Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?

Bird & Bird
11/11/2020
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
Bird & Bird logo
Under og efter høringen om den nye offentlige standardkontrakt, K04, blev det diskuteret, om K04’s ansvarsmaksimering skulle omfatte skadesløsholdelse for tredjemands databeskyttelsesretlige krav.

Resultatet blev – efter mere end 2 års betænkningstid - en ”til- og fravalgsmodel”. Dvs. at parterne ved udfyldningen af kontrakten skal vælge, om kontraktens erstatningsmaksimering skal omfatte krav fra tredjemand vedrørende overtrædelse af databeskyttelseslovgivningen (dvs. Databeskyttelsesforordningen samt databeskyttelsesloven) i en situation, hvor leverandøren optræder som databehandler.


Der er tale om en central og vanskelig problemstilling, som parterne bør forholde sig til ved indgåelse af enhver form for it-kontrakt, hvor der foreligger en databehandler-konstellation, dvs. navnlig drifts- og hostingkontrakter samt kontrakter om cloud-ydelser.


Emnet har endvidere ikke tidligere været reguleret i en typisk dansk it-kontrakt til et niveau, som navnlig indførelsen af GDPR har skabt behov for.

 

Baggrundsretten

Artikel 82, stk. 1[1] i Databeskyttelsesforordningen (”GDPR”) bestemmer, at enhver der har lidt materiel eller immateriel skade som følge af overtrædelse af GDPR, kan kræve erstatning for den forvoldte skade fra enten den dataansvarlige eller databehandleren.


Hvor den dataansvarlige altid vil hæfte for tab, der er forvoldt af en behandling af personoplysninger, der er i strid med GDPR, hæfter databehandleren kun for tab, der enten er lidt som følge af brud på forpligtelserne i GDPR rettet specifikt mod databehandlere, eller hvis databehandleren har handlet i strid med den dataansvarliges instruks.


Når reglerne i databeskyttelseslovgivningen overtrædes, kan de registrerede rette krav mod databehandleren, hvis overtrædelsen kan tilregnes databehandleren, eller mod den dataansvarlige enten som direkte ansvarlig eller i kraft af den dataansvarliges hæftelsesansvar for sine databehandlere.


Der vil ofte være mere end én berørt registreret, og disse kan gå sammen i et gruppesøgsmål og rejse ét samlet krav, hvilket kan løbe op i et betydeligt beløb.[2]


Overtrædelser af databeskyttelseslovgivningen kan derfor - udover en bøde på op til 4% af den globale koncernomsætning – i værste fald indebære, at der rejses et million- eller måske endda et milliardkrav fra de registrerede.


Spørgsmålet er herefter, om parterne kan og bør fordele denne risiko i kontrakten samt i givet fald hvordan?


Kan man lave aftaler om ansvarsbegrænsninger i relation til GDPR?

Af GDPR artikel 82, stk. 5 fremgår, at det er den, der er ansvarlig for overtrædelse af GDPR, som i sidste ende skal bære ansvaret. Hvis kravet rettes mod den dataansvarlige, men det er databehandleren, som er ansvarlig for overtrædelsen, kan den dataansvarlige dermed gøre regres mod databehandleren, efter at den dataansvarlige har betalt erstatning til de(n) registrerede.


Det fremgår ikke af bestemmelsen, om den kan fraviges ved aftale mellem den dataansvarlige og databehandleren. Dette har Justitsministeriet imidlertid taget stilling til i sin betænkning om Databeskyttelsesforordningen[3]. Det konkluderes heri, at der ikke er noget til hinder for at indgå sådanne aftaler[4], hvilket da også er den mest udbredte opfattelse.


Det står derfor som udgangspunkt parterne frit for at indgå en aftale om, at f.eks. en dataansvarligs mulighed for at gøre regres mod databehandleren for krav fra registrerede, er maksimeret til en aftalt ansvarsmaksimering, selvom disse krav skyldes databehandlerens manglende overholdelse af databehandleraftalen.


Aftaler, der helt fritager databehandleren for ansvar ved manglende overholdelse af sine forpligtelser, må dog forventes at blive fortolket indskrænkende eller muligvis helt tilsidesat af domstolene.


Det skal understreges, at ansvarsmaksimeringen ikke kan udstrækkes til bøder som enten en dataansvarlig eller en databehandler idømmes i medfør af GDPR artikel 83 og databeskyttelseslovens § 41, fordi straffelovens § 50, stk. 3 fastsætter, at den der har modtaget bøden, ikke kan kræve bøden betalt eller erstattet af andre.


Kontraktens ansvarsbegrænsning

En it-kontrakt vil sædvanligvis indeholde en beløbsmæssig begrænsning af leverandørens eller begge parters ansvar, men det er (afhængig af ordlyden) ikke givet, en sådan ansvarsbegrænsning også vil gælde for et krav på skadesløsholdelse for krav rejst af registrerede i henhold til GDPR - snarere tværtimod.


Et krav på skadesløsholdelse er nemlig ikke det samme som krav på erstatning. Bestemmelser om skadesløsholdelse af krav fra tredjemand for krænkelse af tredjemands rettigheder eller – som i dette tilfælde – overtrædelse af GDPR vil derfor som udgangspunkt ikke være omfattet af kontraktens erstatningsmaksimering.


Ønsker man sikkerhed for at denne type af krav skal – eller ikke skal – være omfattet af kontraktens beløbsmæssige ansvarsbegrænsning, bør man regulere det eksplicit i kontrakten.


Hidtil har danske it-kontrakter som hovedregel kun haft skadesløsholdelsesvilkår for én ting, nemlig leverandørens immaterialretskrænkelser. I en situation, hvor leverandøren ikke har sikret sig tilstrækkelige rettigheder til det, der leveres, er det kun rimeligt, at kunden skal skadesløsholdes uden maksimering.


Situationen er mere kompleks for krav fra datasubjekter. Databehandleren kan med en vis rimelighed hævde, at en risiko, som kan overstige kontraktens samlede omsætning med en ukendt faktor, ikke skal placeres hos databehandleren.


Er kontraktgrundlaget K04 vil ”tilvalgsmuligheden” indebære, at ansvarsbegrænsningen ikke gælder for tredjemandskrav vedrørende overtrædelse af databeskyttelseslovgivningen. Det følger således direkte af den tilvalgte bestemmelse, at erstatningsmaksimeringen ikke gælder for pligten til at skadesløsholde den anden part for sådanne krav.


Mødes den dataansvarlige (kunden) af et stort økonomisk krav fra de registrerede, som databehandleren (leverandøren) er ansvarlig for, vil leverandøren således være forpligtet til at friholde kunden fra sådanne krav, også selvom de overstiger erstatningsloftet.


Benytter man K04 som kontraktskabelon må fravalget af at indsætte en sådan bestemmelse omvendt - ud fra en formålsfortolkning – indebære, at ansvarsbegrænsningen gælder for sådanne krav. Parterne har jo fravalgt at indsætte en formulering om, at den ikke gælder.

 

Hvad er tendensen?

Der har endnu ikke dannet sig en praksis på dette område, og det er et emne, der ofte fylder meget i kontraktforhandlingerne.


Det er heller ikke muligt entydigt at pege på, hvad der bør gælde. Det afhænger af de konkrete omstændigheder, og der er gode argumenter for både et synspunkt om, at pligten til at skadesløsholde for denne type af krav skal være maksimeret og det modsatte.


Skal man pege på en tendens, er det nok at aftale et særligt ansvarsloft (et ’’super cap’’) for denne type af krav eller brud på GDPR i øvrigt, som typisk er højere end det almindelige erstatningsloft.


Der er dog også set flere eksempler på navnlig offentlige kontrakter, der har været udbudt med et vilkår om, at kontraktens erstatningsloft ikke gælder for denne type krav – ad modum ”tilvalgsmodellen” i K04.


En endnu mere udbredt tendens er, at kontrakten slet ikke forholder sig til, hvordan denne type af krav skal reguleres.


Anbefaling

Vores væsentligste budskab er, at kontrakten bør indeholde en regulering af, om skadesløsholdelse for tredjemands databeskyttelsesretlige krav skal være omfattet af kontraktens beløbsmæssige ansvarsbegrænsning, eller om der eventuelt skal gælde et andet ansvarsloft for denne type af GDPR-relaterede krav.


Parterne bør også undersøge, om ansvaret helt eller delvist er eller kan afdækkes forsikringsmæssigt.


[1] Databeskyttelseslovens § 40 gennemfører ordret GDPR artikel 82, stk. 1


[2] Et eksempel herpå er Mariott-sagen, der verserer ved London High Court, og hvor det samlede krav mod hotelkæden lyder på 9,5 mia. britiske pund.


[3] Justitsministeriets betænkning nr. 1565 om Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning


[4] Se betænkningens side 916: ’’Det kan ikke antages, at forordningens artikel 82, stk. 5 ændrer på muligheden for [..] at indgå aftaler om den efterfølgende ansvarsfordeling mellem flere erstatningsansvarlige.’’


Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted