Am 4. Oktober 2024 entschied das Landgericht Lübeck in einem bemerkenswerten Fall (Az. 15 O 216/23), der nicht nur Schadenersatz von 350 Euro zusprach, sondern auch die datenschutzrechtliche Bedeutung von Verträgen nach Art. 28 DSGVO in den Fokus rückte. Das Urteil thematisiert zentrale Fragen: Wie beeinflusst das Fehlen eines Auftragsverarbeitungsvertrags (AVV) die Rechtmäßigkeit einer Datenübermittlung? Und welche Konsequenzen hat dies für Verantwortliche, Auftragsverarbeiter und Unterauftragsverarbeiter?
Was regelt Art. 28 DSGVO?Art. 28 DSGVO ist ein Kernbestandteil der Datenschutz-Grundverordnung und regelt die Zusammenarbeit zwischen Verantwortlichen und Auftragsverarbeitern. Zentral ist die Verpflichtung, einen Vertrag oder ein „anderes Rechtsinstrument" zu schließen, das die datenschutzrechtlichen Pflichten des Auftragsverarbeiters eindeutig definiert. Zu diesen Pflichten zählen etwa:
- Technische und organisatorische Maßnahmen zur Datensicherheit,
- Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten,
- und die Verpflichtung, Unterauftragsverarbeiter nur mit ausdrücklicher Genehmigung des Verantwortlichen einzubinden.
Fehlt dieser Vertrag, argumentiert das Landgericht Lübeck, ist nicht nur die Zusammenarbeit mangelhaft, sondern auch die Übermittlung der Daten an den Auftragsverarbeiter rechtswidrig.
Das Urteil im DetailIm vorliegenden Fall stellte das Gericht fest, dass kein AVV zwischen dem Verantwortlichen und einem Auftragsverarbeiter existierte. Daraus leitete es ab, dass die Datenübermittlung bereits an dieser Stelle rechtswidrig war. Das Gericht erklärte:
„Fehlt es an diesen Voraussetzungen, so stellt sich (…) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar."
Diese Ansicht basiert darauf, dass Art. 28 DSGVO ein zentraler Bestandteil der datenschutzrechtlichen Verantwortlichkeit ist. Ohne einen Vertrag fehlt die Grundlage, die dem Auftragsverarbeiter eine rechtmäßige Verarbeitung der personenbezogenen Daten erlaubt.
Abweichende Auslegungen und der EuGHDie Auffassung des Landgerichts Lübeck wird nicht einhellig geteilt. Eine wichtige Alternative liefert die Rechtsprechung des Europäischen Gerichtshofs (EuGH). In der Entscheidung C‑60/22 stellte der EuGH klar, dass die Rechtmäßigkeit einer Verarbeitung gemäß Art. 6 DSGVO beurteilt wird. Die Einhaltung formeller Anforderungen, wie des Vertragsabschlusses nach Art. 28 DSGVO, sei keine eigenständige Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung.
Damit könnte man argumentieren, dass ein fehlender AVV zwar einen Verstoß gegen die DSGVO darstellt, die Datenverarbeitung selbst aber nicht zwingend rechtswidrig macht. Dennoch bleibt das Risiko für Verantwortliche hoch, da ein Verstoß gegen Art. 28 DSGVO erhebliche Bußgelder nach sich ziehen kann.
Was gilt für Konzerne?Ein weiteres wichtiges Thema des Urteils betrifft den Umgang mit Auftragsverarbeitungsverträgen innerhalb von Konzernen. Das beklagte Unternehmen argumentierte, dass es „marktüblich" sei, wenn Verträge zentral durch die Muttergesellschaft abgeschlossen würden und automatisch für Tochterunternehmen gelten.
Das Landgericht Lübeck wies diese Argumentation entschieden zurück. Es betonte, dass Tochtergesellschaften rechtlich eigenständig sind und somit eigene Verpflichtungen eingehen müssen. Ein zentraler Vertrag der Muttergesellschaft könne die Töchter nicht automatisch binden, es sei denn, dies werde ausdrücklich vertraglich geregelt.
Praktische Konsequenzen für UnternehmenDas Urteil hat weitreichende Implikationen für Unternehmen:
- Strikte Einhaltung von Art. 28 DSGVO: Verantwortliche müssen sicherstellen, dass für jede Datenübermittlung ein rechtskonformer AVV vorliegt. Dies gilt auch für Unterauftragsverarbeiter.
- Konzerne im Fokus: Innerhalb von Konzernen sollten klare vertragliche Regelungen geschaffen werden, um alle Tochterunternehmen einzubeziehen.
- Risiko der Rechtswidrigkeit: Auch wenn die EuGH-Rechtsprechung eine differenzierte Sichtweise bietet, bleiben fehlende AVVs ein gravierender Verstoß gegen die DSGVO.
- Proaktive Maßnahmen: Unternehmen sollten regelmäßige Prüfungen ihrer Datenschutzverträge durchführen und bestehende Lücken schließen.
Das Urteil des Landgerichts Lübeck unterstreicht die Bedeutung von Auftragsverarbeitungsverträgen für die Einhaltung der DSGVO. Unternehmen, die solche Verträge vernachlässigen, riskieren nicht nur Bußgelder, sondern auch die Rechtswidrigkeit ihrer Datenverarbeitungsprozesse. Besonders in der Zusammenarbeit mit Auftrags- und Unterauftragsverarbeitern sollte Art. 28 DSGVO als zentraler Bestandteil der Datenschutz-Compliance verstanden werden.
In einer zunehmend vernetzten Geschäftswelt, in der Daten den Kern vieler Geschäftsmodelle bilden, ist die rechtliche Absicherung durch AVVs unverzichtbar. Das Urteil aus Lübeck ist daher ein wichtiger Weckruf für Unternehmen, Datenschutz und Vertragsmanagement konsequent zu priorisieren.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz