Haftung für fehlerhafte Dienstleistung Dritter nach der Datenschutzgrundverordnung

-Aktuelle Entscheidungen weiten die Haftung für IT-Dienstleister aus!

Müssen Unternehmen mit Schadenersatzforderungen rechnen, wenn Datenschutzverletzungen durch Auftragsverarbeiter zu vertreten sind? Was ändert sich nach Inkrafttreten der Datenschutzgrundverordnung?

Beispielfall:

Unternehmen A beauftragt Dienstleister B mit der Programmierung, Administration und Wartung einer Kundendatenbank. In dieser sollen alle Kundenaktivitäten dokumentiert werden. Aufgrund eines Programmierungsfehlers, der B bekannt ist, aber wegen des Zeitaufwandes nicht abgestellt wird, erhalten alle Kunden, deren Daten im System hinterlegt sind, automatische ein E-Mail, in der sie über die Änderungen von Datensätzen (eigene und fremde) informiert werden. Nun wenden sich die Kunden an A, um Schadenersatzansprüche geltend zu machen.

Die Frage nach möglichen Schadenersatzansprüchen wegen Verletzung des Datenschutzrechts stellt sich regelmäßig und nimmt aufgrund der zunehmenden Relevanz des Themas Datenschutz erheblich zu.

Betroffener als Anspruchsteller

Grundsätzlich können Schadenersatzansprüche nach §§ 7, 8 BDSG entstehen. Eine i. S. d. § 3 Abs. 7 BDSG verantwortliche Stelle macht sich schadenersatzpflichtig, wenn die Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten eines Betroffenen datenschutzwidrig erfolgt ist und wenn durch die Datenschutzverletzung ein Schaden entstanden ist. Der Anspruch aus § 7 BDSG enthält einige überraschende Besonderheiten: Der Anspruch ist nur natürlichen Personen, also nicht juristischen Personen, eröffnet. Es handelt sich um höchstpersönliche, ausschließlich dem Betroffenen vorbehaltene Ansprüche, die weder übertragen, vererbt oder gepfändet werden können. Eine Aufrechnung mit einem Gegenanspruch ist unzulässig. Auffällig ist auch die Möglichkeit der Exkulpation nach § 7 S. 2 BDSG, also die Entlastung, wenn die Stelle die nach den Umständen des Einzelfalls gebotene Sorgfalt beachtet hat. Dies ist nur gegeben, wenn die Stelle darlegt und beweist, dass sie alles getan hat, um eine datenschutzkonforme Verarbeitung persönlicher Daten zu ermöglichen. Die aus § 7 S. 2 BDSG bekannte Möglichkeit der Exkulpation wurde in Art. 82 Abs. 2 DSGVO fortgeschrieben.

Die Datenschutzgrundordnung stellt nach Art. 82 Abs. 1 DSGVO zukünftig auf den Verantwortlichen des Verstoßes gegen die Verordnung ab und nicht auf eine (nicht-öffentliche) Stelle.

Nach wie vor sind die Voraussetzungen für das Vorliegen eines Schadenersatzanspruchs

  • eine Verletzung einer Pflicht nach dem Datenschutzrecht (DGSVO)
  • dass der Schaden auf der Pflichtverletzung beruht

Daneben können betroffene natürliche Personen Schadenersatzansprüche aus unerlaubter Handlung, wie beispielsweise aus § 823 Abs. 1 BGB in Verbindung mit dem Recht auf informationelle Selbstbestimmung oder dem Allgemeinen Persönlichkeitsrecht, herleiten.

Fraglich ist nun, welche Ansprüche einem Unternehmen, also einer nicht-öffentlichen Stelle, offenstehen, wenn ein vom Unternehmen beauftragter Dritter einen Datenschutzverstoß zu vertreten hat und das Unternehmen direkt vom Betroffenen dieses Verstoßes in Anspruch genommen wird.

Aktuelle Urheberrechtsprechung weitet Haftungsfrage aus

Rechtlich vergleichbare Fälle im Urheberrecht sind bereits häufiger entschieden worden. So hat das Landgericht Bochum in seinem Urteil vom 16.08.2016 – 9 S 17/16, entschieden, dass der Auftraggeber einen Schadenersatzanspruch gegen den Auftragnehmer hat, wenn dieser eine Homepage für den Auftraggeber erstellt und hierbei urheberrechtlich geschütztes Bildmaterial verwendet und der Auftraggeber seinerseits von einem Dritten eben wegen dieses Verstoßes in Anspruch genommen wird. Die Pflichtverletzungen waren in der Nutzung urheberrechtlich geschützten Materials, aber auch in der fehlenden Belehrung über bestehende Urheberrechte zu sehen. In seiner Entscheidung vom 15.10.2015 hat das Amtsgericht Oldenburg (Urteil vom 15.10.2015 – 8 C 8028/15-) sogar eine Prüfpflicht der Webdesigner bejaht, Kundenbilder auf Urheberrechtsverstöße zu prüfen, weil es Aufgabe des Unternehmens sei, dem Kunden ein mangelfreies Werk zu verschaffen.  Das Urteil wurde in dieser Frage durch das Landgericht mit Urteil vom 13.01.2016 – 5 S 224/ 15- bestätigt.

Kann diese Rechtsprechung für Fälle mit Datenschutzbezug herangezogen werden? Diese Frage dürfte wohl zu bejahen sein, denn die fehlende (Urheber-) Rechtskonformität wird als grundsätzlicher Mangel behandelt, der sich aus dem Vertrag ergibt. Datenschutzgerechtes Verhalten ergibt sich selbstverständlich aus dem Gesetz, aber auch aus einem (Dienst- oder Werk-) Vertrag als vertragliche Hauptpflicht, mindestens aber als nebenvertragliche Pflicht. In den meisten Fällen der Auftragsdatenverarbeitung dürfte sich der Schadenersatzanspruch aus §§ 280 Abs. 1, 631ff. BGB ergeben, weil der Datenschutz Inhalt einer jeden Datenverarbeitung ist und ein Eingriff in diesen Bereich zu einer (positiven) Vertragsverletzung führen dürfte. Bevor allerdings der Auftraggeber den Auftragnehmer auf Schadenersatz in Anspruch nimmt, muss zunächst ein Schaden bei einem Dritten eingetreten sein.

Neuregelung der Haftung in der DGSVO

Dem Auftraggeber blieb bisher nur die Möglichkeit der Geltendmachung von Schadenersatzansprüchen gegen den Auftragnehmer, beispielsweise einem Auftragsverarbeiter oder Softwareverkäufer, aus Verletzung des jeweiligen Vertrags. Dies hat sich mit der DSGVO aber geändert, denn Auftraggeber und Auftragsverarbeiter können eine Haftungsgemeinschaft bilden, aus der der Gesamtschuldnerinnenausgleich möglich ist. Voraussetzung ist, dass der Auftraggeber vom Betroffenen wegen des Datenschutzverstoßes in Anspruch genommen wird.

Der Auftragsverarbeiter wird nun ausdrücklich in Art. 82 Abs. 1 DSGVO als Pflichtiger genannt, so dass der Betroffene der Verletzung entweder den Auftraggeber, also das Unternehmen, oder den Auftragsverarbeiter selbst in Anspruch nehmen kann.  Im Falle der Auftragsverarbeiterhaftung muss dieser Auftragsverarbeiter entweder seine vertraglichen Pflichten gegenüber dem Auftraggeber oder explizit die Pflichten nach der DGSVO verletzt haben (s. Art. 83 Abs. 4 lit. A DSGVO). Art. 82 Abs. 3 DSGVO lässt Unternehmer bzw. Verantwortlicher und Auftragsverarbeiter in einem Gesamtschuldnerverhältnis stehen. Das hat für den Betroffenen den Vorteil, dass er zwei mögliche Schuldner, jeden in Höhe der Gesamtforderung, in Anspruch nehmen kann. Beide Schadenersatzpflichtigen, also der Verantwortliche bzw. Auftraggeber und der Auftragsverarbeiter, bilden dann eine Gesamtschuldnerschaft. Gesamtschuld bedeutet, dass jeder der Schuldner den Ausgleich der gesamten Leistung schuldet, der Gläubiger von jedem die Gesamtleistung fordern kann, insgesamt aber nur einmal. So kann sich der Betroffene wahlweise beim Verantwortlichen, aber auch beim Auftragsverarbeiter schadlos halten.  Der Schuldnerinnenausgleich bestimmt sich üblicherweise nach Haftungsquoten, die dann im Ausgleich zu berücksichtigen sein werden.

Nach neuer Rechtslage wird sich der Auftraggeber im Rahmen des Gesamtschuldnerinnenausgleichs am Auftragsverarbeiter unter Beachtung einer Verschuldensquote relativ schadlos halten können. Bis zum 25.05.2018 hat der Auftraggeber nur die Möglichkeit, den sogenannten Auftragsverarbeiter direkt aus Vertragsverletzung i. S. d. § 280 Abs. 1 BGB in Anspruch zu nehmen.

Die DSGVO wird aber erst mit dem 25.05.2018 gem. Art. 99 Abs. 2 DSGVO in der Bundesrepublik Deutschland unmittelbar Wirkung entfalten. Derzeit wird zwar an einem BDSG-Anpassungs- und Umsetzungsgesetz (DSAnpUG) gearbeitet, allerdings ist dieses Verfahren erst im Stadium des Ministerentwurfs, so dass mit einem Inkrafttreten eines wie auch immer dann aussehenden DSAnpUG nicht vor dem 25.05.2018 zu rechnen sein dürfte.

Die eingangs zitierte Rechtsprechung zeigt, dass die Gerichte die Haftungsfrage für IT-Dienstleister sehr weit auslegen und künftig mit weiteren Entscheidungen in diese Richtung zu rechnen sein dürfte.