16. Januar 2025
In der heutigen Geschäftswelt ist es gang und gäbe, externe Dienstleister für verschiedene Prozesse einzusetzen. Die Gründe dafür reichen von knappen Personalressourcen über die Optimierung von Arbeitsabläufen bis hin zur Sicherstellung der Verfügbarkeit, beispielsweise durch externe Datensicherung. Sobald ein Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet, spricht man von Auftragsverarbeitung im Sinne des Datenschutzrechts.
Die Übergabe von Daten an einen Dienstleister erfordert in der Regel keine spezielle Rechtsgrundlage, wenn ein Auftragsverarbeitungsvertrag besteht. Dies ist allgemein bekannt, und viele Unternehmen schließen solche Verträge ab. Dennoch ist dies nur der Anfang der datenschutzrechtlichen Verantwortlichkeiten, die ein Unternehmen gegenüber seinen Dienstleistern hat. Häufig werden wesentliche Pflichten übersehen, die zu erheblichen rechtlichen Konsequenzen führen können.
Ein aktuelles Urteil des OLG Dresden hat die Pflichten datenschutzrechtlich Verantwortlicher gegenüber ihren Auftragsverarbeitern deutlich gemacht. Im Mittelpunkt stand ein Online-Musikstreamingdienst, der mit einem Dienstleister aus Israel zusammengearbeitet hatte. Nachdem der Vertrag mit diesem Dienstleister endete, wurde die Löschung der Daten angekündigt, jedoch zunächst nicht bestätigt. Später wurde der Dienstleister Opfer eines Hackerangriffs, bei dem auch Kundeninformationen betroffen waren. Der Streamingdienst informierte die Behörden sowie die betroffenen Nutzer, aber die endgültige Löschbestätigung kam erst Jahre später.
Das Gericht entschied, dass die Klage zwar nicht durchsetzbar war, da kein nachweisbarer Schaden vorlag. Dennoch wurde festgestellt, dass der Verantwortliche seine aus der DSGVO resultierenden Überwachungspflichten vernachlässigt hatte. Dies umfasste die sorgfältige Auswahl und die fortlaufende Kontrolle des Dienstleisters, insbesondere die Sicherstellung der tatsächlichen Datenlöschung. Diese Kontrollpflichten sind umso wichtiger, wenn es um große oder sensible Datenmengen geht.
Unternehmen sollten nicht nur auf die Formalitäten des Vertragsabschlusses achten. Entscheidend ist auch die laufende Überprüfung der Dienstleister, um die Einhaltung der Datenschutzrichtlinien sicherzustellen. Eine einfache Ankündigung der Datenlöschung reicht nicht aus. Eine schriftliche Bestätigung mit detaillierter Auflistung der gelöschten Daten ist nötig, um rechtliche Risiken zu minimieren.
Unternehmen sollten Mechanismen zur regelmäßigen Überwachung und Beurteilung ihrer Dienstleister einführen, insbesondere wenn große Datenmengen oder sensible Informationen verarbeitet werden. Diese Schritte helfen nicht nur, im Einklang mit den gesetzlichen Anforderungen zu bleiben, sondern schützen auch das Unternehmen und seine Kunden vor möglichen Sicherheitsverletzungen und deren Folgen.
Wenn Sie bei der Umsetzung dieser Maßnahmen Unterstützung benötigen oder Beratung in datenschutzrechtlichen Fragen suchen, zögern Sie bitte nicht, uns bei AZ-Datenschutz zu kontaktieren. Wir stehen Ihnen mit Rat und Tat zur Seite!
Input your search keywords and press Enter.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen