Bußgeldhaftung für Auftragsverarbeiter kann auch Verantwortliche treffen

Nicholas Emiliou, Generalanwalt des Gerichtshofs der EU, erklärtein seinen Schlussanträgen (Rechtssache C-683/21), dass eine verschuldensunabhängige Haftung des Verantwortlichen nach Art. 83 DSGVO bei rechtswidriger Datenverarbeitung durch seinen Auftragsverarbeiter möglich ist. 

Vorgeschichte  

Das Verwaltungsgericht Vilnius (Litauen) legte dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens unter anderem die Frage vor, ob Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO verschuldensunabhängig haften, wenn ihre Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO unrechtmäßige Datenverarbeitungen vornehmen.  

Der Generalanwalt Nicholas Emiliou bezog hinsichtlich Vorlage des Verwaltungsgerichts Stellung und ließ in seinem Schlusplädoyer unter anderem verlauten, dass bei einer rechtswidrigen Datenverarbeitung durch den Auftragsverarbeiter der Verantwortliche ebenso, und zwar auch verschuldensunabhängig betroffenen Personen gegenüber gem. Art. 83 DSGVO haften könne. 

Die Leitsätze  

In seinen Ausführungen führte der Generalstaatsanwalt zwei Leitsätze an. 

So betonte er, dass eine Haftung aus Art. 83 DSGVO einen auf Verschulden basierenden Datenverstoß voraussetzte. Dies ließe sich aus Art. 83 Abs. 2 lit. b) DSGVO, in dem von Vorsatz und Fahrlässigkeit die Rede ist, und auch aus dem Willen des Unionsgesetzgebers schließen. Demnach sei ein Verschulden für eine Haftung aus Art. 83 DSGVO zwingende Voraussetzung. 

Des Weiteren verwies der Generalanwalt gleichzeitig auf eine Konstellation, in der ein Verantwortlicher auch ohne Verschulden gegenüber Betroffenen aus Art. 83 DSGVO verpflichtet sein könne. Verarbeitet ein Auftraggeber im Auftrag des Verantwortlichen Daten und verstößt der  Auftragsverarbeiter dabei gegen die Vorschriften, in dem er unrechtmäßige Datenverarbeitung durchführt, so sei auch eine Haftung des Verantwortlichen möglich. Die Möglichkeit einer Haftung des Verantwortlichen sei allerdings nur gegeben, wenn die unrechtmäßige Datenverarbeitung durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt. Handele der Auftragsverarbeiter im Rahmen der unrechtmäßigen Datenverarbeitung aus eigenen Motiven, ohne dass eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO vorliegt, dann bestünde kein Haftungsrisiko für den Verantwortlichen.   

Was gilt es zu beachten? 

Aber wie kann ein Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO einem Haftungsrisiko in genannter Konstellation vorbeugen? 

Laut den Ausführungen des Generalstaatsanwaltes könne eine Haftungsrisiko des Verantwortlichen nur bestehen, wenn sein Auftragsverarbeiter eine unrechtmäßige Datenverarbeitung in seinem Auftrag vornimmt. Aus diesem Grund hat das Kriterium “Weisungsbefugnis” eine besondere Bedeutung, derer sich der Verantwortliche bewusst sein sollte.   

Im Rahmen der Gestaltung eines Auftragsverarbeitungsvertrages im Sinne von Art. 28 DSGVO, sollte der Verantwortliche die Art und die Form der Weisungen, an die sich der Auftragsverarbeiter im Rahmen der Datenverarbeitung zu halten hat, präzise verfassen. Je präziser und eindeutiger die Weisungen formuliert sind, desto weniger kann sich der Auftragsverarbeiter hinsichtlich der Datenverarbeitung auf einen Auslegungsspielraum stützen. Dies minimiert wiederum die Gefahr eines Haftungsrisikos für den Verantwortlichen, da mittels präziser formulierter Weisungen sicher festgestellt werden kann, ob sich der Auftragsverarbeiter bei einer unrechtmäßigen Datenverarbeitung im Rahmen der Weisungen bewegte oder nicht.  

Überdies muss an eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO gedacht werden. Aus den Aussagen des Generalstaatsanwalts lässt sich folgern, dass bei der Frage, ob für den Verantwortlichen ein Haftungsrisiko besteht, auch an eine gemeinsame Verantwortlichkeit hinsichtlich der Datenverarbeitung zu denken ist, die zu einer Haftung führen könnte. Laut Art. 26 Abs. 1 S. 1 DSGVO ist für eine gemeinsame Verantwortlichkeit entscheidend, dass gemeinsam die Zwecke der und die Mittel zur Verarbeitung festgelegt werden. Ob tatsächliche eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO oder ein Auftragsverhältnis im Sinne von Art. 28 DSGVO vorliegt, ist Frage des Einzelfalls. Bei dieser Bestimmung sind wir ihnen gerne behilflich.    

Fazit  

Bei der hiesigen Frage handelt es sich um ein in der Praxis sehr relevantes Thema. Es bleibt daher spannend, ob sich der EuGH den Schlussanträgen des Generalstaatsanwaltes Nicholas Emiliou anschließen oder doch einige Änderungen vornehmen wird. 

Um dem Haftungsrisiko entgegenzuwirken, sollten die Ausgestaltung der Weisungen des Verantwortlichen präzise formuliert werden, sodass der Auftragsverarbeiter auf keinen Auslegungsspielraum zurückgreifen kann. 

Präzise Formulierungen können zudem den Beweis erbringen, dass der Auftragsverarbeiter im Einzelfall eigenmächtig handelte.  

Hinsichtlich der Ausgestaltung eines Auftragsverarbeitungsvertrages im Sinne von Art. 28 Abs. 3 DSGVO, insbesondere bezüglich präziser Formulierungen von Weisungen, sowie bei weiteren Fragen, die sich auf das vorliegende Thema beziehen, sind wir gerne behilflich.