Kann ein Unternehmen bei Schadensersatz nach Art. 82 DSGVO Regress beim Auftragsverarbeiter nehmen?

Ja, das kann es grundsätzlich – aber nicht „automatisch“, sondern nur unter den Voraussetzungen des DSGVO-Haftungs- und des jeweiligen Vertrags-/Zivilrechtsrahmens. 1) **Außenhaftung gegenüber der betroffenen Person (Art. 82 DSGVO)** - **Verantwortlicher** und **Auftragsverarbeiter** können beide nach Art. 82 DSGVO haften, je nachdem, wer den Schaden durch einen DSGVO-Verstoß verursacht hat. - Sind **mehrere Beteiligte** für denselben Schaden verantwortlich, haften sie gegenüber der betroffenen Person **gesamtschuldnerisch** (Art. 82 Abs. 4 DSGVO). Das führt oft dazu, dass der Verantwortliche (das Unternehmen) in Anspruch genommen wird, obwohl der Fehler operativ beim Auftragsverarbeiter lag. 2) **Innenausgleich / Regress (Art. 82 Abs. 5 DSGVO)** - Hat ein Beteiligter den **vollen Schaden ersetzt**, kann er von den anderen Beteiligten den **Teil zurückverlangen, der deren Verantwortungsanteil entspricht** (Art. 82 Abs. 5 DSGVO). Das ist der DSGVO-eigene Regressmechanismus. - Maßgeblich ist die **tatsächliche Verantwortlichkeit**: Wer hat welchen Beitrag zum Verstoß geleistet (z.B. Weisungen, Auswahl-/Kontrollverschulden, technische/organisatorische Maßnahmen, Subunternehmersteuerung, Melde- und Mitwirkungspflichten) 3) **Wann Regress gegen den Auftragsverarbeiter typischerweise in Betracht kommt** - Der Schaden beruht auf einem **Pflichtverstoß des Auftragsverarbeiters** (z.B. unzureichende TOM, unzulässige Subunternehmer, Verarbeitung außerhalb dokumentierter Weisungen, fehlende Unterstützung bei Betroffenenrechten/Sicherheit). - Der Verantwortliche hat **nicht** selbst (mit-)verursacht, etwa durch: - rechtswidrige/unklare Weisungen, - mangelhafte Auswahl/Überwachung des Auftragsverarbeiters, - fehlende oder unzureichende vertragliche Vorgaben nach Art. 28 DSGVO. 4) **Vertraglicher Regress (Art. 28 DSGVO / AV-Vertrag)** - Zusätzlich zum Art. 82 Abs. 5 DSGVO stützt sich Regress in der Praxis häufig auf den **Auftragsverarbeitungsvertrag** (Schadensersatz, Freistellung/Indemnity, Haftungsregelungen). - **Haftungsbegrenzungen** im AV-Vertrag können den Regress **begrenzen**, sind aber nicht grenzenlos wirksam (insb. bei Vorsatz/grober Fahrlässigkeit nach nationalem Recht; außerdem dürfen sie die Rechte Betroffener nicht beschneiden, betreffen aber den Innenausgleich). 5) **Kurzfazit** Ein Unternehmen, das nach Art. 82 DSGVO zahlt, **kann** beim Auftragsverarbeiter **Regress nehmen**, **soweit** der Auftragsverarbeiter den Verstoß (mit-)verursacht hat und der Regress nicht durch wirksame vertragliche/nationale Haftungsregeln eingeschränkt ist. Maßgeblich ist die **Verantwortungsquote** im konkreten Fall. Rechtsgrundlagen: Art. 82 Abs. 1, 2, 4, 5 DSGVO; Art. 28 DSGVO.