Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXXII: Haftung des Verantwortlichen für Fehler des Auftragsverarbeiters und Anforderungen an die Dienstleisterkontrolle : aus der RDV 1/2025, Seite 41 bis 44

II. Musterlösung

1. Allgemeines

Der Schadenersatzanspruch nach Art.  82 Abs.  1 DS-GVO erfordert einen DS-GVO-Verstoß des Anspruchsgegners, einen materiellen oder immateriellen Schaden des Anspruchstellers sowie einen Kausalzusammenhang zwischen Verstoß und Schaden.^[2] Es handelt sich um eine verschuldensabhängige Haftung, allerdings stellt Art. 82 Abs. 3 DS-GVO eine widerlegbare Verschuldensvermutung zu Lasten des Anspruchsgegners auf.^[3] Sein Verschulden wird danach zunächst unterstellt und er nur dann frei von der Haftung, wenn er nachweisen kann, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Diese Verschuldensvermutung ist auch der Grund, warum Art.  82 DS-GVO aus Sicht des Anspruchsstellers im Verhältnis zu anderen möglichen Rechtsgrundlagen für einen Schadenersatzanspruch wegen Datenschutzverstößen, wie insbes. § 280 Abs. 1 und § 823 BGB, welche durch die Regelung in Art. 82 DS-GVO nicht verdrängt werden, vorzugswürdig ist. Mehrere an der Datenverarbeitung Beteiligte haften gegenüber der betroffenen Person gesamtschuldnerisch und unterschiedliche Verantwortungsbeiträge im Hinblick auf den entstandenen Schaden sind lediglich im Innenverhältnis der an der Verarbeitung Beteiligten auszugleichen (Art. 82 Abs. 4 und 5 DS-GVO).

2. Schadenersatzanspruch gegenüber U

U beruft sich gegenüber seinem Kunden K darauf, dass der Fehler, der zu der Veröffentlichung der Daten von K im Darknet geführt habe, nicht in seiner Sphäre liege, sondern in derjenigen des Auftragsverarbeiters A und K sich deshalb an diesen wenden müsse.

Zwar sind nach Art.  82 DS-GVO auch Schadenersatzansprüche der betroffenen Person gegenüber dem Auftragsverarbeiter möglich, so dessen Abs.  1 explizit: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Dennoch ist fraglich, ob U als Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO seinen Kunden hier an A verweisen darf.

Den Fall, dass sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt sind und diese gemäß Art. 82 Abs. 2 und 3 DS-GVO für einen durch die Verarbeitung verursachten Schaden verantwortlich sind, regelt Art.  82 Abs.  4 DS-GVO explizit und geht insofern zugunsten der betroffenen Person von einer gesamtschuldnerischen Haftung von Verantwortlichem und Auftragsverarbeiter aus. Der Geschädigte kann also grundsätzlich frei entscheiden, wen von den Beteiligten er in Anspruch nimmt und jeder Beteiligte haftet im Außenverhältnis zu ihm auf die volle Summe.^[4] Ein Ausgleich mit Blick auf die jeweiligen Verschuldensbeiträge erfolgt lediglich im Innenverhältnis der Beteiligten.^[5]Der Geschädigte muss sich nicht darauf verweisen lassen, dass einer der Beteiligten nur einen geringen Anteil an der Schadensentstehung gehabt hat.^[6]

Da Art.  82 Abs.  4 DS-GVO dem ausdrücklichen Wortlaut nach nur eingreift, sofern die Beteiligten „gemäß den Abs. 2 und 3“ für einen durch die Verarbeitung verursachten Schaden verantwortlich sind, ergibt sich zwar die Frage, ob sich ein als Auftraggeber für die Datenverarbeitung Verantwortlicher ggf. nach Art. 82 Abs. 3 DS-GVO exkulpieren kann mit der Folge, dass auch im Außenverhältnis nur der Auftragsverarbeiter haftet. Der Wortlaut des Art. 82 Abs. 4 DS-GVO scheint für eine solche Exkulpationsmöglichkeit zu sprechen. Gegen eine solche Exkulpationsmöglichkeit spricht jedoch, dass es gerade zu den Grundprinzipien der Auftragsverarbeitung zählt, dass trotz Auslagerung der Datenverarbeitung die auslagernde Stelle als Verantwortlicher Ansprechpartner gegenüber der betroffenen Person bleibt.^[7] Im Fall der Exkulpation müsste die betroffene Person nicht nur gegen ihr unbekannte Auftragsverarbeiter vorgehen, mit denen sie in keinerlei vertraglichen Beziehungen steht und die ggf. im Ausland niedergelassen sind, sondern trüge auch noch das Risiko einer möglichen Insolvenz des jeweiligen Auftragsverarbeiters.^[8] Ein Abschieben der Haftung auf den Auftragsverarbeiter würde einem „wirksamen Schadenersatz“ i.S.v. Art. 82 Abs. 4 DS-GVO (vgl. auch ErwG 146 S. 6 DS-GVO) entgegenstehen.^[9]

Im Ergebnis kann die Beantwortung der Frage im vorliegenden Fall dahinstehen, da Unternehmen U hier die Voraussetzungen an eine Exkulpation nach Art. 82 Abs. 3 DS-GVO nicht erfüllt. Denn die Haftung entfällt nach dieser Bestimmung nur, sofern der Verantwortliche bzw. Auftragsverarbeiter nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Notwendig ist der Nachweis, dass sämtliche Sorgfaltsanforderungen erfüllt wurden und dem Verantwortlichen bzw. Auftragsverarbeiter nicht die geringste Fahrlässigkeit vorzuwerfen ist.^[10] Den Auftraggeber trifft im Rahmen von Art. 28 DS-GVO aber nicht nur die Pflicht, den Auftragsverarbeiter sorgfältig auszuwählen, sondern zudem auch eine Verpflichtung zur sorgfältigen Überwachung desselben.^[11] Zu einer sorgfältigen Überwachung wird es regelmäßig gehören, dass sich der Auftraggeber der Auftragsverarbeitung die Löschung verarbeiteter Daten nach Auftragsbeendigung nicht nur zusichern lässt, sondern eine entsprechende Bestätigung nach Durchführung der Löschung verlangt.^[12] Dies ist vorliegend nicht geschehen, so dass U nicht sämtliche Sorgfaltspflichten erfüllt hat und die Voraussetzungen von Art. 82 Abs. 3 DS-GVO nicht vorliegen.^[13]

Auch die übrigen Voraussetzungen eines Schadenersatzanspruches nach Art. 82 DS-GVO gegenüber U sind vorliegend gegeben, insbes. lässt sich der Schaden des K, der nach dem Sachverhalt zu unterstellen war, kausal auf die verspätete Löschung der Daten zurückführen. Wären die Daten am 1.12.2019 durch A gelöscht worden, hätten sie nicht durch den Hackerangriff abgegriffen werden und später im Darknet auftauchen können. Wie dargestellt, muss sich U mangels Exzess des A die verspätete Löschung durch Letzteren zurechnen lassen. Im Übrigen ist auch die eigene Pflichtverletzung des U (mangelhafte Kontrolle der Löschung) als kausal für den Schaden anzusehen, denn eine sachgerechte Kontrolle hätte den Schaden verhindern können.

U haftet damit gegenüber der betroffenen Person K auf Schadenersatz nach Art. 82 DS-GVO und dies in voller Höhe des Schadens, der K entstanden ist, und nicht nur anteilig entsprechend seinem Verantwortungsbeitrag. Der Umstand, dass hier die Hauptverantwortung für den Schaden des K wohl beim Auftragnehmer A zu suchen ist, erlangt nur im Innenverhältnis zwischen U und A Bedeutung, d.h., U hat einen dessen Verantwortungsanteil entsprechenden Regressanspruch gegenüber A.

3. Schadenersatzanspruch gegenüber A

Gemäß Art.  82 DS-GVO haftet auch ein Auftragsverarbeiter gegenüber der betroffenen Person auf Schadenersatz (vgl. Abs. 1). Nach Abs. 2 S. 2 der Bestimmung gilt dies allerdings nur, „wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Die eingeschränkte Haftung des Auftragsverarbeiters trägt dem Umstand Rechnung, dass es eben nicht er, sondern sein Auftraggeber ist, der die Verantwortlichkeit für die Datenverarbeitung trägt. Der Auftraggeber legt als Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO Zwecke und wesentliche Mittel der Datenverarbeitung fest, während der Auftragsverarbeiter mit den im Auftrag verarbeiteten personenbezogenen Daten nur auf Weisung des Verantwortlichen umgehen darf (Art. 28 Abs.  3 S.  2 lit.  a) DS-GVO). Lediglich wenn der Auftragsverarbeiter selbst über Zwecke und Mittel der Verarbeitung entscheidet und sich entgegen der Vereinbarung selbst zum Verantwortlichen aufschwingt, haftet er auch als ein solcher (sog. Exzess, vgl. Art. 28 Abs. 10 DS-GVO). Dies ist hier nicht der Fall. Zwar hat A gegen seine Pflichten verstoßen, indem er die Daten nicht zum angekündigten Zeitpunkt gelöscht hat. Er hat aber nicht über Zwecke und Mittel der Datenverarbeitung bestimmt. Eine Haftung von A kommt hier demnach nur als Auftragsverarbeiter und unter Beachtung der Rahmenbedingungen von Art. 82 Abs. 2 S. 2 DS-GVO in Betracht.

Der Vorwurf gegenüber A besteht vorliegend darin, entgegen der bestehenden Vereinbarung nach Art.  28 Abs.  3 DS-GVO sowie seiner eigenen Zusicherung per E-Mail vom 30.11.2019 nicht gelöscht zu haben. Bei der Nichtlöschung der im Auftrag verarbeiteten Daten handelt es sich um eine der Sphäre des Auftragsverarbeiters zuzuordnende Pflichtverletzung. Die Löschung der Daten (bzw. alternativ deren Rückgabe) nach Abschluss der Erbringung der Verarbeitungsleistung gehört zu den klassischen zentralen Pflichten des Auftragsverarbeiters, was sich auch an Art. 28 Abs. 3 S. 2 lit. g) DS-GVO zeigt, wonach zu den Mindestinhalten eines Auftragsverarbeitungsvertrages u.a. eine Vereinbarung dahingehend zählt, was mit den verarbeiteten Daten nach Beendigung der Beziehung zu geschehen hat. Nach Sinn und Zweck von Art.  82 DS-GVO hat der Auftragsverarbeiter für einen Schaden der betroffenen Person, welcher aus der Verletzung dieser Löschverpflichtung entsteht, entsprechend einzustehen. Dies gilt unabhängig davon, ob eventuell die Voraussetzungen von Art. 82 Abs. 2 S. 2 DS-GVO nicht unmittelbar erfüllt sind, da die Löschverpflichtung des A keine „speziell den Auftragsverarbeitern auferlegte Pflicht aus dieser Verordnung“ (Art. 82 Abs. 2 S. 2 Alt. 1 DS-GVO), sondern eine Pflicht ist, die auf dem Auftragsverarbeitungsvertrag beruht, und mangels entsprechender Weisung durch U auch nicht weisungswidrig gehandelt wurde durch A (Art. 82 Abs. 2 S. 2 Alt. 2 DS-GVO). Bei der Aufnahme des Auftragsverarbeiters als möglichen Anspruchsgegner im Rahmen von Art. 82 DS-GVO ging es dem Verordnungsgeber darum, dass auch der Auftragsverarbeiter von der betroffenen Person in Anspruch genommen werden können soll, sofern er „auftragsverarbeiterspezifischen Pflichten“^[14] nicht nachgekommen ist. Die gesamtschuldnerische Haftung zwischen Auftraggeber und -nehmer der Auftragsverarbeitung trägt maßgeblich dazu bei, dass „ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist“ (Art.  82 Abs.  4 DS-GVO). Die Verletzung der Löschpflicht kommt damit als den Schadenersatz nach Art. 82 DS-GVO begründende Pflichtverletzung des A in Betracht.

Für eine Exkulpation des A gemäß Art. 82 Abs. 3 DS-GVO bestehen keine Anhaltspunkte, so dass auch von der Schuldhaftigkeit der Pflichtverletzung durch A auszugehen ist. Ohne die Pflichtverletzung seitens A wäre der Schaden des betroffenen K nicht entstanden, so dass des Weiteren die Kausalität zwischen Pflichtverletzung und Schaden zu bejahen ist.

Nach alledem hat K auch gegen A einen Anspruch auf Schadenersatz nach Art. 82 DS-GVO. K kann sich entscheiden, ob er U und/oder A in Anspruch nehmen will. Er kann den gesamten Schaden gegen einen der Beteiligten geltend machen oder aber jeweils anteiligen Schadenersatz von beiden Parteien verlangen.

III. Weiterführende Hinweise

Rund um den Schadenersatzanspruch nach Art.  82 DS-GVO bestanden nach dem Inkrafttreten der DS-GVO diverse ungeklärte Fragen. Inzwischen haben eine Reihe von EuGH-Entscheidungen zu der Vorschrift wichtige Punkte geklärt. Die zentralen Aussagen des EuGH finden sich nachfolgend zusammengefasst:

• Ein bloßer Verstoß gegen die DS-GVO reicht nicht, um einen Anspruch aus Art. 82 DS-GVO zu begründen (EuGH, Urt. 04.05.2023 – C-300/21; Urt. v. 14.12.2023 – C-456/22; Urt. 11.04.2024 – C-741/21; Urt. v. 20.06.2024 – C-590/22 PS). Betroffene Personen müssen auch nachweisen, dass ihnen ein materieller oder immaterieller Schaden entstanden ist (EuGH, Urt. v. 25.01.2024 – C-687/21; Urt. v. 20.06.2024 – C-590/22 PS).
• DS-GVO-Schadenersatz ist nicht vom Erreichen einer Erheblichkeitsschwelle abhängig (EuGH, Urt. v. 04.05.2023 – C-300/21; Urt. v. 14.12.2023 – C-456/22; Urt. 11.04.2024 – C-741/21; Urt. v. 20.06.2024 – C-590/22 PS).
• Die Furcht vor Datenmissbrauch bzw. ein zeitlich begrenzter Verlust der Kontrolle über die eigenen personenbezogenen Daten kann einen immateriellen Schaden begründen; der Schaden muss aber ordnungsgemäß nachgewiesen werden (EuGH, Urt. v. 14.12.2023 – C-340/21; Urt. v. 11.04.2024 – C-741/21; Urt. v. 20.06.2024 – C-590/22 PS; Urt. v. 04.10.2024 – C-200/23).
• DS-GVO-Schadenersatz hat „Ausgleichsfunktion“, keine Straf- oder Abschreckungsfunktion[15] (EuGH, Urt. v. 21.12.2023 – C-667/21; Urt. v. 25.01.2024 – C-687/21; Urt. v. 20.06.2024 – C-182/22 und C-189/22; Urt. v. 20.06.2024 – C-590/22 PS).

* RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

_{[1] Der Sachverhalt für diesen Praxisfall ist angelehnt an OLG Dresden, Urt. v. 10.09.2024 – 4 U 602/24 (vgl. auch die im selben Zusammenhang ergangenen weiteren Urteile des OLG Dresden v. 10.09.2024 – 4 U 683/24; v. 17.09.2024 – 4 U 506/24; v. 15.10.2024 – 4 U 422/24; v. 15.10.2024 – 4 U 940/24; v. 05.11.2024 – 4 U 729/24).}

_{[2] Pohle/Adelberg, ZD 2024, 312 (312).}

_{[3] Pohle/Adelberg, ZD 2024, 312 (312).}

_{[4] Kühling/Buchner/Bergt, DS-GVO BDSG, 4. Aufl. 2024, DS-GVO Art. 82 Rn. 57.}

_{[5] Kühling/Buchner/Bergt, DS-GVO Art. 82 Rn. 57}

_{[6] Kühling/Buchner/Bergt, DS-GVO Art. 82 Rn. 57.}

_{[7] So zu Recht Simitis/Hornung/Spiecker gen. Döhmann/Boehm, Datenschutzrecht, 2. Aufl. 2025, DS-GVO Art.  82 Rn. 26; ähnlich auch OLG Dresden, Urt. v. 10.09.2024 – 4 U 602/24 in der Entscheidung, an die dieser Praxisfall angelehnt ist}

_{[8] Kühling/Buchner/Bergt, DS-GVO Art.  82 Rn. 55; Simitis/Hornung/Spiecker gen. Döhmann/Boehm, DS-GVO Art. 82 Rn. 26.}

_{[9] OLG Dresden, Urt. v. 10.09.2024 – 4 U 602/24.}

_{[10] Vgl. etwa Kühling/Buchner/Bergt, DS-GVO Art.  82 Rn. 54; Taeger/Gabel/ Moos/Schefzig, DS-GVO – BDSG – TTDSG, 4. Aufl. 2022, DS-GVO Art. 82 Rn. 80 („Verschuldensquote von 0 %“)}

_{[11] OLG Dresden, Urt. v. 10.09.2024 – 4 U 602/24.}

_{[12] AA OLG Stuttgart, Beschl. v. 15.10.2024 – 4 U 49/24.}

_{[13] OLG Dresden, Urt. v. 10.09.2024 – 4 U 602/24; aA OLG Stuttgart, Beschl. v. 15.10.2024 – 4 U 49/24.}

_{[14] Spindler/Schuster/Spindler/Horváth, Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 82 Rn. 10.}

_{[15] Vgl. in diesem Zusammenhang auch BGH, Urt. v. 18.11.2024 – VI ZR 10/24: 100 Euro Schadenersatz für Kontrollverlust bei Scraping angemessen.}