst zu wahren hat.

Personalien: Louisa Specht-Riemenschneider – die künftige Erste Datenschützerin

Das LG Lübeck kam zu der Einschätzung, dass, ohne das Vorliegen eines solchen Vertrages zwischen den beiden beteiligten Parteien, eine Datenübermittlung sofort rechtswidrig sei. Im Falle einer Weitergabe vom Verantwortlichen an einen Auftragsverarbeiter solle dies gem. Art 28 III DSGVO der Fall sein - für die Weitergabe an einen Unterauftragsverarbeiter gem. Art. 28 IV.

Hierin wurde eine Schadensersatzpflicht gem. Art. 82 I DSGVO angenommen. Frei von der Schadensersatzpflicht wird der Verantwortliche oder der (erste) Auftragsverarbeiter gem. Art. 82 III DSGVO, 

„wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Das LG Lübeck kam weiter zu dem Schluss, als Beklagter könne man sich jedenfalls dann nicht auf „Nichtswissen“ berufen, wenn man ein international tätiges Unternehmen sei. Dieses habe nämlich „ganz offenkundig“ die Möglichkeiten, zu überprüfen ob die Daten tatsächlich an der fraglichen Stelle gelandet sind.

Notwendigkeit von Verträgen innerhalb von Konzernen

In dem Fall ging es darum, dass die Datenübermittlung zunächst an die Konzernmutter und anschließend an ein Tochterunternehmen erfolgte. Dass Argument des beklagten Unternehmens, es sei "marktüblich und nicht zu beanstanden, (...) dass Verträge innerhalb eines Konzerns von der Muttergesellschaft abgeschlossen" würden, überzeugte das Gericht nicht. Vielmehr seien auch konzernverbundene Gesellschaften als jeweils selbstständige Rechtspersönlichkeiten zu erachten.

Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten.

Widerspruch zum EuGH?

Diese Einschätzung erstaunt, denn die Einschätzungen des Europäischen Gerichtshofs deuteten bisher in eine andere Richtung.

Auch interessant: Schadensersatz von Facebook?

Die Rechtmäßigkeit der Verarbeitung ergibt sich aus den Vorgaben der Art. 5 und 6 DSGVO. Auf Grundlage dieser hatte der EuGH zum Beispiel noch 2023 entschieden, eine Verletzung der Pflicht zur Dokumentation einer Datenverarbeitung würde noch nicht zur generellen Rechtswidrigkeit der Verarbeitung führen. (C‑60/22 EuGH)

Hierbei heißt es recht eindeutig:

„Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DSGVO selbst ergibt, gerade in ebendiesem Artikel geregelt“

Um mehr über dieses Thema zu erfahren bieten wir auch eine umfangreiche Datenschutz-Beratung.

Sie haben noch Fragen?
Wir sind für Sie da!
Bei weiteren Fragen stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.
Bürozeiten: Mo - Do: 08:00 – 17:00 Uhr, Fr: 08:00 – 15:00 Uhr
chevron-down linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram