Sind bisherigere Haftungsausschlüsse in AGB wegen Art. 82 DSGVO gefährdet?

Die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) enthält in Artikel 82 eine eigene Haftungsregelung, die deutlich weiter reicht als die deutsche Vorgängerregelung. Bislang übliche Haftungsbegrenzungsklauseln in Allgemeinen Geschäftsbedingungen (AGB) können hierdurch insgesamt unwirksam geworden sein.

Wer haftet nach der DSGVO?

In Artikel 82 DSGVO wird eine Haftung für Verstöße gegen die DSGVO selbst angeordnet, zum Beispiel wenn Sie personenbezogene Daten verarbeiten oder verarbeiten lassen, obwohl es für diese Verarbeitung keine geeignete Rechtsgrundlage gibt. Für solche Verstöße haften der Verantwortliche und der Auftragsverarbeiter gegenüber einer betroffenen Person bei Datenschutzverstößen auf Schadensersatz. Wer in der Europäischen Union personenbezogene Daten verarbeitet, muss wissen, dass er neben der allgemeinen Haftung nach zivilrechtlichen Vorschriften (z.B. BGB) unmittelbar auch nach der DSGVO haftet. Betroffenen steht danach ein Schadensersatzanspruch gegen den Verantwortlichen oder den Auftragsverarbeiter zu.

In Artikel 82 DSGVO wird eine Haftung für Verstöße gegen die DSGVO selbst angeordnet, zum Beispiel wenn Sie personenbezogene Daten verarbeiten oder verarbeiten lassen, obwohl es für diese Verarbeitung keine geeignete Rechtsgrundlage gibt. Für solche Verstöße haften die mit der Datenverarbeitung befassten Unternehmen als Verantwortlicher oder als Auftragsverarbeiter.

Warum ist die Haftung nach Art. 82 DSGVO besonders gefährlich?

Auch schon vor dem 25. Mai 2018 hafteten verantwortliche Stellen für Datenschutzverstöße: Denn nach § 7 des damaligen Bundesdatenschutzgesetzes war zum Schadenersatz verpflichtet, wer unzulässig oder unberechtigt personenbezogene Daten erhob, verarbeitete oder nutzte. Diese Regelung wurde jedoch nur selten von Betroffenen in Anspruch genommen. Die Regelung des Artikel 82 DSGVO verschärft zu Gunsten der Betroffenen eine Inanspruchnahme der Verantwortlichen oder Auftragsverarbeiter:

Zum einen bedarf es danach keines Schuldverhältnisses zwischen den Parteien. Ein Anspruch aus Artikel 82 DSGVO entsteht auch dann, wenn die Parteien keinen Vertrag miteinander geschlossen haben. Weiterhin wird das Verschulden des Verantwortlichen gemäß Artikel. 82 Absatz 3 DSGVO vermutet. Wenn ein Datenschutzverstoß eingetreten ist, muss der Verantwortliche beweisen, dass ihn daran kein Verschulden trifft. Außerdem umfasst der Anspruch nicht nur materielle Schäden, sondern erstmals auch immaterielle Schäden, zum Beispiel Schmerzensgeld. Letzteres ist im deutschen Recht sonst eher selten. Zuletzt haftet jeder Beteiligte nicht nur für seinen Anteil, sondern für den gesamten Schaden. Denn durch die DSGVO soll ein wirksamer Schadenersatzanspruch für die betroffene Person sicherstellt werden.

Ein Haftungsausschluss für Datenschutzverstöße in AGB dürfte unwirksam sein

Inwieweit das Haftungsrisiko verringer werden kann, etwa durch einen Haftungsausschluss oder eine haftungsbegrenzende Klausel, muss im Einzelfall anhand mehrerer Faktoren bewertet werden. Grundsätzlich ist es möglich, den gesetzlichen Haftungsmaßstab zu den eigenen Gunsten zu verändern, indem man diesgesondert vereinbart. Doch gerade hier gibt es zahlreiche Ausnahmen. Für eine Haftungsbegrenzung oder einen Haftungsausschluss durch AGB gelten besondere Regeln. Denn nicht jede Haftung lässt sich wirksam ausschließen oder begrenzen. Ein Beispiel dafür ist die Haftung für vorsätzliches Verhalten, die niemandem im Voraus erlassen werden kann. Ein anderes ist die Haftung für fahrlässig herbeigeführte Schäden an Körper, Leben und Gesundheit, die in AGB überhaupt nicht beschränkt werden kann (§ 309 Nr. 7 BGB). Gleiches gilt für die Haftung nach dem Produkthaftungsgesetz.

Ebenso dürfte in AGB auch der pauschale Ausschluss der Haftung für Verstöße gegen die DSGVO unwirksam sein!

Diese Auffassung ist in der juristischen Literatur stark im Vordringen begriffen. Das dürfte insbesondere gelten, wenn es um besonders schützenswerte Daten geht (Artikel 9 DSGVO). Hierzu gehören insbesondere auch Daten mit Bezug auf die Gesundheit, das Sexualleben oder die sexuelle Orientierung einer natürlichen Person. Gleiches gilt für Fälle, in denen die Einhaltung des Datenschutzes ein zentraler Bestandteil des Vertrages ist. In besonderen Fällen mag eine Haftungsbegrenzung zur Verringerung des Risikos möglich sein. Sicher dürfte jedoch sein, dass bestehende Haftungsbegrenzungsklauseln in AGB in entsprechenden Fällen überprüft werden sollten.

Welches Risiko droht mir als Verwender unzulässiger AGB?

Eines der größten Risiken bei unwirksamen Klauseln in AGB besteht darin, dass schon durch einen unwirksamen Teil einer Klausel die gesamte Klausel unwirksam wird.

Normalerweise werden vertragliche Vereinbarungen, sobald sie sich als unklar herausstellen, präzise ausgelegt: Man prüft also, was die Vertragsparteien aus dem Blickwinkel des sogenannten objektiven Empfängerhorizonts wohl vereinbart haben. Wenn eine Klausel nur teilweise unwirksam ist, können (nicht: müssen) wirksame Teile weiterhin gelten. Anders bei unwirksamen Klauseln in AGB: Hier istimmer die gesamte Klausel unwirksam. Eine Teilwirksamkeit gibt es nicht. Ein Zusammenstreichen der Klausel auf das gerade noch zulässige Maß findet nicht statt (sog. Verbot der geltungserhaltenden Reduktion). Im Gegensatz zu vielen anderen Regelungen gilt das sogar im geschäftlichen Verkehr (B2B), also wenn Verbraucher nicht beteiligt sind.

Praxishinweis

Nach derzeitigem Erkenntnisstand ist zu differenzieren:

Unternehmen, deren Kerntätigkeit nicht in der Verarbeitung personenbezogener Daten besteht (Normalfall), wo also andere Haftungsrisiken überwiegen, könnten in ihren AGB als zusätzliche Ausnahme von der Haftungsbeschränkung (neben der Haftung nach dem Produkthaftungsgesetz und anderen Fällen, in denen nach dem Gesetz zwingend gehaftet wird) auch die Ausnahme bei einer Haftung nach Art. 82 DSGVO aufnehmen.

Unternehmen, deren Haftungsrisiko gerade in Schadensersatzansprüchen von Betroffenen nach Art. 82 DSGVO besteht (z.B. Personaldienstleister), könnten versuchen, ihre Haftung nach Art. 82 DSGVO auf die Fälle zu beschränken, bei denen der Datenschutzverstoß "sensible Daten" betrifft. Dies wird in der Literatur für zulässig gehalten. Rechtsprechung steht - so weit ersichtlich - allerdings noch aus.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auf für folgende Beiträge

Fallstricke bei Vertragserklärungen und Allgemeinen Geschäftsbedingungen
Der Abschluss eines IT-Vertrages zwischen zwei Parteien wirft häufig, besonders im Hinblick auf die Allgemeinen Geschäftsbedingungen Hindernisse auf, die es zu beachten gilt. Um in einem etwaigen Rechtsstreit gut aufgestellt zu sein, empfehlen sich Vorsichtsmaßnahmen, die nachfolgend dargestellt werden.
Schadensersatz bei Fotodiebstahl im Internet: MFM-Tabelle anwendbar?
Der unberechtigten Verwendung urheberrechtlich geschützter Fotos, oft als Fotoklau bezeichnet, folgen nicht selten urheberrechtliche Abmahnungen. Die Rechnung von einem einfach, kostenfrei und schnell organisierten Bild geht in diesem Fall nicht auf. Die folgenden Abmahnkosten sind unter Umständen teurer als eine eigene Fotoproduktion.
Das LG Köln schiebt ausufernden Auskunftsanspruch einen Riegel vor
Der Auskunftsanspruch dient der Sicherstellung der Beurteilung des Umfangs und des Inhalts seiner gespeicherten personenbezogenen Daten durch den Betroffenen und nicht der vereinfachten Buchführung.