15.01.2024 |
Wer den Falschen wählt, zahlt auch das Bußgeld.
Zahlreiche Firmen bedienen sich zur Verarbeitung ihrer personenbezogener Daten Auftragsverarbeiter. Kommt es bei denen zu Datenschutzverstößen, kann dafür in nicht wenigen Fällen das Unternehmen finanziell belangt werden – obwohl es selbst nichts falsch gemacht hat. So jetzt der Europäische Gerichthof (EuGH). Das Risiko kann aber vertraglich minimiert werden.
Wenn der Auftragsverarbeiter personenbezogene Daten verhökert.
Das Outsourcing der Verarbeitung personenbezogener Daten ist ein tägliches Butter-Brot-Geschäft. Die Datenschutzgrundverordnung („DSGVO“) erlaubt es; stellt aber hohe Anforderungen. Ohne Wenn und Aber ist gemäß Artikel (Art.) 28 der DSGVO der Abschluss eines entsprechenden Vertrages über Auftragsverarbeitung erforderlich (kurz „AV-Vertrag“). Darin hat sich der Auftragsverarbeiter („Subunternehmer“) zur Einhaltung der gesetzlichen Buchstaben zu verpflichten. Ungeklärt war bis dato, was passiert, wenn sich der Subunternehmer nicht daranhält und die Aufsichtsbehörde einschreitet. Für das beauftragende Unternehmen kein Pappenstiel, sieht doch die DSGVO horrende Bußgelder vor (bis zu vier Prozent des weltweit erzielten Jahresumsatzes – Art. 83 Absatz 5 der DSGVO). Schließlich hat der EuGH jüngst geurteilt, dass die Geldstrafe auch gegen die beauftragende Firma verhängt werden kann (Urteil vom 5. Dezember 2023, Rechtssache C-683/21).
Im entschiedenen Fall hatte eine Behörde des Gesundheitsministeriums in Litauen kurz nach Ausbruch der Corona-Pandemie ein privates Unternehmen mit der Entwicklung und Veröffentlichung einer App zur Meldung von Infizierten beauftragt. Die Anwendung ging auch kurz online und war in den Stores von Google und Apple verfügbar. Rund 4.000 erkrankte Menschen hatten sich dort gemeldet und unter anderem Angaben zu ihrem Vor- und Nachnamen, Adresse und zu ihren Symptomen gemacht. Das Privatunternehmen hat dann allerdings die personenbezogenen Daten an eine andere Firma weiterübermittelt (umgangssprachlich wohl „verhökert“).
Eine Art von AV-Vertrag hatten Gesundheitsbehörde und App-Entwickler auch abgeschlossen. Was wirklich drin stand, ist allerdings nicht bekannt.
Haftung für den Auftragsverarbeiter – Was der EuGH sagt.
Essenziell für alle Firmen in der EU sind indes die generellen Ausführungen der Richter aus Luxemburg.
Am wichtigsten ist die Kernaussage: „Außerdem kann gegen jeden Verantwortlichen eine Geldbuße verhängt werden, die von einem Auftragsverarbeiter durchgeführt wurden“. Heißt übersetzt: Macht der Subunternehmer Fehler, kann das Bußgeld auch gegenüber dem Unternehmen verhängt werden, das die Dienste des Auftragsverarbeiters in Anspruch genommen hat.
Soweit schlecht für das Outsourcing. Der Europäische Gerichtshof hat aber die Haftung auch begrenzt. Bevor es dem Unternehmen an den Kragen geht, muss unter anderem feststehen, dass „der Auftragsverarbeiter (die personenbezogenen Daten) für eigene Zwecke (verarbeitet)“ oder sie, anders als im AV-Vertrag vereinbart, genutzt hat. In derartigen Fällen kann die Strafe nicht gegen das Unternehmen ausgesprochen werden, so der EuGH.
Für die Praxis: AV-Vertrag, AV-Vertrag und nochmals AV-Vertrag.
Für die Praxis ist auch Sicht von beauftragenden Unternehmen schlichtweg vor allem zu einem zu raten: Dem Abschluss von detaillierten AV-Verträgen. Darin darf insbesondere nicht die Beschreibung fehlen, wie das Subunternehmen ganz konkret die personenbezogenen Daten zu verarbeiten hat, dass jede andere Verarbeitung verboten ist und die personenbezogenen Daten in keinem Fall an andere weitergegeben werden dürfen. Ganz pragmatisch sollten Unternehmen dabei ihren eigenen AV-Vertrag dem Auftragsverarbeiter vorlegen – das entspricht der gängigen Praxis (auch wenn so mancher Auftragsverarbeiter das Gegenteil behauptet). Verhandeln kann man dann natürlich über bestimmte Punkte – aber nicht über die Haftung.
Letztens zeigt die EuGH-Entscheidung: Bei der Auswahl des Subunternehmers sind Augenmaß und Prüfung gefordert. Wer den Falschen auswählt, zahlt mitunter auch das Bußgeld für fremdes Handeln.
Von Prof. Dr. jur. Noogie C. Kaufmann
Foto von Quinn Buffing auf Unsplash