Wann haften Verantwortliche für ihre Auftragsverarbeiter?

Verantwortlicher:

Die Organisation, die entscheidet, warum und wie personenbezogene Daten verarbeitet werden.

Auftragsverarbeiter:

Ein externer Dienstleister, der Daten im Auftrag des Verantwortlichen verarbeitet (z. B. IT-Services, Cloud-Anbieter).

Pflichten des Verantwortlichen:

• Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die ausreichend Garantien bieten, dass sie die Anforderungen der DSGVO erfüllen (Art. 28 Abs. 1 DSGVO).
• Er muss sicherstellen, dass der Auftragsverarbeitungsvertrag festlegt, wie die Verarbeitung erfolgt und dass der Auftragsverarbeiter Nachweise zur Einhaltung seiner Pflichten liefert (Art. 28 Abs. 3 S. 2 lit. h DSGVO).

2. Wann haftet der Verantwortliche für seinen Auftragsverarbeiter?

Nach Art. 82 DSGVO haftet der Verantwortliche auch für Schäden, die durch Fehler des Auftragsverarbeiters entstehen, es sei denn, er kann nachweisen, dass er nicht verantwortlich ist. Das bedeutet, der Verantwortliche muss darlegen:

• Er hat den Auftragsverarbeiter sorgfältig ausgewählt.
• Er hat die Einhaltung der DSGVO-Anforderungen regelmäßig kontrolliert.

3. Beispielhaftes Urteil des OLG Dresden (Az.: 4 U 940/24); Sachverhalt:

Ein Musikstreamingdienst (Verantwortlicher) hatte einen israelischen Auftragsverarbeiter beauftragt. Nach Vertragsende sollte der Auftragsverarbeiter die gespeicherten Daten löschen und dies innerhalb von 21 Tagen bestätigen. Dies geschah jedoch erst nach Jahren und nur auf Nachfrage. Zwischenzeitlich kam es zu einem Hackerangriff, bei dem Daten entwendet wurden. Ein Nutzer des Streamingdienstes klagte auf Schadensersatz.

Entscheidung des Gerichts:

• Der Verantwortliche habe seine Kontrollpflicht verletzt, da er die Löschung der Daten nicht rechtzeitig überprüft habe.
• Eine bloße Mitteilung des Auftragsverarbeiters, die Daten zu löschen, reiche nicht aus. Eine schriftliche Bestätigung und eine Auflistung der gelöschten Daten seien erforderlich.
• Das Gericht stellte fest, dass der Verantwortliche nicht von seiner Haftung befreit sei, weil er seinen Kontrollpflichten nicht nachgekommen ist.

4. Wie können Verantwortliche Haftungsrisiken minimieren? 

(a) Sorgfältige Auswahl des Auftragsverarbeiters:

• Prüfen Sie, ob der Dienstleister hinreichende Garantien für den Datenschutz bietet.
• Dokumentieren Sie die Auswahlkriterien und prüfen Sie Zertifizierungen oder Audits.

(b) Abschluss eines rechtskonformen Auftragsverarbeitungsvertrags:

• Stellen Sie sicher, dass der Vertrag detailliert regelt, wie der Dienstleister personenbezogene Daten verarbeitet.
• Verlangen Sie Nachweise über die Einhaltung der DSGVO (z. B. regelmäßige Berichte oder Prüfungen).

(c) Regelmäßige Kontrollen durchführen:

• Überprüfen Sie die Einhaltung der vertraglichen Pflichten, z. B. durch Audits.
• Verlangen Sie bei kritischen Vorgängen, wie der Datenlöschung, eine schriftliche Bestätigung.

(d) Risikomanagement etablieren:

• Identifizieren Sie, welche Daten besonders schutzwürdig sind (z. B. sensible Daten oder große Datenmengen).
• Entwickeln Sie Kontrollpläne für kritische Verarbeitungen.

(e) Dokumentation:

• Halten Sie alle Kontrollmaßnahmen schriftlich fest. Dies dient als Nachweis im Falle eines Rechtsstreits.

Verantwortliche tragen eine erhebliche Verantwortung bei der Zusammenarbeit mit Auftragsverarbeitern. Die DSGVO verlangt, dass Verantwortliche nicht nur bei der Auswahl, sondern auch bei der laufenden Überwachung ihrer Dienstleister sorgfältig vorgehen. Versäumnisse können zu Haftungsrisiken führen, insbesondere bei Datenpannen oder anderen Verstößen. Verantwortliche sollten daher klare Kontrollmechanismen etablieren und sicherstellen, dass sie alle Maßnahmen dokumentieren.

Merke: Wer seine Auftragsverarbeiter nicht kontrolliert, haftet im Zweifel für deren Fehler! 

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz