Der Einsatz von externen Dienstleistern und die Auslagerung bestimmter Prozesse ist für fast alle Unternehmen selbstverständlich. Dies kann verschiedenste Gründe haben, beispielsweise nicht ausreichende personelle Kapazitäten, Verbesserung von Arbeitsprozessen oder Sicherstellung der Verfügbarkeiten (z. B. durch Backups in externen Rechenzentren). Sofern personenbezogene Daten des Verantwortlichen in dessen Auftrag (weisungsgebunden) durch Dienstleister verarbeitet werden, handelt es sich um eine Auftragsverarbeitung im datenschutzrechtlichen Sinne.

Die Weitergabe der Daten des Verantwortlichen an den Auftragsverarbeiter als „verlängerten Arm“ des Verantwortlichen, benötigt regelmäßig keine gesonderte Rechtsgrundlage, der Abschluss eines Auftragsverarbeitungsvertrages schafft in den meisten Fällen eine ausreichende Basis hierfür. Dies ist den meisten Unternehmen bekannt und entsprechende Verträge werden abgeschlossen. Für viele ist die Thematik Datenschutz hinsichtlich der eingesetzten Dienstleister dann abgeschlossen. Den Verantwortlichen ist in diesem Fall jedoch nicht bewusst, welche Pflichten sie damit „übersehen“.

In einem aktuellen Urteil des OLG Dresden (Urteil vom 15. Oktober 2024, Az: 4 U 940/24) hat sich das Gericht mit den Kontrollpflichten der datenschutzrechtlich Verantwortlichen gegenüber den Auftragsverarbeitern auseinandergesetzt. Die Ergebnisse des Urteils sind für alle Verantwortlichen relevant, weshalb wir diese nachfolgend darstellen:

Hintergrund des Urteils

Im Mittelpunkt des Urteils stand ein Online-Musikstreamingdienst, welcher als Verantwortlicher einen externen Auftragsverarbeiter aus Israel eingesetzt hatte. Der Vertrag mit dem Auftragsverarbeiter wurde im Jahr 2019 beendet und der Auftragsverarbeiter kündigte per E-Mail an, dass die Daten des Verantwortlichen einen Tag nach Vertragsende gelöscht werden. Eine Bestätigung der Löschung durch den Auftragsverarbeiter erfolgte jedoch (vorerst) nicht. Ende des Jahres 2022 wurde der Auftragsverarbeiter Opfer eines Hackerangriffs, bei dem auch Kundendaten des Verantwortlichen betroffen waren. Der Verantwortliche meldete dies der französischen Aufsichtsbehörde und informierte über seine Webseite auch die Betroffenen. Erst im Jahr 2023 bestätigte der Auftragsverarbeiter per E-Mail dem Verantwortlichen die Löschung der Daten.  Der Kläger als Nutzer des Streamingdienstes begehrte „die Zahlung von Schadensersatz, Auskunft, Unterlassung und die Feststellung der Einstandspflicht für künftige Schäden wegen der behaupteten Verletzung von Datenschutzvorschriften infolge eines Hacking-Angriffs auf Kundendaten der Beklagten“.

Entscheidung des Gerichts

Die Berufungsklage wurde zwar als unbegründet zurückgewiesen, jedoch nur, da dem Kläger kein kausaler Schaden entstanden ist bzw. dies nicht glaubhaft machen konnte.

Allerdings stellte das Gericht fest, dass der Verantwortliche auf Grund der Datenschutzverletzung dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet ist. Der Verantwortliche hat nach Aussage des Gerichts gegen seine „aus der DSGVO resultierenden Pflichten zur Überwachung“ seines externen Dienstleisters verstoßen.

Das Gericht führt aus, dass neben der sich unmittelbar aus Art 28 Abs. 1 DSGVO ergebenden „Pflicht zur sorgfältigen Auswahl“ der Auftragsverarbeiter, im Anschluss auch die (nicht ausdrücklich im Gesetz stehende) „Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters“ besteht.

Art. 28 Abs. 3 lit. h DSGVO setze eine dauerhafte „Kontrollpflicht“ voraus, welche auch die ordnungsgemäße Datenlöschung umfasst.

Bevor viele Unternehmen nun in Panik geraten hinsichtlich dieser Aussagen, sei darauf hingewiesen, dass das Gericht diese Aussagen auch wieder etwas entschärft hat:

„Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-Ort-Kontrolle erforderlich wäre.“

Das Gericht stellt jedoch auch klar, dass höhere Anforderungen bei großen Datenmengen oder sensiblen Daten gelten. Diese gesteigerten Kontrollpflichten gelten laut Gericht nicht nur für die Verarbeitung von personenbezogenen Daten nach Art. 9, 10 DSGVO.

Im vorliegend verhandelten Fall wäre laut Gericht aufgrund der großen Datenmengen

  • die Überwachung der tatsächlichen Löschung und
  • eine schriftliche Bestätigung einer tatsächlich durchgeführten Löschung notwendig gewesen. Diese müsse eine detaillierte Auflistung der gelöschten Daten enthalten.

Die bloße Ankündigung der Löschung reiche nicht, insbesondere da es „allgemein bekannt [ist], dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können“.

Der Verantwortliche hätte zuvor auch von seinem vertraglichen Wahlrecht Gebrauch machen müssen (dieses ist auch gesetzlich festgelegt in Art. 28 Abs. 3 lit. g DSGVO – „nach Wahl des Verantwortlichen entweder löscht oder zurückgibt“).

Erfolgt die Sicherstellung der Löschung nicht, stelle dies eine Kontrollpflichtverletzung des Verantwortlichen dar. Anders wäre dies nur im Fall eines Auftragsverarbeiterexzesses (Art. 82 Abs. 3 DSGVO). Dieser wäre anzunehmen, wenn der Auftragsverarbeiter Daten nicht löscht, um sie zu verkaufen oder zu eigenen Zwecken zu nutzen. Das Vergessen des Löschens verbunden mit der fehlenden Kontrolle durch den Verantwortlichen erfüllt diese Voraussetzungen jedoch nicht.

Fazit

Verantwortliche sollten aus dem Urteil insbesondere mitnehmen, dass neben dem Abschluss entsprechender Auftragserarbeitungsverträge zur Haftungsminimierung auch die Pflichten der Auswahl der Dienstleister, sowie deren Kontrolle- und Überwachung von Bedeutung sind. Insbesondere bei kritischen Datenverarbeitungen sollten Unternehmen entsprechende Prozesse zur Überwachung einführen.

 

Anmerkung der Redaktion: An zwei Stellen hatte sich ein Tippfehler bei einer Zahl eingeschlichen, wir haben dies korrigiert.