OLG Dresden: Haftung bei Exzess des Auftragsverarbeiters

13. November 2024

Die Datenschutzgrundverordnung (DSGVO) sieht klare Verantwortlichkeiten für Unternehmen vor, die personenbezogene Daten verarbeiten. Neben den eigenen Datenverarbeitungen haften Verantwortliche auch für Verstöße ihrer Auftragsverarbeiter. Diese Konstellation führt in der Praxis regelmäßig zu Fragen rund um die Kontroll- und Überwachungspflichten. Ein aktuelles Urteil des Oberlandesgerichts (OLG) Dresden vom 15.10.2024 hat sich nun konkret mit der Haftung bei Exzess des Auftragsverarbeiters beschäftigt.

Verantwortliche und Auftragsverarbeiter

Nach Art. 4 Nr. 7 DSGVO sind Verantwortliche Personen oder Organisationen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Auftragsverarbeiter verarbeiten hingegen nach Art. 4 Nr. 8 DSGVO personenbezogene Daten im Auftrag des Verantwortlichen. Diese ziehen Verantwortliche regelmäßig hinzu, wenn sie Unterstützung bei der Datenverarbeitung benötigen. Exemplarisch hierfür sind etwa Cloud-Anbieter oder sonstige externe IT-Dienstleister. Häufig beauftragen die Auftragsverarbeiter wiederum Subverarbeiter, wodurch es zu Verarbeitungsketten mit mehreren Akteuren kommen kann.

Zugrundeliegender Sachverhalt

Im Mittelpunkt des Urteils stand ein Musikstreaming-Anbieter, der einen Dienstleister aus Israel beauftragt hatte. Bei Vertragsende im November 2019 kündigte der Dienstleister an, sämtliche gespeicherten Daten am Tag nach der Beendigung zu löschen, wofür eine schriftliche Bestätigung innerhalb von 21 Tagen vorgesehen war. Diese Bestätigung blieb jedoch bis 2023 aus und wurde erst auf Nachfrage erteilt. Vorher war es jedoch zu einem Hackerangriff beim Auftragsverarbeiter bekommen, der zu einem Datenleck führte. Ein Betroffener klagte auf Schadensersatz nach Art. 82 DSGVO und machte geltend, dass der Musikstreaming-Dienst als Verantwortlicher seine Kontrollpflicht verletzt habe. Die Beklagte bestritt die Verantwortlichkeit für das Datenleck nach Vertragsende.

Verantwortlichkeiten in der Auftragsverarbeitung

Art. 28 DSGVO regelt die Verpflichtungen des Verantwortlichen bei Hinzuziehen von Auftragsverarbeitern. Diese unterliegen einer umfassenden Überwachung durch den Auftraggeber, da dieser sicherstellen muss, dass es geeignete technische und organisatorische Maßnahmen gibt, die für die Einhaltung des Datenschutzes sorgen. Nach Art. 28 Abs. 3 S. 2 lit. h DSGVO muss der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der verschiedenen Pflichten zur Verfügung stellen. Damit sich ein Verantwortlicher von seiner Haftung befreien kann, muss er nach Art. 82 Abs. 3 DSGVO nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den ein Schaden eingetreten ist, verantwortlich ist.

Urteil des OLG Dresden

Das Gericht stellte in seinem Urteil (4 U 940/24) klar, dass Verantwortliche eine umfassende Kontrolle ihrer Auftragsverarbeiter sicherstellen müssen, insbesondere, wenn es um „große Datenmengen oder besonders sensible Daten“ geht. In diesem Fall sei die bloße Ankündigung der Löschung durch den Auftragsverarbeiter nicht ausreichend gewesen. Daran ändere hier auch eine marktführende Stellung des Dienstleisters nichts. Vielmehr hätte der Musikstreaming-Anbieter nach Vertragsende zeitnah eine schriftliche Bestätigung der Datenlöschung verlangen müssen. Da eine Pflichtverletzung vorliege, scheide somit auch eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO aus. Wie so häufig scheiterte die Klage schlussendlich allerdings trotzdem aufgrund einer mangelnden Darlegung eines Schadens.

Fazit

Das Urteil des OLG Dresden unterstreicht, dass Verantwortliche im Rahmen der DSGVO ihre Auftragsverarbeiter sorgfältig kontrollieren müssen, um ihre Haftung zu minimieren. Auch wenn der Umfang der Kontrollpflicht nicht detailliert in der Verordnung beschrieben ist, zeigt der Fall, dass eine aktive Überprüfung gerade bei umfangreichen Verarbeitungen – etwa durch regelmäßige Dokumentationen oder durch Löschbestätigungen nach Vertragsbeendigung – notwendig ist. Unternehmen sollten daher bei der Vertragsgestaltung und -umsetzung ihre Kontrollmaßnahmen reflektieren und optimieren, um für datenschutzrechtliche Vorfälle gerüstet zu sein. Bei der Implementierung entsprechender Verfahrens- und Kontrollmechanismen in Ihrem Unternehmen helfen wir Ihnen als Externe Datenschutzbeauftragte gerne weiter.