Datenschutzrecht und AGB: Einfacher wird’s nicht
Haftungsbeschränkungsklauseln können unwirksam sein
Die EU-DSGVO wirft ihre Schatten voraus. Über das „neue Datenschutzrecht“ wird derzeit häufig geschrieben und berichtet. Aber viele Themen, die hier aufgeworfen werden, sind gar nicht neu, sondern bestanden bereits unter dem „alten Datenschutzrecht“, was den Beteiligten oft gar nicht bewusst ist. Dies zeigt, wie stiefmütterlich das Datenschutzrecht bislang durchdrungen und angewandt wurde, sowohl von Unternehmen als auch von Gerichten und juristischen Experten.
Jüngst wurde in der Fachliteratur ein datenschutzrechtliches Problem „entdeckt“, das weitreichende Auswirkungen auf die Gestaltung von Haftungsbeschränkungsklauseln in Allgemeinen Geschäftsbedingungen (AGB) haben kann.
Zulässige Haftungsbeschränkungen in AGB sehen gewöhnlich – etwas vereinfacht – vor, dass Ansprüche wegen einfach fahrlässiger Nebenpflichtverletzungen ausgeschlossen werden. Die Haftung wegen Vorsatz und grober Fahrlässigkeit darf hingegen nicht, die Haftung wegen Verletzung vertragswesentlicher Pflichten („Kardinalpflichten“) nur der Höhe nach auf „die bei Vertragsschluss vorhersehbaren und vertragstypischen Schäden“ beschränkt werden.
Gesetz und Rechtsprechung verlangen aber darüber hinaus, dass die Haftung wegen bestimmter einzelner Sachverhalte – wie Schaden an Leben, Leib und Gesundheit – uneingeschränkt beibehalten wird. Selbst die oben genannten zulässigen Ausschlüsse und Einschränkungen sind dann nicht zulässig. Werden diese Sachverhalte nicht ausdrücklich vom Haftungsausschluss bzw. von der Haftungsbeschränkung ausgenommen – gleich wie wahrscheinlich sie eintreten können – wird die gesamte Klausel als unwirksam angesehen.
Auch das Datenschutzrecht kann seit jeher Schadensersatzansprüche auslösen. Der Betroffene, dessen Daten datenschutzrechtswidrig von einem Unternehmen verarbeitet werden, hat einen entsprechenden Schadensersatzanspruch gegen das Unternehmen. Ob er seinen Schaden nachweisen kann, ist eine andere Frage.
Außerdem haften mehrere verantwortliche Unternehmen, die einem Betroffenen einen Schaden zufügen, jeweils gegenüber dem Betroffenen, haben dann aber – je nach Verschuldensgrad – im Innenverhältnis Ausgleichsansprüche gegeneinander. Auch dies sind Haftungsansprüche aus „datenschutzrechtlichen Sachverhalten“ in Form weitergeleiteter Schadensersatzansprüche der Betroffenen.
Datenschutz und AGB-Recht: Haftungsbeschränkungsklauseln können unwirksam sein
Zurück zu den AGB. Derartige datenschutzrechtliche Haftungsansprüche können, wenn sie vom Standpunkt des Vertrages aus „Nebenpflichtverletzungen“ darstellen, von der gewünschten Haftungsausschlusswirkung mit umfasst sein. Eine Einordnung datenschutzrechtlicher Pflichten als vertragliche Nebenpflichten kann jedoch mit dem Datenschutzrecht unvereinbar sein, je nachdem, wie materiell bzw. unverrückbar die datenschutzrechtlichen Anspruchsgrundlagen interpretiert werden.
Insbesondere bei „datenintensiven“ Geschäftsmodellen, wie einem Cloud-Speicherdienst, sind datenbezogene Leistungen Teil der Hauptleistungspflicht des Unternehmens. Gerichtsentscheidungen dazu gibt es – wie so oft bei Datenschutzthemen – keine. Im Extremfall muss der Gesetzgeber des BDSG (alte Rechtslage) bzw. der EU-DSGVO (neue Rechtslage) so interpretiert werden, dass er keine Haftungsbeschränkungen in AGB bezüglich datenschutzrechtlicher Ansprüche zulassen wollte.
Wie oben angedeutet, bestimmt das AGB-Recht für den Fall, dass Klauseln Sachverhalte umfassen, die sie nicht umfassen dürfen, dass die gesamte Klausel unwirksam ist. Es wird also nicht der Teil der Klausel aufrechterhalten, der rechtlich noch zulässig wäre. Sprich:
Haftungsbeschränkungen in AGB,
die unzulässigerweise in datenschutzrechtliche Haftungsansprüche eingreifen (wozu die ausdrückliche Nennung solcher Ansprüche nicht notwendig ist),
können die gesamte Haftungsbeschränkungsklausel „infizieren“ und unwirksam werden lassen.
Wie können Haftungsbeschränkungsklauseln abgesichert und Datenschutzrisiken erfolgreich umgangen werden?
Der (einzig?) sichere Ausweg soll nach Ansicht von Experten vor diesem Hintergrund eine einschränkende Formulierung sein, mit der der gesamte Bereich Datenschutz von der Haftungsbeschränkungsklausel ausgenommen wird („datenschutzrechtliche Anspruchsgrundlagen werden von dieser Haftungsregelung nicht erfasst“). Bislang enthalten jedoch praktisch keine AGB derartige Formulierungen und sind daher mit „Datenschutzrisiken“ behaftet.
Alternativ kommt möglicherweise eine eigene Haftungsbeschränkungsklausel nur für datenschutzrechtliche Anspruchsgrundlagen in Betracht. Ziel ist es dann, dass im Fall der Fälle nur diese spezielle Klausel isoliert für sich gesehen unwirksam ist, ohne die „normale“ Haftungsbeschränkung zu gefährden. Ob diese Form der „Klauseltrennung“ von den Gerichten akzeptiert wird, ist (natürlich) ebenfalls unklar.
Fazit
Das Thema zeigt, wie komplex unsere Rechtsordnung geworden ist und welche bislang unerkannten „Fernwirkungen“ das Datenschutzrecht auf Bereiche ausüben kann – hier im Zusammenhang mit Haftungsbeschränkungsklauseln in AGB – die bisher nicht mit Datenschutzrecht in Zusammenhang gebracht worden sind. Es bleibt spannend, was noch alles an Auswirkungen des Datenschutzrechts auf andere Themenbereiche „entdeckt“ wird.