So funktioniert JustAnswer:
  • Fragen Sie einen Experten
    Tausende Experten in über 200 Kategorien.
  • Erhalten Sie eine professionelle Antwort
    Per E-Mail oder sofortiger Benachrichtigung, während Sie auf unserer Website warten. Stellen Sie ggf. weitere Anschlussfragen.
  • 100%ige Zufriedenheit garantiert
    Bewerten Sie die erhaltene Antwort.
Stellen Sie Ihre Frage an Holger Traub.
Holger Traub
Holger Traub,
Kategorie: Europarecht
Zufriedene Kunden: 19064
Erfahrung:  Partner at Dr. Holger Traub
88853042
Geben Sie Ihre Frage in der Kategorie Europarecht hier ein
Holger Traub ist jetzt online.

Es geht um die DSGVO, ich hoffe Sie können mir helfen. Ich

Diese Antwort wurde bewertet:

es geht um die DSGVO, ich hoffe Sie können mir helfen.
Ich möchte zu diesem Thema ein Seminar vor Handwerkern geben.

Bei meinen Recherchen ist mir folgendes aufgefallen:

Ausgangssituation:
3 Parteinen sind involviert 
- Sanitärfirma A soll ein Badezimmer renovieren
- Fliesenleger B ist der Subunternehmer von Firma A
- Der Kunde C hat die Sanitärfirma A beauftragt das Badezimmer zu renovieren.

Frage:
Firma A erhält den Auftrag von Herrn C. 
Firma A teilt daraufhin Firma B (Fliesen) folgendes beispielhaft mit:
"Bitte rufe Herrn C unter folgender Nummer einmal an 0000-0000. Du erreichst ihn ab 16 Uhr, da er und seine Frau am Arbeiten sind. Hier ist auch schon einmal seine Adresse, Straße, PLZ und Ort."

So etwas machen Handwerker öfters.

Das Badezimmer wird renoviert und alle sind zufrieden.

Problem:
Firma B (Fliesen) wird in 2 Jahren gehackt und die Daten von Herrn C geklaut.
An wen darf sich Herr C nun wegen Schadenersatz wenden?

Meine Recherche:
Herr C darf als Betroffener direkt an Herrn A herantreten, da er die Daten an den Fliesenleger weitergegeben hat? Stimmt das grundsätzlich?

Nächste Frage:
Um sich vor Schadenersatzansprüche zu schützen (durch ein Datenleck beim Subunternehmer), müsste doch die Firma B dem Kunden innerhalb von 4 Wochen schreiben und Ihm mitteilen, welche Daten er erhalten hat und dies dem Kunden gem. Art. 13 DSGVO mitteilen. Am besten per Einschreiben oder per Empfangsbestätigung bei Mails.

Diese Bestätigung müsste er nun A senden, damit er das ablegen kann.

Dann wäre A aus der Haftung.

Sehen Sie das auch so? Und haben Sie da eine rechtliche Herleitung?
Im Seminar geht es darum, dass Berater nicht nur mit der eigentlichen Firma bzw. deren Inhaber über DSGVO sprechen müssen, sondern auch mit Subunternehmern, wie dieser aufgestellt sind. Da ansonsten eine Durchgriffshaftung besteht.

Vielen Dank für Ihre Hilfe.

Bei Rückfragen stehe ich Ihnen gerne zur Verfügung.

Sehr geehrte(r) Ratsuchende(r),

vielen Dank für die Nutzung von JustAnswer. Gerne will ich Ihnen Ihre Frage auf Grundlage des geschilderten Sachverhalts beantworten und Ihnen bei Ihrem Anliegen weiterhelfen.

Ein Schadensersatzanspruch könnte bestehen, wenn die Datenweitergabe ohne rechtlichen Grund erfolgt ist.

So entschied das OLG Köln mit Urteil vom 30. September 2016 (Az. 20 U 83/16) im Fall der Weitergabe von Daten an Dritten ohne Grund auf Schadensersatz.

Maßgeblich ist jedoch die Formulierung "ohne Grund".

Liegt ein Grund vor, wie in Ihrem Fall die Auftragsdurchführung, hilft u. a. Art. 6 DSGVO weiter.

Ich hoffe, Ihre Frage hinreichend beantwortet zu haben. Für weitere Fragen stehe ich über den Button "Experten antworten" zur Verfügung.

Über eine positive Bewertung Ihrerseits (anklicken von 3 bis 5 Bewertungssternen) für meine Ausführungen würde ich mich sehr freuen.

Selbstverständlich können Sie auch nach der Abgabe einer positiven Bewertung noch nachfragen.

Mit freundlichen Grüßen

Dr. Traub

-Rechtsanwalt-

Kunde: hat geantwortet vor 2 Jahren.
Sehr geehrer Herr Dr. Traub,vielen Dank für die schnelle Antwort. Ich freue mich auch wieder von Ihnen zu lesen.
Ich bin ein wenig irritiert über Ihre Antwort, da ich diese Frage hier bereits gestellt hatte und eine andere Antwort von Ihnen erhalten hatte...Zu dem Zeitpunkt habe ich das Beispiel mit einem Bautischler geschrieben, Ihre Antwort war (Auszug):"Ja, sofern Sie dem Bautischler nicht die Genehmigung zur Weitergabe erteilt haben, würde dieser ggü. Ihnen haften.Die Sanktionsmöglichkeiten finden Sie in den Art. 77 ff. DSGVO.Der Schadensersatz ergibt sich direkt aus Art. 82 DSGVO, welcher in Absatz 1 besagt:"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.""Des Weiteren habe ich auch von einer anderen Rechtsanwältin eine andere Antwort erhalten:Der Kunde muss darüber aufgeklärt werden, dass zur Vertragserfüllung ein Subunternehmer beauftragt wird und sich die Einwillung einholen, dass die Daten zur Vertragsabwicklung an den Subunternerhmer weiter gegeben werden. Nun muss der Subunternehmer spätestens einen Monat nach Datenerhalt den Kunden darüber Informieren (Informationspflicht), dass er Daten vom Kunden speichert, Zweck, Dauer,..
Erst jetzt ist der Subunternehmer als verantwortliche Stelle selber für den Datenschutz verantwortlich.
Der Handwerker hat die Einwilligung des Kunden UND der Subunternehmer hat den Kunden informiert. Bei Verstößen des Subunternehmers gegen die Regeln des Datenschutzes wäre nun der Subunternehmer verantwortlich.
Ansonsten könnte der Kunde direkt an den ersten Handwerker gehen und ggfs. Schadensersatz fordern.-------------------Ich schule dies seit dem auf verschiedenen Lehrgängen und habe mich u.a. auf Ihre Aussage verlassen, könnten Sie mir bitte weiterhelfen und schildern, was sich geändert hat gegenüber Ihrer ersten Rückmeldung?
Da ich dies nun verstärkt als ein Argument in der Neukundengewinnung einsetze, wollte ich mich noch einmal Rückversichern.
Es geht darum, dass meine Teilnehmer mit dieser Argumentation aktuell über einen Bestandskunden die Neukunden gewinnen wollen. Das Urteil war von 2016 vor der DSGVO.Vielen Dank für Ihre Mühen, ich freue mich auf Ihre Antwort.

Sehr geehrte(r) Ratsuchende(r),

ich habe Ihre erste Sachverhaltsschilderung mit meinen Ausführungen gedanklich nicht mehr parat und weiß nicht, ob welchen Fall dies umfasst.

Inwiefern ein Schadensesratz geschuldet wird hängt in Ihrem Fallbeispiel davon ab, ob der Auftrag für den Kunden ansonsten überhaupt ausführbar war.

Weiter würde ein Schaden nur entstehen (welcher Schadensersatz auslösen kann), wenn die Daten verunglimpfend an die Öffentlichkeit gelangen.

Sicherlich ist die Ausführung von dem Kollegen auch korrekt, dass nach "regulären" Ablauf bzgl. jeglicher Weitergabe eine Einwilligung des Kunden erfolgen soll (auch ggü. Dritten). Aber dies war ja nicht Frage Ihres Falles (sondern wenn keine Einwilligung eingeholt wurde).

Mit freundlichen Grüßen

Dr. Traub

-Rechtsanwalt-

Kunde: hat geantwortet vor 2 Jahren.
Hallo Herr Dr. Traub,vielen Dank für die schnelle Rückmeldung.
Ich hatte versucht es so gut wie möglich zu beschreiben, mir ist natürlich bewusst, dass es tw. anders interpretiert werden kann...Folgende Rückfrage: Wenn der Handwerker nur mit z.B. einem Fliesenleger den Auftrag durchführen kann, dann kann der Kunde keinen Schadensersatz fordern, wenn der Fliesenleger die Daten verliert? (Das verstehe ich sicherlich falsch).Sie schrieben, dass Schadensersatz nur geltend gemacht werden kann, wenn die Daten "verunglimpfend an die Öffentlichkeit gelangen", der Kunde könnte einen immateriellen Schaden geltend machen, dies würde dann doch im Einzelfall entschieden.Vereinfacht ist meine Frage, wenn Handwerker A vom Kunden B Daten an den Subunternehmer C weitergibt und der Kunde B nicht darüber informiert wird, weder von A noch von C und der Subunternehmer gehackt wird, hat der Kunde B dann nicht einen Direktanspruch an Handwerker A, weil er Ihm seine Daten anvertraut hat?
Und zweitens, hat der Kunde B einen Direktanspruch an Handwerker A, wenn dieser Ihm schreibt, dass er Daten weitergibt, der Subunternehmer C den Kunden aber nicht form- und fristgerecht davon in Kenntnis setzt, welche Daten er erhalten hat.Und muss Handwerker A sich davon überzeugen (DSGVO), dass die übermittelten Daten an Subunternehmer C "sicher" sind?Ihre Kollegin hatte ja geschrieben, dass wenn es keine Einwilligung gibt UND der Subunternehmer den Kunden nicht informiert, dass dann der Kunde B direkt an den Handwerker A herantreten kann.
Der Handwerker A kann dann wohl wieder Regress nehmen beim Subunternehmer und das Geld zurück verlangen.Ich hoffe, meine Darlegung ist verständlich.Vielen Dank für Ihre Hilfe!Mit freundlichen Grüßen

Sehr geehrte(r) Ratsuchende(r),

vielen Dank für Ihre weiteren Ausführungen und Ihr Verständnis vor die Komplexität der Rechtslage und auch die Problematik mit einer detaillierten Sachverhaltsdarstellung.

Ich habe mich nochmals eingehend mit Ihrem Fall befasst. Maßgeblich ist aus meiner Sicht, dass ein tatsächlicher Schaden eingetreten ist.

Für die Geltendmachung eines Schadensersatzanspruches muss immer ein konkreter Schaden entstanden sein, vgl. §§ 249 ff. BGB.

D. h. allein durch die Erlangung der Daten durch einen Dritten tritt kein Schaden ein. In diesem Fall wäre ein Schaden nur möglich, wenn hier irgendein rechtswidriges Verhalten vorgenommen wird und der vormalige Kunden eine Rufschädigung mit wirtschaftlichen Einbußen erleidet. Einen messbaren Schaden eben.

Im Gegensatz würde ein Schaden nicht vorliegen, wenn die Daten lediglich an einen weiteren Dritten verkauft werden würden und der vormalige Kunde beispielsweise mit Werbung angeschrieben wird.

Im Falle der Datenweitergabe von A an C hätte bei Schadenseintritt Kunde B gegen A einen Direktanspruch aus Pflichtverletzung aus dem zugrunde liegenden Werkvertrag, weil hierzu auch ein sorgsamer Umgang mit Daten gehört und eine unberechtigte Weitergabe untersagt ist.

Auch in Variante 2 beseht ein solcher Anspruch, da ebenfalls in der nicht form- und fristgerechten Genehmigung eine Pflichtverletzung und faktisch letztlich eine unberechtigte Datenweitergabe erfolgt ist.

Somit ist es in dem von Ihnen konstruierten Schadensfall in der Tat so, wie die Kollegin ausgeführt hat, dass beides mal ein Anspruch gegen den A gegeben ist.

In einem eintretenden Schadensfall

Mit freundlichen Grüßen

Dr. Traub

-Rechtsanwalt-

Holger Traub und weitere Experten für Europarecht sind bereit, Ihnen zu helfen.
Kunde: hat geantwortet vor 2 Jahren.
Guten Tag und entschuldigen Sie die zeitliche Verzögerung meiner Antwort.Ich glaube, dann sind wir einer Meinung und es passt zu den anderen Antworten, die ich erhalten habe.Wenn einem Kunden ein Schaden entstanden ist durch den Diebstahl von Daten (Art. 82 DGVO), dann kann dieser über einen Subunternehmer direkt an den Handwerker gehen, mit dem er den Vertrag seiner Zeit geschlossen hat.Um sich zu enthaften, sollte der Handwerker deshalb eine schriftliche Einwilligung einholen beim Kunden UND der Subunternehmer MUSS innerhalb von 4 Wochen den Kunden darüber Informieren, welche Daten er erhalten hat, was mit den Daten geschieht,.... (DSGVO)
Erhält dann der Handwerker vom Subunternehmer die Bestätigung, dass die Daten an den Endkunden gegangen sind, ist er von der Haftung befreit.Habe ich noch etwas übersehen?Vielen Dank für Ihre Hilfe!