Haftung des Verantwortlichen für Fehler von Auftragsverarbeitern: Einblicke aus dem OLG Dresden
Das Oberlandesgericht (OLG) Dresden hat am 15. Oktober 2024 (Az. 4 U 940/24) eine wichtige Entscheidung getroffen, die die Haftung von Verantwortlichen für Fehler ihrer Auftragsverarbeiter beleuchtet. Das Urteil klärt, welche Kontrollpflichten Unternehmen haben, um sicherzustellen, dass Auftragsverarbeiter – beispielsweise bei der Datenlöschung – ihre Verpflichtungen ordnungsgemäß erfüllen. Der Beitrag zeigt die wesentlichen Inhalte des Urteils, die praktischen Auswirkungen für Unternehmen und gibt Handlungsempfehlungen.
Der Fall: Ein Streamingdienst, ein Datenleck und eine verspätete Löschungsbestätigung
Ein Online-Musikstreamingdienst beauftragte einen externen Auftragsverarbeiter aus Israel, der für das Unternehmen personenbezogene Daten verarbeitete. Der Vertrag mit dem Dienstleister lief zum 1. Dezember 2019 aus.
Der Auftragsverarbeiter teilte per E-Mail mit, dass die Daten am 30. November 2019 gelöscht würden. Eine tatsächliche Bestätigung über die Löschung folgte jedoch erst im Februar 2023 – und das auch erst nach Bekanntwerden eines Datenlecks, bei dem Kundendaten des Streamingdienstes betroffen waren.
Ein betroffener Kunde klagte auf Schadenersatz gemäß Art. 82 DSGVO, da seine personenbezogenen Daten durch den Datenhacker offengelegt worden waren.
Das Urteil: Haftung des Verantwortlichen trotz fehlerfreiem Verhalten des Auftragsverarbeiters
Das OLG Dresden entschied, dass der Streamingdienst grundsätzlich haftbar ist, weil er seine Kontrollpflichten nach Art. 28 DSGVO nicht ausreichend erfüllt hat. Die zentralen Punkte des Urteils:
- Pflicht zur Überwachung
- Verantwortliche müssen nicht nur ihre Auftragsverarbeiter sorgfältig auswählen, sondern auch deren Tätigkeiten kontrollieren.
- Diese Pflicht umfasst insbesondere die Überprüfung, ob zugesicherte Maßnahmen – wie die Löschung von Daten – tatsächlich umgesetzt wurden.
- Mangelhafte Löschbestätigung
- Die reine Ankündigung des Auftragsverarbeiters, dass Daten gelöscht würden, reicht nicht aus.
- Verantwortliche müssen eine detaillierte Bestätigung einholen, die dokumentiert, welche Daten in welchem Umfang gelöscht wurden.
- Haftungsumfang nach Art. 82 DSGVO
- Verantwortliche haften auch für Verstöße von Auftragsverarbeitern, wenn diese gegen Weisungen verstoßen.
- Eine Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO greift nur, wenn der Verantwortliche keinerlei Fahrlässigkeit trifft.
Risikobasierte Kontrollpflichten: Was Unternehmen beachten müssen
Das Gericht betont, dass die Kontrollpflichten risikobasiert ausgestaltet sein können. Die Anforderungen hängen von der Art und dem Umfang der Datenverarbeitung ab:
- Standardfälle
- Bei bewährten und etablierten IT-Dienstleistern reicht es aus, auf deren Fachwissen und Zuverlässigkeit zu vertrauen.
- Regelmäßige Überprüfungen und Stichproben sind ausreichend.
- Hohe Risiken
- Werden sensible Daten oder große Datenmengen verarbeitet, steigen die Anforderungen an die Überwachung.
- In solchen Fällen sind detaillierte Prüfungen und zusätzliche Maßnahmen erforderlich, um sicherzustellen, dass die Datenverarbeitung DSGVO-konform abläuft.
Im vorliegenden Fall betraf die Datenverarbeitung große Datenmengen, die bei einem Verlust Millionen von Nutzern schaden könnten. Deshalb hätte der Streamingdienst eine aussagekräftige Löschbestätigung anfordern müssen.
Anforderungen an die Löschbestätigung
Nach Auffassung des OLG Dresden muss eine Löschbestätigung folgende Punkte enthalten:
- Eine ausdrückliche schriftliche Erklärung, dass die Löschung erfolgt ist.
- Eine detaillierte Auflistung der gelöschten Daten.
- Den Nachweis, wann und wie die Löschung durchgeführt wurde.
Die bloße Ankündigung einer Datenlöschung genügt nicht, da diese noch keine Garantie für die tatsächliche Umsetzung darstellt.
Praktische Empfehlungen für Unternehmen
Das Urteil verdeutlicht, dass Verantwortliche aktiv die Einhaltung der DSGVO durch ihre Auftragsverarbeiter kontrollieren müssen. Folgende Maßnahmen helfen Unternehmen, ihre Pflichten zu erfüllen:
- Sorgfältige Auswahl von Auftragsverarbeitern
- Prüfen Sie vor der Beauftragung die technischen und organisatorischen Maßnahmen der Dienstleister.
- Dokumentieren Sie die Auswahlkriterien.
- Vertragliche Regelungen
- Stellen Sie sicher, dass Verträge nach Art. 28 Abs. 3 DSGVO klare Vorgaben zur Löschung personenbezogener Daten enthalten.
- Kontinuierliche Überwachung
- Führen Sie regelmäßige Audits oder Stichproben durch, insbesondere bei sensiblen oder umfangreichen Datenverarbeitungen.
- Fordern Sie aussagekräftige Berichte und Bestätigungen ein.
- Prozesse zur Löschkontrolle
- Entwickeln Sie standardisierte Verfahren, um Löschbestätigungen einzuholen und zu prüfen.
- Risikobasierter Ansatz
- Passen Sie den Umfang der Kontrollen an die Sensibilität und den Umfang der verarbeiteten Daten an.
Das Urteil des OLG Dresden zeigt, wie wichtig eine aktive Überwachung von Auftragsverarbeitern ist. Verantwortliche müssen sicherstellen, dass ihre Dienstleister die Vorgaben der DSGVO erfüllen, und dürfen sich nicht auf bloße Ankündigungen verlassen.
Für Unternehmen ist es essenziell, Kontrollprozesse zu implementieren, um Haftungsrisiken zu minimieren. Durch eine risikobasierte Herangehensweise können Verantwortliche sicherstellen, dass sie sowohl rechtlich als auch organisatorisch gut aufgestellt sind.
Mit einer klaren Dokumentation und regelmäßigen Kontrollen schützen Unternehmen nicht nur sich selbst, sondern auch die Daten ihrer Kunden.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
