Nach dem Haftungsregime der DSGVO haftet der Verantwortliche nicht nur für eigene Fehler, sondern auch für Fehler seiner Auftragsverarbeiter. Als Korrelat dazu darf der Auftragsverarbeiter nur nach Weisung handeln und unterliegt Kontrollrechten des Verantwortlichen. Zur Verteilung der Verantwortung zwischen Verantwortlichen und Auftragsverarbeitern gem. Art. 28 DSGVO hat jüngst das OLG Dresden in einem Urteil Stellung genommen. Der Beitrag stellt diese summarisch vor.
Der Inhalt im Überblick
Wer ist wofür bei der Auftragsverarbeitung verantwortlich?
Anknüpfungspunkt der Kontrollpflicht des Verantwortlichen ist Art. 28 Abs. 1 DSGVO. Dort steht:
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten,(…) dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt (…).
Um diese Pflicht erfüllen zu können muss der Auftragsverarbeitungsvertrag so gestaltet sein,
dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der (…) Pflichten zur Verfügung stellt (…) (Art. 28 Abs. 3 S. 2 lit. h) DSGVO).
Konkretere Kriterien zu Umfang und Qualität der Kontrollpflicht finden sich in der DSGVO nicht. Dies und der lästige Kontrollaufwand lassen vermuten, dass die Verantwortlichen eher nachlässig kontrollieren. Dies gilt umso mehr, als nicht wenige Dienstleister ihren Sitz im Ausland haben. Diese faktischen Probleme enthaften den Verantwortlichen aber nach der DSGVO nicht, wenn er nicht:
(…) nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO).
Dies kann bei einem Auftragsverarbeiter der Fall sein, der die Verantwortung usurpiert (Art. 28 Abs. 10 DSGVO), bei zusammenwirkenden Beiträgen ist das aber alles andere als eine ausgemachte Sache.
Haftung des Verantwortlichen trotz Auftragsverarbeiter-Exzess?
Das OLG Dresden (Az.: 4 U 940/24) musste diese Verantwortlichkeiten im folgenden, zusammengefassten Fall entwirren:
Wer hat für wen Daten (exzessiv) verarbeitet?
Die Beklagte betrieb einen Musikstreamingdienst und bediente sich bis zum 01.12.2019 eines Auftragsverarbeiters mit Sitz in Israel. Am 30.11.2019 teilte der Auftragsverarbeiter der Beklagten mit, dass er die im Auftrag verarbeiteten Daten aufgrund der Beendigung des Vertrags am Folgetag löschen werde. Der Vertrag sah zudem vor, dass der Auftragsverarbeiter die Löschung der Daten innerhalb von 21 Tagen nach Vertragsende bestätigen sollte. Eine Bestätigung erfolgte jedoch erst auf Nachfrage im Jahr 2023. In der Zwischenzeit kam es aufgrund eines Hackerangriffs auf den Dienstleister zu einem Datenleck. Der Kläger, der seit 2016 als Nutzer bei der Beklagten registriert ist, behauptet, dass auch seine Daten betroffen seien und verlangt gemäß Art. 82 DSGVO Schadensersatz in Höhe von mindestens 1.000 €. Die Beklagte berief sich unter anderem darauf, dass sie für die Speicherung der Daten durch den israelischen Dienstleister nach Vertragsende nicht verantwortlich sei.
Haftet der Verantwortliche für den Exzess seines Auftragsverarbeiters?
Hierauf aufbauend galt es für das OLG die konkreten Verantwortlichkeiten abzugrenzen.
Zur Haftung des Verantwortlichen dem Grunde nach
Zuerst befasste sich das Gericht mit der Begründung der Kontrollpflicht des Verantwortlichen:
Diese Pflicht zur Überwachung des Auftragsverarbeiters (…) ist in Art.28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung (…) („arbeitet […] nur mit“).
Art. 28 Abs. 3 S. 2 lit. h) DSGVO knüpfe an Art. 28 Abs. 1 DSGVO an und konkretisiere damit die Kontrollpflicht des Verantwortlichen hinsichtlich der Sicherstellung, dass der Auftragsverarbeiter zum Vertragsende die Daten auch lösche. Bei der Beauftragung von Marktführern dürfe der Verantwortliche zwar grundsätzlich auf deren Zuverlässigkeit vertrauen, er müsse aber dennoch die Löschung kontrollieren:
(…) soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden (.).
Das OLG Dresden ging davon aus, dass es sich um die Verarbeitung einer großen Datenmenge handelte. Die Beklagte sei daher verpflichtet gewesen, die Löschung der Daten zu kontrollieren. Dazu hätte Sie zeitnah eine schriftliche Bestätigung mit einer Auflistung der gelöschten Daten verlangen müssen. Dies habe sie nicht getan und damit ihre Kontrollpflicht aus Art. 28 Abs. 1 DSGVO verletzt.
Die Mitteilung des Auftragsverarbeiters, er werde am Folgetag löschen, reichte dem Gericht nicht. Die
(.) bloße Ankündigung einer Maßnahme ist (.) nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können.
Zur ausnahmsweisen Enthaftung kraft fehlender Verantwortlichkeit
Daher könne sich der Verantwortliche auch nicht nach Art. 82 Abs. 3 DSGVO von der Haftung befreien.
„Nicht verantwortlich“ bedeutet, dass den Verantwortlichen bzw. den Auftragsverarbeiter keinerlei Verschulden an dem Ereignis trifft, das den Schaden auslöste. (…) Dies ist vorliegend angesichts des eigenen Pflichtenverstoßes der Beklagten nicht der Fall.
Trotzdem war der Klage kein Erfolg beschieden, denn es fehlte an der Darlegung eines Schadens.
Take-Away: Ich hafte eher, wenn ich nicht kontrolliere!
Der Fall unterstreicht, dass Kontrollen trotz ihrer Unbeliebtheit bei kritischen Verarbeitungen sinnvoll sind. Auch wenn nicht zu erwarten ist, dass nun überall Auditpläne zur Kontrolle von Auftragsverarbeitern erstellt werden, sollten sich Verantwortliche beim Abschluss und Ablauf ihrer Verträge fragen, welches Risiko eine fehlende Kontrolle ihrer Auftragsverarbeiter birgt. Wie der Fall zeigt, können die Folgen einer fehlenden Kontrolle auch noch nach Jahren, zumindest prozessual, auf die Füße fallen.
Webinar zum Thema „Auftragsverarbeitung“
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Auftragsverarbeitung in der Praxis – AVV im nationalen und internationalen Kontext“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Mittwoch, den 27.11.2024
von 09:30 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.