Fortsetzung von Teil I
Beweislast
Die DSGVO enthält keine Regelungen zur Beweislast für den Schadensersatz.
Grundsätzlich muss der Betroffene (also die natürliche Person) nachweisen, dass ein Verstoß gegen die DSGVO zu einem Schaden (materiell oder immateriell) geführt hat. Eine Ausnahme gilt für die TOMs. Hier muss der Verantwortliche nachweisen, die angemessenen Maßnahmen getroffen zu haben. Diese in Deutschland sehr kontrovers diskutierte Rechtsprechung (sie bedeutet eine Abkehr von dem Grundsatz der sekundären Beweislast) bedeutet für die Praxis:
Der Verantwortliche muss präventiv überprüfen, ob die ergriffenen technisch organisatorischen Maßnahmen geeignet sind, um das erforderliche Sicherheitsniveau herzustellen. Und diese Prüfung muss wirklich regelmäßig erfolgen und dokumentiert werden.
Konsequenz 1: Häufigere Überprüfungen
Die erste Konsequenz der Rechtsprechung des EuGH bedeutet also, dass die IT- Unternehmen, die als Auftragsvertragsverarbeiter fungieren, in der Zukunft auditiert werden und zwar im Hinblick auf die technischen Anforderungen.
EuGH Rechtsprechung und AVV
Für mich ist ein Punkt an den Entscheidungen des EuGH in der Praxis spannend und der spielt sich im Feld der AVVs ab.
Nach dem Gesetz (DSGVO) ist der Verantwortliche für die Ausgestaltung der getroffenen technisch- organisatorischen Maßnahmen verantwortlich.
In der Praxis wird dieser Grundsatz sehr häufig durchbrochen, in dem in der AVV bestimmt wird, dass allein der Auftragnehmer für die Ausgestaltung verantwortlich ist.
Die Frage, ob das rechtlich zulässig ist, ist nicht gerichtlich entschieden.
Der Gesetzgeber hat in der DSGVO nur bestimmt, dass die DSGVO einen bestimmten Mindestinhalt haben muss. Im Übrigen können die Parteien den Inhalt frei bestimmen. Das sieht dann in der Praxis kraft Marktmacht so aus, dass der Auftraggeber in den AVVs formuliert, allein der Auftragnehmer sei für die Ergreifung der richtigen Maßnahmen zuständig/ verantwortlich
Und nicht ganz zufällig stehen in vielen AVVs Regelungen, die auftraggeberfreundlich sind. Danach soll häufig allein der Auftragnehmer für die Einhaltung des erforderlichen Sicherheitsniveaus verantwortlich sein.
Das ist durchaus kritisch. Zwei Fälle können unterschieden werden: Art 32 I DSGVO verlangt, dass die Vertragsparteien eine gemeinsame Abwägung über die getroffenen Maßnahmen treffen sollen.
a.) Häufig wird das aber nicht so sein, sondern der Auftraggeber wird sich darauf verlassen, dass der Auftragnehmer ganz von allein die richtigen Maßnahmen ergreifen wird.
b.) Oder der Auftraggeber wird in der AVV eine Standardregelung (AGB) verwenden, nach deren Inhalt allein der Auftragnehmer für die Einhaltung der gesetzlichen Anforderungen verantwortlich ist.
Ich bin der Ansicht, dass solch eine Regelung wegen eines Verstoßes gegen § 307 Abs.2 BGB unwirksam ist, weil hier gegen den gesetzlichen Grundgedanken verstoßen wird, dass vorrangig der Verantwortliche (also der Auftraggeber) und dann nach Art 28 beide Parteien -und nicht nur der Auftragnehmer- eine Entscheidung treffen sollen. Sonst könnte der Auftraggeber über den Weg einer Auftragsverarbeitung jegliche Verantwortlichkeit auf den Auftragnehmer delegieren und das verstößt gegen den Wortsinn des Art 28 DSGVO und auch gegen den Umstand, dass der Verantwortliche gegenüber dem Betroffenen in der Pflicht steht.
Der Auftraggeber wird also viel mehr tun müssen, als sich einfach auf eine (unwirksame) AGB in der AVV zu berufen, um seine Haftung zu begrenzen oder auszuschließen.
In vielen Verträgen sieht man auch, dass die Auftraggeber sich sehr genau um das Thema IT- Sicherheit und Datenschutz kümmern. Die DORA und der deutsche Entwurf zur NIS-2- RL sehen schon vor, dass die Auftragnehmer einzubeziehen sind und man sich als Auftraggeber (!) um das Thema IT Sicherheit kümmern muss und es nicht einfach auf die Auftragnehmer delegieren kann.
Konsequenz 2:
Ich habe Kunden, die von uns Vertragsmuster erhalten. In den Vertragsmustern sind auch AVVs und Muster für TOMs enthalten. Das verbinde ich mit einer Warnung.
Die TOMs sind nur die Oberfläche.
Die Rechtsprechung des EuGH besagt, dass man sich nur dann exkulpieren kann, wenn man den Nachweis dafür erbringt, im Einzelfall die richtigen Schutzmaßnahmen getroffen zu haben.
Man muss nachweisen, dass die in dem Verarbeitungsverzeichnis (Vvz) genannten Vorgänge ausreichend technisch abgesichert sind. Und diese Absicherung ist zu dokumentieren und ihre Geeignetheit ist in der heutigen Zeit in Abhängigkeit zu dem Risiko der Verarbeitung auch in „geeigneten Zeiträumen“ zu überprüfen. Das setzt voraus, dass die Vvz(e) auch die richtigen Verarbeitungsvorgänge umfassen (sonst prüft man nichts) und bezogen auf diese Vorgänge vernünftige, dem jeweiligen Stand der Technik entsprechende Maßnahmen getroffen werden. Sofern ein großes Risiko besteht, muss man auch überprüfen, ob die Maßnahmen halten, was sie versprechen. Sofern Sie schauen wollen, wie so etwas funktionieren kann, schauen Sie sich die Vorlage des BSI, den C5- Kriterienkatalog an.
