Verantwortliche haften gemäß Art. 83 Abs. 1 DS-GVO verschuldensunabhängig für Auftragsverarbeiter – Stellungnahme des Generalanwalts

Den Schlussanträgen des Generalanwalts Nicolas Emiliou liegt ein Vorabentscheidungsverfahren des Verwal­tungs­gerichts Vilnius (Litauen) zugrunde, das die Gelegenheit dafür bietet, die Reichweite der daten­schutz­recht­lichen Bußgeldhaftung zu klären. Das nationale Gericht legte dem Europäischen Gerichtshof dabei u.a. die Frage vor, ob die Bestimmung des Art. 83 Abs. 1 DS-GVO dahingehend auszulegen sei, dass der Verant­wortliche i.S.v. Art. 4 Nr. 7 DS-GVO verschuldensunabhängig für eine unrechtmäßige Datenverarbeitung des Auftragsverarbeiters i.S.v. Artt. 4 Nr. 8, 28 DS-GVO hafte. Im Rahmen seines diesbezüglichen Schlussplädoyers trug der Generalanwalt umfassend bzgl. des Art. 83 DS-GVO vor, dass eine Gefährdungshaftung des Verant­wortlichen in Betracht kommt, sofern der Auftragsverarbeiter gegen datenschutzrechtliche Bestimmungen verstößt; im Einzelfall kann sodann eine Geldbuße nach Art. 83 Abs. 1 DS-GVO verhängt werden. 

 

Hierzu führte der Generalanwalt folgende Leitsätze an:

 

Ein schuldhafter Verstoß gegen geltende datenschutzrechtliche Bestimmungen sei nach dem Generalanwalt zunächst eine zwingende Voraussetzung. Dazu führt der Generalanwalt an, dass Art. 83 Abs. 2 lit. b) DS-GVO die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes expressis verbis benennt und diese – auch nach dem Willen des Unionsgesetzgebers – als Mindestvoraussetzung gegeben sein muss. Zudem legt der Generalanwalt die Vorschrift derart aus, dass die Bußgeldhaftung einen strafrechtlichen Sanktionscharakter besitze und demnach ebenfalls mens rea (ein subjektives Element) erforderlich sei.

 

Hinsichtlich des zweiten Leitsatzes deutete der Generalanwalt an, dass es eine Konstellation gebe, in der der Verantwortliche ohne ein Verschulden hafte. Gemeint ist der Fall, dass die unrechtmäßige Verarbeitung von einem Auftragsverarbeiter im Auftrag des Verantwortlichen vorgenommen wird. Nur in diesem Fall bestehe ein Haftungsrisiko für den Verantwortlichen und damit auch eine Gefährdungshaftung. Zugleich begrenzt der Generalanwalt das Haftungsrisiko für den Verantwortlichen, indem er bei einer eigenmächtigen unrecht­mäßigen Datenverarbeitung des Auftragsverarbeiters zu eigenen Zwecken – ohne „gemeinsame Verant­wortliche“ nach Art. 26 DS-GVO zu sein – eine Bußgeldhaftung gegen den Verantwortlichen ablehnt. Auf diese Weise ist der Anwendungsbereich für eine Gefährdungshaftung des Verantwortlichen restriktiv zu verstehen.

 

Schließt sich der EuGH den Schlussanträgen des Generalanwalts an, würde die angedeutete Gefähr­dungs­haftung – trotz ihres restriktiven Anwendungsbereichs – zu erheblichen Konsequenzen in der Praxis führen. Um dem Haftungsrisiko entgegenzuwirken, sollten die Auftragsverarbeitungsvereinbarungen (AVV) zwischen dem Verantwortlichen und dem Auftragsverarbeiter sorgfältig, insbesondere im Hinblick auf die Ausgestaltung der Weisungen des Verantwortlichen formuliert werden. Es sollte dabei darauf geachtet werden, dass dem Auftrags­­verarbeiter kein Ermessen hinsichtlich der Datenverarbeitung zukommt. 

 

Darüber hinaus können präzise Weisungen in der AVV nach Art. 28 Abs. 3 S. 2 lit. a) DS-GVO den Beweis dafür erbringen, dass der Auftragsverarbeiter im Einzelfall nicht im Rahmen seiner Weisungen tätig wurde bzw. eigen­mächtig handelte. Außerdem kann sich der Grad der Verantwortung nach Art. 83 Abs. 2 S. 2 lit. d) DS-GVO auch auf die Bemessung des Bußgeldes auswirken, weshalb eine präzise ausformulierte AVV in der Praxis – vor dem Hintergrund einer drohenden verschuldensunabhängigen Haftung – an Bedeutung gewinnen wird.

 

Es bleibt daher mit Spannung abzuwarten, ob sich der EuGH wirklich den Schlussanträgen des Generalanwalts anschließt und hierdurch für mehr Rechtsklarheit im datenschutzrechtlichen Bußgeldverfahren sorgt.