Rechtsanwalt Dr. jur. Dirk Lindloff, Rechtsberater in Koblenz
Magazin
Unser Infoservice für Sie
Dienstag, 09.11.2021

Außerordentliche Kündigung eines Vertrages wegen eines Datenschutzverstoßes

Verträge zwischen Unternehmen können im Einzelfall wegen Missachtung des Datenschutzes gekündigt werden



von
Dr. jur. Dirk Lindloff
Rechtsanwalt
Fachanwalt für Gewerblichen Rechtsschutz
Fachanwalt für Informationstechnologierecht

Rufen Sie mich an: 0261 - 404 99 45
E-Mail:

Unternehmen schließen mit anderen Unternehmen häufig Verträge, bei denen es (auch) um die Verarbeitung personenbezogener Daten geht. Beispiele sind die Auslagerung von CRM- oder ERP-Systemen an IT-Dienstleister (Cloud), wo durch mangelnden Schutz Daten abhanden kommen könnten, oder man stellt auch nur fest, dass sich der Webseiten-Dienstleister (zum Beispiel eine Werbeagentur) den Hosting-Diensten eines Dritten bedient, ohne eine Auftragsverarbeitungsvereinbarung mit diesem schließen zu können oder zu wollen. Es handelt sich in der Regel also um Dauerschuldverhältnisse, aber es könnte auch sein, dass der Auftraggeber schon in der Entwicklungsphase einer Software oder Webseite Mängel beim Auftragnehmer feststellt. Dieser weigert sich einfach "Privacy by Design" zu befolgen und richtet das geschuldete Produkt nicht nach Datenschutzgrundsätzen aus.

Geht somit beim Datenschutz etwas schief, stellt sich die Frage, ob ein Datenschutzverstoß zur außerordentlichen Kündigung des Vertrages zwischen den Unternehmen berechtigt. Schließlich drohen der verantwortlichen Stelle Bußgelder und andere Konsequenzen aus der DSGVO.

Gesetzliche Kündigungsmöglichkeiten

Grundsätzlich lassen sich Vertragsverhältnisse nach § 314 BGB außerordentlich kündigen. Das Gesetz verlangt hierfür einen "wichtigen Grund". Was nun ein wichtiger Grund ist, überlässt das Gesetz dem Einzelfall und letztlich der Abwägung zunächst der Parteien sowie dann der Gerichte, wenn darum gestritten werden muss.

Datenschutzverstöße als wichtiger Grund

Um die Frage zu beantworten, ob nun ein wichtiger Grund bei Datenschutzverstößen vorliegt, werden Kriterien benötigt, die man hierbei berücksichtigen kann. Hierbei bietet es sich an, den Kriterienkatalog heranzuziehen, den die DSGVO für die Entscheidung von Bußgeldbehörden anbietet, ob ein Bußgeld verhängt werden kann und über welche Höhe. Dieser findet sich in Art. 83 Abs. 2 DSGVO und enthält folgende Kriterien:

  1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  3. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
  5. etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  9. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
  10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
  11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Die fett markierten Kriterien scheinen hierbei geeignet, im Rahmen der nach § 314 BGB erforderlichen Einzelfallwertung für die Frage Berücksichtigung zu finden, ob ein Verstoß derart gravierend ist, um eine außerordentliche Kündigung des Vertrages zu erlauben oder nicht.

Weigert sich im oben genanten Beispiel die Werbeagentur auf die Einbindung von Google Maps zu verzichten, weil dies für die Agentur so schön einfach ist und man sich nicht damit beschäftigen will (oder diesen Aufwand im Pauschalangebot nicht eingepreist hat), wie man mit Open Street Map Karten ebenfalls eine hübsche Karte auf die Webseite bekommt, dann könnte man dies als schweren Verstoß ansehen, der auch auf Dauer angelegt ist. Dies erfolgt spätestens ab dem Zeitpunkt auch vorsätzlich, zu dem der Kunde dies moniert. Die Werbeagentur ist hierfür alleine verantwortlich, wenn der Auftraggeber zuvor nicht Google Maps für Karten vorgegeben hat. Die Kategorien der betroffenen Daten sind allerdings nicht sonderlich schwerwiegend, da es in der Regel um die IP-Adresse der Betroffenen geht, die nicht so einfach einer natürlichen Person zuzuordnen sind. Wegen der Datenspeicherung von Google in den USA als weiterer Punkt zur Art und Schwere des Verstoßes könnte man aber gut zu dem Ergebnis kommen, dass die außerordentliche Kündigung möglich ist.

Die Abwägung der Kriterien bedarf somit einiger Erfahrung. Gerne bringen wir unsere Expertise in Ihren Fall ein.

Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.


Experten finden