Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
Resultatet blev – efter mere end 2 års betænkningstid - en ”til- og fravalgsmodel”. Dvs. at parterne ved udfyldningen af kontrakten skal vælge, om kontraktens erstatningsmaksimering skal omfatte krav fra tredjemand vedrørende overtrædelse af databeskyttelseslovgivningen (dvs. Databeskyttelsesforordningen samt databeskyttelsesloven) i en situation, hvor leverandøren optræder som databehandler.
Der er tale om en central og vanskelig problemstilling, som parterne bør forholde sig til ved indgåelse af enhver form for it-kontrakt, hvor der foreligger en databehandler-konstellation, dvs. navnlig drifts- og hostingkontrakter samt kontrakter om cloud-ydelser.
Emnet har endvidere ikke tidligere været reguleret i en typisk dansk it-kontrakt til et niveau, som navnlig indførelsen af GDPR har skabt behov for.
Baggrundsretten
Artikel 82, stk. 1[1] i Databeskyttelsesforordningen (”GDPR”) bestemmer, at enhver der har lidt materiel eller immateriel skade som følge af overtrædelse af GDPR, kan kræve erstatning for den forvoldte skade fra enten den dataansvarlige eller databehandleren.
Hvor den dataansvarlige altid vil hæfte for tab, der er forvoldt af en behandling af personoplysninger, der er i strid med GDPR, hæfter databehandleren kun for tab, der enten er lidt som følge af brud på forpligtelserne i GDPR rettet specifikt mod databehandlere, eller hvis databehandleren har handlet i strid med den dataansvarliges instruks.
Når reglerne i databeskyttelseslovgivningen overtrædes, kan de registrerede rette krav mod databehandleren, hvis overtrædelsen kan tilregnes databehandleren, eller mod den dataansvarlige enten som direkte ansvarlig eller i kraft af den dataansvarliges hæftelsesansvar for sine databehandlere.
Der vil ofte være mere end én berørt registreret, og disse kan gå sammen i et gruppesøgsmål og rejse ét samlet krav, hvilket kan løbe op i et betydeligt beløb.[2]
Overtrædelser af databeskyttelseslovgivningen kan derfor - udover en bøde på op til 4% af den globale koncernomsætning – i værste fald indebære, at der rejses et million- eller måske endda et milliardkrav fra de registrerede.
Spørgsmålet er herefter, om parterne kan og bør fordele denne risiko i kontrakten samt i givet fald hvordan?
Kan man lave aftaler om ansvarsbegrænsninger i relation til GDPR?
Af GDPR artikel 82, stk. 5 fremgår, at det er den, der er ansvarlig for overtrædelse af GDPR, som i sidste ende skal bære ansvaret. Hvis kravet rettes mod den dataansvarlige, men det er databehandleren, som er ansvarlig for overtrædelsen, kan den dataansvarlige dermed gøre regres mod databehandleren, efter at den dataansvarlige har betalt erstatning til de(n) registrerede.
Det fremgår ikke af bestemmelsen, om den kan fraviges ved aftale mellem den dataansvarlige og databehandleren. Dette har Justitsministeriet imidlertid taget stilling til i sin betænkning om Databeskyttelsesforordningen[3]. Det konkluderes heri, at der ikke er noget til hinder for at indgå sådanne aftaler[4], hvilket da også er den mest udbredte opfattelse.
Det står derfor som udgangspunkt parterne frit for at indgå en aftale om, at f.eks. en dataansvarligs mulighed for at gøre regres mod databehandleren for krav fra registrerede, er maksimeret til en aftalt ansvarsmaksimering, selvom disse krav skyldes databehandlerens manglende overholdelse af databehandleraftalen.
Aftaler, der helt fritager databehandleren for ansvar ved manglende overholdelse af sine forpligtelser, må dog forventes at blive fortolket indskrænkende eller muligvis helt tilsidesat af domstolene.
Det skal understreges, at ansvarsmaksimeringen ikke kan udstrækkes til bøder som enten en dataansvarlig eller en databehandler idømmes i medfør af GDPR artikel 83 og databeskyttelseslovens § 41, fordi straffelovens § 50, stk. 3 fastsætter, at den der har modtaget bøden, ikke kan kræve bøden betalt eller erstattet af andre.
Kontraktens ansvarsbegrænsning
En it-kontrakt vil sædvanligvis indeholde en beløbsmæssig begrænsning af leverandørens eller begge parters ansvar, men det er (afhængig af ordlyden) ikke givet, en sådan ansvarsbegrænsning også vil gælde for et krav på skadesløsholdelse for krav rejst af registrerede i henhold til GDPR - snarere tværtimod.
Et krav på skadesløsholdelse er nemlig ikke det samme som krav på erstatning. Bestemmelser om skadesløsholdelse af krav fra tredjemand for krænkelse af tredjemands rettigheder eller – som i dette tilfælde – overtrædelse af GDPR vil derfor som udgangspunkt ikke være omfattet af kontraktens erstatningsmaksimering.
Ønsker man sikkerhed for at denne type af krav skal – eller ikke skal – være omfattet af kontraktens beløbsmæssige ansvarsbegrænsning, bør man regulere det eksplicit i kontrakten.
Hidtil har danske it-kontrakter som hovedregel kun haft skadesløsholdelsesvilkår for én ting, nemlig leverandørens immaterialretskrænkelser. I en situation, hvor leverandøren ikke har sikret sig tilstrækkelige rettigheder til det, der leveres, er det kun rimeligt, at kunden skal skadesløsholdes uden maksimering.
Situationen er mere kompleks for krav fra datasubjekter. Databehandleren kan med en vis rimelighed hævde, at en risiko, som kan overstige kontraktens samlede omsætning med en ukendt faktor, ikke skal placeres hos databehandleren.
Er kontraktgrundlaget K04 vil ”tilvalgsmuligheden” indebære, at ansvarsbegrænsningen ikke gælder for tredjemandskrav vedrørende overtrædelse af databeskyttelseslovgivningen. Det følger således direkte af den tilvalgte bestemmelse, at erstatningsmaksimeringen ikke gælder for pligten til at skadesløsholde den anden part for sådanne krav.
Mødes den dataansvarlige (kunden) af et stort økonomisk krav fra de registrerede, som databehandleren (leverandøren) er ansvarlig for, vil leverandøren således være forpligtet til at friholde kunden fra sådanne krav, også selvom de overstiger erstatningsloftet.
Benytter man K04 som kontraktskabelon må fravalget af at indsætte en sådan bestemmelse omvendt - ud fra en formålsfortolkning – indebære, at ansvarsbegrænsningen gælder for sådanne krav. Parterne har jo fravalgt at indsætte en formulering om, at den ikke gælder.
Hvad er tendensen?
Der har endnu ikke dannet sig en praksis på dette område, og det er et emne, der ofte fylder meget i kontraktforhandlingerne.
Det er heller ikke muligt entydigt at pege på, hvad der bør gælde. Det afhænger af de konkrete omstændigheder, og der er gode argumenter for både et synspunkt om, at pligten til at skadesløsholde for denne type af krav skal være maksimeret og det modsatte.
Skal man pege på en tendens, er det nok at aftale et særligt ansvarsloft (et ’’super cap’’) for denne type af krav eller brud på GDPR i øvrigt, som typisk er højere end det almindelige erstatningsloft.
Der er dog også set flere eksempler på navnlig offentlige kontrakter, der har været udbudt med et vilkår om, at kontraktens erstatningsloft ikke gælder for denne type krav – ad modum ”tilvalgsmodellen” i K04.
En endnu mere udbredt tendens er, at kontrakten slet ikke forholder sig til, hvordan denne type af krav skal reguleres.
Anbefaling
Vores væsentligste budskab er, at kontrakten bør indeholde en regulering af, om skadesløsholdelse for tredjemands databeskyttelsesretlige krav skal være omfattet af kontraktens beløbsmæssige ansvarsbegrænsning, eller om der eventuelt skal gælde et andet ansvarsloft for denne type af GDPR-relaterede krav.
Parterne bør også undersøge, om ansvaret helt eller delvist er eller kan afdækkes forsikringsmæssigt.
[1] Databeskyttelseslovens § 40 gennemfører ordret GDPR artikel 82, stk. 1
[2] Et eksempel herpå er Mariott-sagen, der verserer ved London High Court, og hvor det samlede krav mod hotelkæden lyder på 9,5 mia. britiske pund.
[3] Justitsministeriets betænkning nr. 1565 om Databeskyttelsesforordningen – og de retlige rammer for dansk lovgivning
[4] Se betænkningens side 916: ’’Det kan ikke antages, at forordningens artikel 82, stk. 5 ændrer på muligheden for [..] at indgå aftaler om den efterfølgende ansvarsfordeling mellem flere erstatningsansvarlige.’’