--- name: avv-haftung-risikoallokation-art-82-dsgvo description: "Haftungsverteilung Risikoallokation und Haftungscaps im AVV im Lichte von Art. 82 DSGVO. Klaert Aussenhaftung gegenueber Betroffenen Innenregress zwischen Verantwortlichem und Auftragsverarbeiter sowie zulaessige und unzulaessige vertragliche Begrenzungen. Output: Klausel-Bausteine fuer Innen- und Aussenhaftung mit Cap-Hinweisen." --- # AVV-Haftung und Risikoallokation – Art. 82 DSGVO ## Zweck / Purpose Verteilung der DSGVO-Haftungsrisiken zwischen Verantwortlichem und Auftragsverarbeiter; Trennung von Aussenhaftung gegenueber Betroffenen und Innenregress; Grenzen vertraglicher Haftungsbegrenzungen. Purpose (EN): Liability allocation between controller and processor under Article 82 GDPR. ## Wann brauchen Sie diesen Skill - Haftungscaps im AVV werden verhandelt. - Mandant hat Schadensersatzanspruch gegen den Vertragspartner zu pruefen. - Aussenhaftung gegenueber einem Betroffenen ist eingetreten und der Innenregress steht an. - Mandant beziffert das Restrisiko fuer ein Cyber-Versicherungsdeckungsgespraech. ## Rechtlicher Rahmen - Art. 82 Abs. 1 DSGVO: Jeder, der wegen eines Verstosses gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. - Art. 82 Abs. 2 DSGVO: Verantwortlicher haftet fuer den Schaden, den eine seiner Verarbeitungen verursacht hat. Auftragsverarbeiter haftet, wenn er gegen speziell ihm auferlegte Pflichten verstossen hat oder Weisungen des Verantwortlichen widersprochen oder ueberschritten hat. - Art. 82 Abs. 3 DSGVO: Befreiung, wenn nachgewiesen wird, dass der Schaden in keiner Weise zu vertreten ist. - Art. 82 Abs. 4 DSGVO: Gesamtschuldnerische Haftung mehrerer Verantwortlicher / Auftragsverarbeiter, wenn an demselben Verarbeitungsvorgang beteiligt. - Art. 82 Abs. 5 DSGVO: Innenregress nach Mass des Verschuldensanteils. - Art. 28 Abs. 10 DSGVO: Bei Ueberschreiten der Weisungen wird Auftragsverarbeiter zum Verantwortlichen. - EuGH-Linie zu Art. 82 DSGVO: Konkrete Aktenzeichen vor Zitat ueber curia.europa.eu verifizieren; aus dem Modellwissen wird kein Aktenzeichen zitiert. ## Ablauf / Checkliste 1. **Aussenhaftung mappen.** - Wer ist gegenueber Betroffenen Anspruchsgegner? Verantwortlicher allein, Auftragsverarbeiter, beide? - Gesamtschuld nach Art. 82 Abs. 4 DSGVO bei gemeinsamer Beteiligung am Verarbeitungsvorgang. 2. **Innenregress regeln.** - Mass nach Art. 82 Abs. 5 DSGVO: anteilige Verantwortung. - Beweislast: jede Partei muss ihren Pflichtenkreis dokumentieren. - Vertragliche Vereinbarung darf den gesetzlichen Innenregress nicht ausschliessen, aber konkretisieren (Pauschalierung, Schadensobergrenzen). 3. **Cap-Diskussion.** - Aussenhaftung kann nicht durch Vertrag zwischen Verantwortlichem und Auftragsverarbeiter zu Lasten des Betroffenen begrenzt werden. - Innenregress-Cap zulaessig, soweit nicht gegen § 307 BGB (AGB), Vorsatz und grobe Fahrlaessigkeit nicht ausschliessbar. - Branchenuebliche Caps: 12-Monats-Honorar, oft mit Sub-Cap fuer Datenschutzverletzungen. 4. **Versicherung.** - Cyber-Versicherung des Auftragsverarbeiters: Deckungssumme, Selbstbehalt, Geltungsbereich. - Pflicht zur Vorlage des Versicherungsnachweises (Versicherungsbestaetigung). - DSGVO-Bussgelder regelmaessig versicherungsausschluss. 5. **Sub-AV-Kette.** - Haftung in der Kette wird durch Art. 28 Abs. 4 DSGVO durchgereicht. - Primaerer Auftragsverarbeiter haftet weiter fuer Sub-AV. - Regress des primaeren Auftragsverarbeiters gegen Sub-AV vertraglich zu sichern. ## Mustertext / Template Haftungsklausel: > "§ X Haftung > > (1) Die Parteien haften gegenueber Betroffenen nach Massgabe des Art. 82 DSGVO. Diese gesetzliche Haftung wird durch die nachstehenden vertraglichen Regelungen zur Innenhaftung nicht beruehrt. > > (2) Im Innenverhaeltnis tragen Verantwortlicher und Auftragsverarbeiter den Schaden im Verhaeltnis ihres jeweiligen Verschuldensanteils. Hat ein Auftragsverarbeiter den vollen Schadenersatz an einen Betroffenen geleistet, steht ihm gegen den Verantwortlichen ein Regressanspruch in Hoehe des Verschuldensanteils des Verantwortlichen zu (Art. 82 Abs. 5 DSGVO). > > (3) Die Haftung des Auftragsverarbeiters gegenueber dem Verantwortlichen aus oder im Zusammenhang mit diesem Vertrag, einschliesslich Regressansprueche nach Absatz (2), ist auf einen Betrag von [BETRAG] EUR pro Schadensfall und insgesamt auf [BETRAG] EUR pro Kalenderjahr begrenzt. Die Begrenzung gilt nicht bei Vorsatz und grober Fahrlaessigkeit sowie nicht fuer Schaeden aus der Verletzung des Lebens, des Koerpers oder der Gesundheit. > > (4) Der Auftragsverarbeiter haelt waehrend der Vertragslaufzeit eine Cyber-Haftpflichtversicherung mit einer Deckungssumme von mindestens [BETRAG] EUR pro Schadensfall und mindestens [BETRAG] EUR pro Versicherungsjahr vor. Der Versicherungsnachweis wird dem Verantwortlichen jaehrlich unaufgefordert vorgelegt. > > (5) DSGVO-Bussgelder, die einer Partei direkt durch eine Aufsichtsbehoerde auferlegt werden, traegt diese Partei selbst. Im Innenverhaeltnis besteht ein Erstattungsanspruch nur, soweit das Bussgeld auf einer schuldhaften Pflichtverletzung der anderen Partei beruht. > > (6) Der Auftragsverarbeiter haftet fuer das Verhalten seiner Sub-Auftragsverarbeiter in dem Umfang wie fuer eigenes Verhalten (Art. 28 Abs. 4 DSGVO)." ## Typische Drafting-Fehler - Vollstaendige Haftungsfreistellung des Auftragsverarbeiters – nicht zulaessig wegen Art. 82 Abs. 2 DSGVO. - Cap auch fuer Vorsatz und grobe Fahrlaessigkeit – AGB-rechtlich unwirksam (§ 309 Nr. 7 BGB). - Pauschale Uebernahme aller Aussenhaftungsrisiken – wirtschaftlich unrealistisch ohne Versicherung. - Bussgelder-Regress ohne Bezug zur konkreten Pflichtverletzung – Art. 83 DSGVO Sanktionscharakter spricht gegen pauschalen Regress. - Versicherungsnachweis nicht eingefordert. - Sub-AV-Haftung nicht thematisiert. ## Querverweise - `datenschutzrecht/skills/avv-cloud-und-subverarbeitung-art-28-iv/SKILL.md` - `datenschutzrecht/skills/dsr-schadensersatz-art82-spezial/SKILL.md` - `datenschutzrecht/skills/avv-audit-und-kontrollrechte/SKILL.md` ## Quellen Stand 06/2026 - Art. 82, Art. 28 Abs. 4, Art. 28 Abs. 10, Art. 83 DSGVO. - § 307, § 309 Nr. 7 BGB (AGB-rechtliche Schranken). - EuGH-Linie zu Art. 82 DSGVO: konkrete Aktenzeichen vor Zitat ueber curia.europa.eu verifizieren; keine Aktenzeichen aus dem Modellwissen. - Zitierweise: `../../../references/zitierweise.md`.