Haften Verantwortliche für Datenpannen bei ehemaligen Auftragsverarbeitern? Darüber hatte das Oberlandesgericht (OLG) Dresden zu entscheiden. Der Richterspruch macht klar, dass die Kontrollpflichten Verantwortlicher bei der Auftragsverarbeitung sehr genau genommen werden sollten (Urteil vom 15. Oktober 2024, Az.: 4 U 940/24).
Der Fall
Im gegenständlichen Fall hatte der Auftragsverarbeiter eines Musikstreaming-Anbieters vertraglich zugesichert, alle gespeicherten personenbezogenen Daten nach Auftragsbeendigung umgehend zu löschen. Der Verpflichtung kam der Auftragsverarbeiter vorerst nicht nach. Eine entsprechende Löschbestätigung legte er erst Jahre später auf Nachfrage des Verantwortlichen vor.
In der Zwischenzeit war es bei dem Auftragsverarbeiter jedoch zu einem Hackerangriff gekommen, bei dem personenbezogene Daten abflossen.
Der Kläger, ein Kunde des Musikstreaming-Anbieters, machte gegen diesen Schadensersatzansprüche gem. Art. 82 DSGVO geltend, da seine personenbezogenen Daten von dem Hackerangriff betroffen waren. Das beklagte Unternehmen argumentierte, dass es keine Kontrolle über die Datenverarbeitung des Auftragsverarbeiters nach Vertragsende gehabt habe und daher nicht haftbar sei.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
In seinem Urteil betonte das OLG Dresden, dass sich der Verantwortliche nur dann von der Haftung freisprechen kann, wenn er nachweisen kann, dass ihn keinerlei Verschulden trifft. In diesem Fall hatte die Beklagte ihre Kontrollpflichten verletzt, indem sie die Löschung der Daten durch den Auftragsverarbeiter nicht rechtzeitig überprüfte.
Das OLG sah den Pflichtverstoß insbesondere darin, dass keine Bestätigung der Löschung eingeholt wurde, obwohl dies vertraglich vorgesehen war. Damit war es der Beklagten auch nicht möglich, sich gem. Art. 82 Abs. 3 DSGVO von der Haftung zu befreien, obwohl der eigentliche Datenschutzvorfall durch den Dienstleister ausgelöst wurde.
Allerdings wurde dem Kläger trotz Pflichtverletzung des Verantwortlichen kein Schadensersatz zugesprochen, da ein tatsächlicher, ersatzfähiger Schaden letztlich nicht nachgewiesen werden konnte.
Datenschutzrechtliche Einschätzung
Die Verteilung der Aufgaben und Pflichten zwischen Verantwortlichen und Auftragsverarbeitern wird durch die Datenschutz-Grundverordnung (DSGVO) klar geregelt. Der Auftragnehmer ist dabei an die Vorgaben und Anweisungen des Auftraggebers gebunden. Die rechtliche Grundlage für die Verarbeitung obliegt dem Auftraggeber, der die Verantwortung für den gesamten Prozess, einschließlich der Tätigkeiten des Auftragsverarbeiters, sowie die daraus resultierenden rechtlichen Konsequenzen trägt.
Gemäß Art. 28 Abs. 1 DSGVO dürfen Verantwortliche nur Dienstleister beauftragen, die nachweislich hinreichend Garantien dafür bieten, geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten durchzuführen. Der Verantwortliche muss nicht nur die Auswahl des Auftragsverarbeiters sorgfältig vornehmen, sondern auch dessen Tätigkeiten kontinuierlich überprüfen.
Die Entscheidung des OLG zeigt, dass eine Pflichtverletzung durch den Auftragsverarbeiter nicht zur Enthaftung des Verantwortlichen führt, wenn dieser seine Kontrollpflichten aus Art. 28 Abs. 1 DSGVO verletzt hat.
Daneben ergibt sich die verletzte Überwachungspflicht aus Art. 28 Abs. 3 lit. g) und h) DSGVO, die die Löschung durch den Auftragsverarbeiter explizit regeln. Gleichsam aus den allgemeinen Vorgaben, insbesondere aus dem Grundsatz der Datenminimierung und Speicherbegrenzung gem. Art. 5 DSGVO.
Handlungsempfehlungen für Verantwortliche
Verlässt ein Auftragsverarbeiter die Grenzen der ihm erteilten Weisungen oder endet das Auftragsverarbeitungs-Verhältnis, muss der Verantwortliche auch dann seinen Kontrollpflichten nachkommen. Das Gericht räumt allerdings ein, dass die Anforderungen an die Überwachung nicht zu weit gehen dürfen. Während bei etablierten und als zuverlässig bekannten Anbietern auf deren Rechtschaffenheit vertraut werden darf, erhöhen sich dennoch die Anforderungen an den Auftragsverarbeiter bei besonders sensiblen oder umfangreichen Datenmengen.
Für die Praxis bedeutet das konkret, dass Verantwortliche verpflichtet sind, folgende Maßnahmen zu gewährleisten:
- eine fortlaufende Überprüfung und Überwachung eingesetzter Auftragsverarbeiter;
- eine Kontrolle vertraglich vereinbarter Vorgaben zu Datenlöschung und weiteren Sicherheitsmaßgaben sowie
- die ordnungsgemäße Dokumentation der Datenlöschung, auch nach Vertragsbeendigung.
Die Erkenntnis aus diesem Fall ist eindeutig: Wer die Kontrolle über kritische Datenverarbeitungsprozesse nicht wahrnimmt, erhöht sein Haftungsrisiko erheblich. Verantwortliche sollten daher bereits bei Vertragsschluss klare Regelungen zur Dokumentation und Überwachung der Auftragsverarbeitung treffen. Schließlich können die Konsequenzen von Nachlässigkeiten noch Jahre später zu rechtlichen und finanziellen Belastungen führen.
Fazit
Das Haftungsrisiko Verantwortlicher für Datenschutzverstöße eingesetzter Auftragsverarbeiter ist in der Praxis nicht zu unterschätzen. Allerdings können Unternehmen durch sorgfältige Auswahl, klare vertragliche Vereinbarungen und konsequente Kontrollmaßnahmen ihr Haftungsrisiko minimieren.
Wie der Fall des OLG Dresden zeigt, ist dabei entscheidend, diese Verpflichtungen nicht nur vertraglich, sondern auch praktisch umzusetzen. Wer die Kontrolle vernachlässigt, kann im Schadensfall schnell zur Verantwortung gezogen werden.
