Datenleck bei einem Handelspartner. Wer trägt die Verantwortung und was ist zu beachten?

Dieser Artikel befasst sich mit der Frage, wer haftet, wenn ein Partner eines Unternehmens, dem personenbezogene Daten übermittelt wurden, ein Datenleck erleidet und die übermittelten Daten im Internet oder Darknet veröffentlicht werden.

Was sind personenbezogene Daten?

Art. 4 Abs. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Schadenersatzanspruch

Eine von einem Datenleck, also von einer unrechtmäßigen Datenverarbeitung, betroffene Person kann gem. Art. 82 DSGVO einen Schadenersatzanspruch geltend machen. Ein Schaden liegt bereits dann vor, wenn der Anspruchsteller nachweisen kann, dass ihm durch den Vorfall Ängste und Sorgen entstanden sind. Eine Bagatellgrenze gibt es nicht. So wurde bespielweise eine Musikplattform am 04. Oktober 2024 vom LG Lübeck zur Zahlung von Schadensersatz an einen Verbraucher verurteilt (Az.: 15 O 216/23).

Wer haftet nun für das Datenleck?

Grundsätzlich gilt gem. Art. 4 Abs. 7, 8 DSGVO als Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Um bei der Weitergabe von personenbezogenen Daten (Auftragsverarbeitung) keine Haftung auszulösen, muss das Unternehmen mit dem Auftragsverarbeiter einen Vertrag oder ein anderes Rechtsinstrument nach Art. 28 Abs. 3 DSGVO abschließen. Durch die vertragliche Verpflichtung soll sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen so umgesetzt werden, dass die Weiterverarbeitung im Einklang mit der DSGVO erfolgt. Fehlt ein solcher Vertrag, ist die Datenübermittlung grundsätzlich rechtswidrig und stellt ein DSGVO- Verstoß dar.

Denn der Begriff der Beteiligung an einer rechtswidrigen Datenverarbeitung setzt nicht zwingend voraus, dass der Verantwortliche selbst unmittelbar an dem schadensverursachenden Vorgang beteiligt war. Es genügt vielmehr, dass er die rechtswidrige Datenverarbeitung ermöglicht hat. Daraus folgt, dass auch ein Verantwortlicher, der rechtmäßig Daten an einen Dritten übermittelt, an der weiteren, auch weisungswidrigen Verarbeitung dieser Daten durch den Dritten beteiligt sein kann.

Exkulpationsmöglichkeit

Eine Exkulpation nach Art. 82 Abs. 3 DSGVO setzt voraus, dass dem Verantwortlichen der Entlastungsbeweis für den eigenen Verursachungsbeitrag, mit dem er noch an der Verarbeitungskette beteiligt war, gelingt. Liegt dieser Verursachungsbeitrag in der unzulässigen Weitergabe der Daten an einen Auftragsverarbeiter, setzt dies voraus, dass kein Vertretenmüssen vorliegt.

Was muss ein Vertrag nach Art. 28 DSGVO enthalten?

Ein Vertrag nach Art. 28 DSGVO muss mindestens folgende Angaben enthalten:

  • Rechtliche Bindung des Auftragsverarbeiters an den Verantwortlichen,
  • Wesentliche Inhalte der Datenverarbeitung wie z.B:
    • Gegenstand und Dauer der Verarbeitung,
    • Art und Zweck der Verarbeitung,
    • Art der personenbezogenen Daten,
    • Kategorien betroffener Personen,
    • Rechte und Pflichten des für die Verarbeitung

 

Zu beachten ist jedoch, dass die Aufzählung der erforderlichen Angaben nicht abschließend ist und im Einzelfall an die Bedürfnisse und Pflichten des jeweiligen Unternehmens angepasst werden muss. Denn bei Verstößen gegen die Verordnung drohen den Unternehmen Schadensersatzklagen sowie hohe Bußgelder.

Bei weiteren Fragen wenden Sie sich bitte an unsere Kanzlei unter +49 (0) 40 180 364 020 oder office@graulaw.eu.

SIE HABEN FRAGEN ODER BENÖTIGEN UNSEREN RAT?

Sprechen Sie uns an – wir helfen Ihnen weiter.