Rufen Sie mich an: 0261 - 404 99 45
E-Mail:
Unternehmen schließen mit anderen Unternehmen häufig Verträge, bei denen es (auch) um die Verarbeitung personenbezogener Daten geht. Beispiele sind die Auslagerung von CRM- oder ERP-Systemen an IT-Dienstleister (Cloud), wo durch mangelnden Schutz Daten abhanden kommen könnten, oder man stellt auch nur fest, dass sich der Webseiten-Dienstleister (zum Beispiel eine Werbeagentur) den Hosting-Diensten eines Dritten bedient, ohne eine Auftragsverarbeitungsvereinbarung mit diesem schließen zu können oder zu wollen. Es handelt sich in der Regel also um Dauerschuldverhältnisse, aber es könnte auch sein, dass der Auftraggeber schon in der Entwicklungsphase einer Software oder Webseite Mängel beim Auftragnehmer feststellt. Dieser weigert sich einfach "Privacy by Design" zu befolgen und richtet das geschuldete Produkt nicht nach Datenschutzgrundsätzen aus.
Geht somit beim Datenschutz etwas schief, stellt sich die Frage, ob ein Datenschutzverstoß zur außerordentlichen Kündigung des Vertrages zwischen den Unternehmen berechtigt. Schließlich drohen der verantwortlichen Stelle Bußgelder und andere Konsequenzen aus der DSGVO.
Grundsätzlich lassen sich Vertragsverhältnisse nach § 314 BGB außerordentlich kündigen. Das Gesetz verlangt hierfür einen "wichtigen Grund". Was nun ein wichtiger Grund ist, überlässt das Gesetz dem Einzelfall und letztlich der Abwägung zunächst der Parteien sowie dann der Gerichte, wenn darum gestritten werden muss.
Um die Frage zu beantworten, ob nun ein wichtiger Grund bei Datenschutzverstößen vorliegt, werden Kriterien benötigt, die man hierbei berücksichtigen kann. Hierbei bietet es sich an, den Kriterienkatalog heranzuziehen, den die DSGVO für die Entscheidung von Bußgeldbehörden anbietet, ob ein Bußgeld verhängt werden kann und über welche Höhe. Dieser findet sich in Art. 83 Abs. 2 DSGVO und enthält folgende Kriterien:
Die fett markierten Kriterien scheinen hierbei geeignet, im Rahmen der nach § 314 BGB erforderlichen Einzelfallwertung für die Frage Berücksichtigung zu finden, ob ein Verstoß derart gravierend ist, um eine außerordentliche Kündigung des Vertrages zu erlauben oder nicht.
Weigert sich im oben genanten Beispiel die Werbeagentur auf die Einbindung von Google Maps zu verzichten, weil dies für die Agentur so schön einfach ist und man sich nicht damit beschäftigen will (oder diesen Aufwand im Pauschalangebot nicht eingepreist hat), wie man mit Open Street Map Karten ebenfalls eine hübsche Karte auf die Webseite bekommt, dann könnte man dies als schweren Verstoß ansehen, der auch auf Dauer angelegt ist. Dies erfolgt spätestens ab dem Zeitpunkt auch vorsätzlich, zu dem der Kunde dies moniert. Die Werbeagentur ist hierfür alleine verantwortlich, wenn der Auftraggeber zuvor nicht Google Maps für Karten vorgegeben hat. Die Kategorien der betroffenen Daten sind allerdings nicht sonderlich schwerwiegend, da es in der Regel um die IP-Adresse der Betroffenen geht, die nicht so einfach einer natürlichen Person zuzuordnen sind. Wegen der Datenspeicherung von Google in den USA als weiterer Punkt zur Art und Schwere des Verstoßes könnte man aber gut zu dem Ergebnis kommen, dass die außerordentliche Kündigung möglich ist.
Die Abwägung der Kriterien bedarf somit einiger Erfahrung. Gerne bringen wir unsere Expertise in Ihren Fall ein.
Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.