Die Auslagerung von Leistungen ist im Bereich des Datenschutzrechts kein ungewöhnlicher Prozess. Rein datenschutzrechtlich betrachtet handelt es sich in vielen Fällen um eine sogenannte Auftragsverarbeitung. In der Datenschutzorganisation wird vielfach ein Prozess implementiert, der zumindest den Abschluss von Auftragsverarbeitungsverträgen bei Beauftragung der Dienstleister vorsieht. In vielen Fällen ist an dieser Stelle allerdings „Schluss“, will heißen Unternehmen ruhen sich – aus unterschiedlichen Gründen – auf diesem IST-Stand aus, eine laufende Überprüfung des Dienstleisters erfolgt nicht oder nur äußert selten.
Wie wir in der Vergangenheit gesehen haben, kann in der Auftragsverarbeitung jedoch durchaus die Frage nach Verantwortung auftreten. Unzureichende Prüfungen können außerdem Haftungsfragen aufwerfen, wie kürzlich in einem Urteil des Oberlandesgerichts Dresden (OLG Dresden, Urt. v. 15.10.2024 – Az.: 4 U 940/24) bekannt geworden ist. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung sollen im heutigen Beitrag näher betrachtet werden.
Verantwortlicher und Auftragsverarbeiter
Das Gesetz grenzt beiden Rollen (Verantwortlicher und Auftragsverarbeiter) in Art. 4 Nr. 7 und 8 DS-GVO voneinander ab und formt in Art. 28 DS-GVO genauer aus, wie das Rechtsverhältnis und auch die zugrunde liegenden Auftragsverarbeitungsverträge ausgestaltet sein müssen. In Art. 28 Abs. 1 DS-GVO wir folgendes normiert: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Nach Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO besteht weiter folgende Pflicht: „Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“
Nun zum Urteil des OLG Dresden
Kurz zum Sachverhalt: Die Beklagte setzte in der Vergangenheit (Vertragsende datierte auf den 1.12.2019) einen Auftragsverarbeiter ein, dessen Hauptsitz in Israel lokalisiert ist. Mit Schreiben vom 30.11.2019 kündigte der Auftragsverarbeiter an, die Daten aus dem vorangegangenen Vertragsverhältnis zu löschen. Eine endgültige Bestätigung der Löschung erfolgt anschließend erst mit Schreiben vom 22.2.2023. Zwischenzeitlich war bekannt geworden, dass unbekannte Cyberkriminelle seit dem 6.11.2022 im sogenannten Darknet Daten von Nutzern der Beklagten zum Verkauf angeboten hatten. Die Beklagte wurde in der Folge von einer betroffenen Person auf Schadenersatz aus Art. 82 DS-GVO in Anspruch genommen.
Zunächst stellt das OLG dar, dass eine Haftung des Verantwortlichen gegeben ist: „Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür […]. Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde.“
Anschließend befasst sich das Gericht mit der oben zitierten Pflicht aus Art. 28 Abs. 1 DS-GVO: „Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“)“ und weiter: „Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft“ deshalb „[…] ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen“.
Wie weit reicht nun die Kontrollpflicht?
Das OLG kommt anschließend zu dem Ergebnis, dass Art. 28 DS-GVO eine fortwährende Kontrollpflicht impliziert: „Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt.“ Dies gilt allen voran dann, wenn eine große Menge an Daten oder besonders sensible Daten verarbeitet werden: „Gesteigerte Anforderungen ergeben sich indes, soweit z. B. große Datenmengen oder besonders sensible Daten gehostet werden sollen […] Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO.“
Allerdings holt das OLG das weit gespannte Netz wieder etwas zurück: „Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z. B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-Ort-Kontrolle erforderlich wäre.“
Im vorliegenden Fall war daher ein Sorgfaltsverstoß des Unternehmens anzunehmen, dass nach Beendigung der Vertragsbeziehung keine Überwachung bzw. Kontrolle des externen Auftragsverarbeiters durchgeführt hatte. Der Verantwortlich darf sich nicht auf die bloße Ankündigung seines Auftragnehmers verlassen die Daten zu löschen. Vielmehr muss eine Kontrolle erfolgen (z. B. durch Einholen einer Bestätigung der Löschung), dass die Maßnahme tatsächlich erfolgt, ist:
„Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde – auch um das eigene Haftungsrisiko zu minimieren.“
Fazit
Zusammenfassend lässt sich festhalten, dass das OLG Dresden einen recht strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1, Abs. 3 DS-GVO an den Verantwortlichen gegenüber dem eingesetzten Auftragsverarbeiter anlegt. Die Kontrollpflicht besteht gerade nicht nur vor der Beauftragung, sondern wird insbesondere während der laufenden Vertragsbeziehung und nach deren Ende fortgeführt.
P.S. Das OLG lehnte den Schadenersatzanspruch aus Art. 82 DS-GVO letztendlich dennoch ab, da die betroffenen personenbezogenen Daten (E-Mail-Adresse, IP-Adresse, Nutzer-ID) zwar einen Personenbezug aufwiesen, aber nicht als sensible Daten im Sinne der DS-GVO einzustufen seien und darüber hinaus keine konkrete Gefahr, die zu einem Missbrauch der Daten führt, durch die Klägerin dargelegt werden konnte. Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher. Dies sei vorliegend jedoch gerade nicht der Fall.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
