1. Aktuelle Seite:  
  2. Prinz-Blog
  3. Aktuelles Urteil des Landgerichts Lübeck

Aktuelles Urteil des Landgerichts Lübeck

Daten von Unterauftragsverarbeiter fanden sich im Darknet wieder

Vor dem Landgericht Lübeck wurde am 4. Oktober 2024 über ein Verfahren (15 O 216/23) entschieden, dessen Beklagte in Europa eine Streaming-Plattform betreibt. Kläger war ein Verbraucher. Die Beklagte stand bis zum Ende des Jahres 2020 in einem vertraglichen Verhältnis zu einem weiteren Unternehmen, einem Dienstleister, der Kundenverwaltungsdienste anbietet. Der beklagte Dienstleister hat eine Tochtergesellschaft mit Unternehmenssitz in Israel. Diese Tochtergesellschaft bot Dienste an, die die Beklagte nutzte. Zwischen dem Dienstleister, der Kundenverwaltungsdienste anbot, und der Beklagten wurde eine Auftragsverarbeitungsvereinbarung geschlossen. Diese Vereinbarung umfasst auch die organisatorischen und technischen Maßnahmen, die zum Schutz der übermittelten Daten getroffen wurden.

Die Beziehungen zum Unterauftragsverarbeiter

Auch eine eventuelle Datenverarbeitung durch Unterauftragnehmer wurde vom Grundsatz her geregelt: Die Beklagte hatte den Anbieter ermächtigt, die in Anlage Nummer 4 genannten Unterauftragsverarbeiter zu ernennen. Diesen Unterauftragsverarbeitern wurde wiederum gestattet, nach einer schriftlichen Information der Beklagten, weitere Unterauftragsverarbeiter zu benennen. Allerdings unter der Voraussetzung, dass diese Unterauftragsverarbeiter bestimmte Verpflichtungen einhalten. Zudem musste der Anbieter dem Unternehmen zuvor die Ernennung des weiteren Unterauftragsverarbeiters samt der zugehörigen Einzelheiten schriftlich anzeigen. Sofern die Beklagte innerhalb einer Frist von 10 Arbeitstagen, nachdem sie die Information erhalten hat, Einwände dagegen erhebt, darf der Unterauftragsverarbeiter nicht ernannt werden. Dann dürfen auch keine personenbezogenen Daten von der Beklagten an den Unterauftragsverarbeiter weitergegeben werden. Eine Ausnahme war möglich, wenn das inzwischen beklagte Unternehmen schriftlich zugestimmt hätte.

Während der Zusammenarbeit des beklagten Unternehmens mit dem Anbieter der Kundenverwaltungsdienste und der Tochtergesellschaft in Israel wurden Kundendaten an letztere übergeben. Diese Zusammenarbeit soll zum 30.11.2020 beendet worden sein, was der Kläger allerdings infrage stellt. Zumindest informierte die Tochtergesellschaft die Beklagte am 1.12.2020 darüber, dass alle Daten der Beklagten gelöscht worden seien.

Zugriff von unbefugten Dritten

Zu einem Zeitpunkt, über den die Beteiligten uneins sind, kam es bei der Tochtergesellschaft zu einem Zugriff von unbefugten Dritten auf Kundendaten der Beklagten aus dem Jahre 2019. Es waren vielfältige personenbezogene Daten betroffen: beispielsweise Vorname, Nachname, Geburtsdatum, E-Mail-Adresse, Sprache und Geschlecht. Die Klägerseite trug vor, Sorgen und Ängste gehabt und somit einen immateriellen Schaden erlitten zu haben. Zudem wurden die Daten des Klägers im Darknet verbreitet, worin eine Verletzung des Persönlichkeitsrechts gesehen wurde: Das Recht auf die informationelle Selbstbestimmung zu verletzen, ist nach Art. 82 Datenschutzgrundverordnung ein eigenständiger Schaden. Das Urteil lautete auf Schadensersatz in Höhe von 350 Euro wegen des immateriellen Schadens. Darüber hinaus wurde die Klage aber abgewiesen. Die Kosten des Rechtsstreits musste der Kläger tragen.

Vielfältige Perspektiven

Die Perspektiven auf diesen Rechtsstreit sind vielfältig. So folgte das Gericht beispielsweise der Auffassung der Beklagten nicht, die mit Nichtwissen das Auftauchen der Daten im Darknet bestreiten wollte. Vielmehr wurde es als offenkundig angesehen, dass das international agierende Unternehmen sehr wohl die diesbezüglichen Informationen prüfen könne. Von größerer Bedeutung ist wohl aber die Haltung des Gerichts gegenüber dem für die Datenverarbeitung Verantwortlichen. Zugrunde gelegt wird Art. 28 Datenschutzgrundverordnung, der vorschreibt, dass zum einen zwischen Verantwortlichem und Auftragsverarbeiter ein Verarbeitungsvertrag hätte geschlossen werden müssen als auch zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter. Ein anderes Rechtsinstrument wäre eine rechtlich akzeptierte Alternative. Nun wurde im vorliegenden Fall aber mit dem Unterauftragsverarbeiter keine Vereinbarung geschlossen. Damit, so das Gericht, sei auch die Datenübermittlung vom Verantwortlichen an den Unterauftragsverarbeiter rechtswidrig. Außerdem war das Gericht der Meinung, dass die Datenschutzverpflichtungen nicht wirksam übertragen wurden. Es folgte auch nicht der Meinung, dass der Auftragsverarbeitungsvertrag mit dem Auftragsverarbeiter für weitere Unternehmen im Konzernverbund Gültigkeit besitze, denn bei diesen Unternehmen handle es sich nach europäischem und deutschem Recht um eigenständige Rechtspersönlichkeiten.

Beteiligung der Verantwortlichen

Mangelt es an dem laut Datenschutzgrundverordnung nötigen Vertrag zwischen Auftragsverarbeiter und Unterauftragsverarbeiter und gibt der Verantwortliche dennoch personenbezogene Daten an den Unterauftragsverarbeiter, so ist dies rechtswidrig und kann zu Schadensersatzansprüchen nach Art. 82 Datenschutzgrundverordnung führen. Dabei muss der Verantwortliche nicht einmal direkt daran mitgewirkt hat. Es ist hinreichend, wenn er an der Vorgangsreihe Anteil hatte, die schließlich die Schädigung zur Folge hatte. Die Schlussfolgerung hieraus ist, dass der Verantwortliche, der Daten rechtmäßig einem Dritten übermittelt, an der folgenden Verarbeitung beteiligt ist, selbst wenn diese entgegen seiner Weisung rechtswidrig durchgeführt wird.

Für die Zukunft

Das Urteil hat durchaus Signalwirkung. Es macht deutlich, dass Unternehmen immer sicherstellen müssen, dass ihre Vereinbarungen und Verträge rund um die Datenverarbeitung der Datenschutzgrundverordnung gerecht werden. Das kann sich auf das Verhältnis zu externen Auftragsverarbeitern beziehen, aber auch auf den Datenverkehr innerhalb eines Konzerns. Verstöße gegen die formalen Vorgaben der Datenschutzgrundverordnung können empfindliche Bußgelder zur Folge haben, aber es bestehen auch erhebliche Haftungsrisiken.

Wir helfen Ihnen, Risiken zu vermeiden

Kommen Sie gern auf uns zu, wenn Sie im Bereich der Auftragsdatenverarbeitung Risiken vermeiden möchten: Rufen Sie uns unter Telefon 09122 6937302 an oder senden Sie uns Ihre Nachricht. Wir freuen wir uns sehr auf Ihre Kontaktaufnahme!

Ihr Team von Datenschutz Prinz 

Quelle - Urteil des LG Lübeck



Gastbestellungen in Online-Shops: Datenschutzrecht...
30.000 Websites geprüft

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.