Oder auch: Vertrauen ist gut, Kontrolle ist besser. Das Landgericht und nun auch Oberlandesgericht Dresden sahen sich kürzlich mit der Frage konfrontiert, wer für eine Datenschutzpanne haftet, wenn der Vertrag mit dem Auftragsverarbeiter längst beendet wurde. Im vorliegenden Fall hatte die Beklagte, welche einen Musikstreamingdienst betreibt, den Vertrag mit einem in Israel ansässigen Auftragsverarbeiter bereits 2019 gekündigt. Dieser teilte mit, dass er die Daten, die er im Rahmen dieses Auftrags verarbeitet hatte, mit Inkrafttreten der Kündigung löschen würde. Der Vertrag sah zudem vor, dass der Auftragsverarbeiter die Löschung der Daten innerhalb von 21 Tagen nach Vertragsende schriftlich bestätigen sollte. Dies geschah jedoch erst auf Nachfrage im Jahr 2023. Unglücklicherweise war es in der Zwischenzeit allerdings zu einem Hackerangriff bei dem Auftragsverarbeiter gekommen, von dem auch Daten aus diesem bereits beendeten Dienstleistungsverhältnisses betroffen waren.

Ein Betroffener klagte nun auf Schadensersatz gemäß Artikel 82 DSGVO gegen die Betreiberin des Musikstreamingdienstes und führte an, dass sie ihre Kontrollpflichten verletzt habe, da sie nicht ausreichend nachgeprüft habe, ob der ehemalige Auftragsverarbeiter die personenbezogenen Daten nach Beendigung des Vertragsverhältnisses wirklich gelöscht hat. Das Landgericht Dresden gab dem Betroffenen bereits in seinem Urteil vom 04.06.2024 recht.

Die Berufung der Beklagten, mit welcher sie sich gegen dieses erstinstanzliche Urteil zu wehren versuchte, wies das Oberlandesgericht mit seinem Urteil vom 15.10.2024 zum Aktenzeichen 4 U 940/24 nun zurück und führte darin aus, dass die Beklagte gemäß der DSGVO gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen habe. Im Detail heißt es im bezeichneten Urteil mit Bezug auf Artikel 28 Absatz 1 DSGVO: „Dieser [der Verantwortliche] darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen.“

Insbesondere habe sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von dem Auftragsverarbeiter die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei ihm vorhandenen Datensätze angefordert hat.

Darüber hinaus kommt im Urteil zum Tragen, dass im Falle eines Datenschutzvorfalls die Beweislast für die Einhaltung der DSGVO immer beim Verantwortlichen liegt. Dies sieht das Gericht auch mit Hinblick auf den Artikel 32 (die Sicherheit der Verarbeitung der personenbezogenen Daten) als nicht hinreichend dargelegt.

Zusammenfassend lässt sich also wieder einmal feststellen, dass die Sache mit der Verantwortung ein zweischneidiges Schwert ist: Denn damit, dass ein Auftragsverarbeiter absolut weisungsgebunden gegenüber seinem Auftraggeber ist geht eben auch einher, dass der Auftraggeber vollumfänglich für ihn haftet.

Quellenangaben:

  • OLG Dresden 4. Zivilsenat, Urteil vom 15.Oktober 2024 , Az: 4 U 940/24, abgerufen am 21.11.2024 unter: https://www.juris.de/static/infodienst/autoren/D_NJRE001589973.htm
  • Artikel „OLG Dresden: Haftung bei Exzess des Auftragsverarbeiters“, abgerufen am 21.11.2024 unter: https://www.datenschutzticker.de/2024/11/olg-dresden-haftung-bei-exzess-des-auftragsverarbeiters/
  • Artikel „Wann haften Verantwortliche für ihre Auftragsverarbeiter?“, abgerufen am 21.11.2024 unter: https://www.dr-datenschutz.de/wann-haften-verantwortliche-fuer-ihre-auftragsverarbeiter/

Autorin:

Merle Fraaß [MF], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)