Vertrauen ist gut, Kontrolle ist notwendig – Kontrollpflichten von Verantwortlichen bei der Auftragsverarbeitung

Das OLG Dresden hat sich mit dem Umfang der datenschutzrechtlichen Kontrollpflicht ihrer Auftragsverarbeiter befasst (OLG Dresden, Urt. v. 15.10.2024 – 4 U 940/24). Verantwortliche müssen ihre Auftragsverarbeiter auch nach Vertragsschluss hinsichtlich der Einhaltung der Verarbeitungsgrundsätze, der Datenschutzprinzipien und vertraglichen Vereinbarungen sorgfältig überwachen. Verantwortliche dürfen nicht auf Ankündigungen ihrer Auftragsverarbeiter vertrauen, eine bestimmte Pflicht – etwa eine Löschpflicht – umzusetzen. Stattdessen müssen Verantwortliche sich die tatsächliche Umsetzung bestätigen lassen, um ihrer Kontrollpflicht zu genügen. Andernfalls haften Verantwortliche für Verstöße ihrer Auftragsverarbeiter und können sich nicht durch Verweis auf diese von der Haftung entlasten.

Sachverhalt: Worum ging es?

Die Beklagte betreibt einen Streaming-Dienst. Dafür setzte sie einen Dienstleister aus Israel ein, mit dem sie einen Auftragsverarbeitungsvertrag schloss. Darin verpflichtete sich der Auftragsverarbeiter, alle im Auftrag der Beklagten verarbeiteten personenbezogenen Daten innerhalb von 21 Tagen nach Vertragsbeendigung zu löschen. Der Vertrag endete zum 01.10.2019. Am 30.11.2019 teilte der Auftragsverarbeiter der Beklagten mit, ihre Daten würden am Folgetag gelöscht. Am 09.12. 2020 kündigte der Auftragsverarbeiter der Beklagten erneut die bevorstehende Löschung ihrer Daten an. In der Folgezeit kam es beim Auftragsverarbeiter zu einem Hacking-Vorfall. Dabei wurden Daten von Kunden der Beklagten – unter anderem des Klägers – kompromittiert und zum Verkauf angeboten. Erst am 22.02. 2023 bestätigte der Auftragsverarbeiter die Löschung der Daten. Mit seiner Klage begehrte der Kläger unter anderem immateriellen Schadensersatz wegen der Kompromittierung seiner Daten und eines dadurch befürchteten Kontrollverlustes sowie Unterlassung der künftigen Datenverarbeitung, ohne geeignete technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO zu ergreifen und/oder ergreifen zu lassen.

Kernaussagen des OLG Dresden

Verantwortliche müssen ihre Auftragsverarbeiter überwachen

Art. 28 Abs. 1 DSGVO regele zwar unmittelbar nur die Pflicht des Verantwortlichen zur sorgfältigen Auswahl des Auftragsverarbeiters. Mit der herrschenden Auffassung leitet das OLG Dresden wenig überraschend aber auch eine Dauerpflicht zur sorgfältigen Überwachung des Auftragsverarbeiters ab (Kontrollpflicht). Bei der Beurteilung des konkreten Umfangs der Kontrollpflichten seien einzelfallabhängige Faktoren entscheidend.

Hinweis: Die Verarbeitung großer Datenmengen oder sensibler Daten im Sinne der Art. 9 und 10 DSGVO begründen etwa umfangreichere Kontrollpflichten.

Ankündigungen sind keine aussagekräftigen Bestätigungen

Aufgrund der Verarbeitung großer Datenmengen durch die Beklagte, träfen diese gesteigerte Kontrollpflichten. Die Beklagte hätte deshalb auch nach Vertragsbeendigung die tatsächliche Löschung – die sowohl vertraglich als auch nach dem Datenschutzgrundsätzen aus Art. 5 Abs. 1 lit. e DSGVO erforderlich war – der in ihrem Auftrag verarbeiteten Daten kontrollieren müssen. Dazu hätte sie insbesondere eine ausdrückliche schriftliche Bestätigung der tatsächlich durchgeführten Löschung aller beim Auftragsverarbeiter vorhandenen Datensätze samt detaillierter Auflistung der gelöschten Daten anfordern müssen. Das Vertrauen auf die zweimalige Ankündigung des Auftragsverarbeiters, dass dieser die Daten löschen werde, sei nicht ausreichend.

Verantwortliche können sich nur in engen Grenzen von der Haftung entlasten

Konsequenterweise lässt das OLG Dresden auch keine Entlastung der Beklagten gemäß Art. 82 Abs. 3 DSGVO wegen fehlender Verantwortlichkeit zu. Nicht verantwortlich wäre die Beklagte nur bei Erfüllung aller Sorgfaltspflichten gewesen. Die Beklagte habe jedoch aufgrund unzureichender Kontrolle ihre Sorgfaltspflichten wenigstens fahrlässig verletzt. Die unterbliebene Löschung habe im Rahmen des Erwartbaren gelegen und sei durch die unzureichende Kontrolle sogar maßgeblich erleichtert worden.

Schäden aufgrund eines Kontrollverlustes sind konkret darzulegen

Das Begehren des Klägers immateriellen Schadensersatz zu erlangen, wies das OLG Dresden ab. Zwar könne nach der EuGH-Rechtsprechung ein Kontrollverlust auch ohne konkrete missbräuchliche Verwendung der betreffenden Daten ein ersatzfähiger Schaden sein. Auch gebe es keine Erheblichkeitsschwelle. Die Befürchtung des Kontrollverlusts müsse jedoch unter den jeweiligen Umständen und der Art der betroffenen Daten begründet sein. Insbesondere Daten aus dem persönlichen Lebensbereich könnten etwa zu einer Rufschädigung oder Diskriminierung führen. Auch gehe der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher. Die hier betroffene E-Mail-Adresse wird regelmäßig im alltäglichen und geschäftlichen Leben anderen zugänglich gemacht. Es handelt sich daher „nur“ um eine Information aus der Sozialsphäre des Klägers. Deshalb und mangels weiterer Darlegung, sei die Befürchtung des Missbrauchs unbegründet. Dasselbe gelte für Spam-Nachrichten. Sie seien zwar eine alltägliche Lästigkeit, die aber ohne weitere negative Folgen keinen (immateriellen) Schaden begründen. Einen Kausalzusammenhang mit dem Hacking-Vorfall konnte der Kläger nicht beweisen.

Auswirkungen in der Praxis

Verantwortliche müssen ihre Auftragsverarbeiter sorgfältig aussuchen und überwachen. Dies ist weder neu noch überraschend. Sie haben aber nach Auffassung des OLG Dresden gesteigerte nachvertragliche Kontrollpflichten. Die Art der verarbeiteten Daten bestimme dabei den Umfang der Kontrollpflicht. Der vom OLG Dresden gewählte risikobasierte Ansatz für den Umfang der Kontrollpflichten entspricht den Grundsätzen der Datenschutzgrundverordnung und überzeugt daher.

Tipps zu Umsetzung

Verantwortliche

  1. Verantwortliche sollten die Implementierung von „Kontrollprozessen“ erwägen, insbesondere, wenn eine gesteigerte Kontrollpflicht aufgrund der Verarbeitung besonderer Arten personenbezogener Daten („sensible“ Daten), großer Datenmengen, wie bei Big Data Anwendungen oder Künstlicher Intelligenz, begründet sein könnte.
  2. Verantwortliche sollten aussagekräftige Bestätigungen über die tatsächliche Umsetzung DSGVO-relevanter Pflichten von Auftragsverarbeitern Die bloße Ankündigungen etwas tun zu wollen, ist dabei nicht ausreichend.

Auftragsverarbeiter

Proaktiv sollten sich Auftragsverarbeiter auf die gesteigerten Kontrollen einrichten und idealerweise Bestätigungen als Teil Ihrer automatisierten Prozesse implementieren.