Versteckte Gefahren: Wie ein OLG-Urteil das Haftungsrisiko in der Auftragsverarbeitung offenlegt

Symbolisches Bild eines Gerichtshammers über einem Vertrag, das rechtliche Risiken in der Auftragsverarbeitung darstellt.

Haftung und Kontrollpflichten in der Auftragsverarbeitung: Ein Urteil mit Folgen

Die Verantwortung bei der Auftragsverarbeitung

Die Datenschutz-Grundverordnung (DSGVO) legt den Verantwortlichen in der Datenverarbeitung nicht nur eigene Fehler zur Last. Er haftet auch für jene seiner Auftragsverarbeiter. Das bedeutet, der Auftragsverarbeiter darf lediglich gemäß den Anweisungen des Verantwortlichen handeln. Gleichzeitig unterliegt er dessen Kontrollrechten. Ein jüngst ergangenes Urteil des Oberlandesgerichts (OLG) Dresden beleuchtet die Verteilung der Verantwortung zwischen Verantwortlichen und Auftragsverarbeitern, wie sie in Artikel 28 der DSGVO skizziert wird.

Die Kontrollpflicht des Verantwortlichen

Art. 28 Abs. 1 DSGVO bildet den Ausgangspunkt für die Kontrollpflicht des Verantwortlichen. Demzufolge darf eine Verarbeitung nur mit Auftragsverarbeitern erfolgen, die hinreichende Garantien für die Einhaltung der Verordnung geben. Um dies sicherzustellen, muss der Vertrag mit dem Auftragsverarbeiter so gestaltet sein, dass dieser verpflichtet wird, alle nötigen Informationen zur Sicherstellung der Einhaltung der Datenschutzpflichten bereitzustellen. Da die DSGVO keine präziseren Kriterien zur Kontrollpflicht liefert und die praktische Umsetzung oft aufwendig ist, besteht das Risiko mangelnder Kontrolle. Dies wiegt besonders schwer, wenn Dienstleister im Ausland sitzen. Die DSGVO befreit den Verantwortlichen jedoch nicht von der Haftung, es sei denn, er kann nachweisen, dass er in keiner Weise für den verursachten Schaden verantwortlich ist.

OLG Dresden: Ein aufschlussreicher Fall zur Haftung

Verantwortlichkeiten im Fokus

Das OLG Dresden musste einen Fall klären, in dem der Umfang der Verantwortlichkeiten bei der Datenverarbeitung durch einen externen Dienstleister ungeklärt war. Ein Musikstreamingdienst hatte einen Auftragsverarbeiter mit Sitz in Israel beschäftigt, der seine Daten zum Vertragsende hin löschen sollte. Trotz dieser Ankündigung blieben die Daten aufgrund eines Hackerangriffs ungeschützt, und ein Nutzer forderte Schadensersatz.

Die Bedeutung der Kontrolle

Das Gericht stellte fest, dass die bloße Ankündigung einer Datenauslöschung seitens des Dienstleisters nicht ausreicht. Der Verantwortliche hätte eine schriftliche Bestätigung über die erfolgte Löschung anfordern müssen. Das Versäumnis dieser Kontrolle bedeutete eine Verletzung der Datenschutzpflichten gemäß Art. 28 DSGVO. Eine Entlastung von der Haftung nach Art. 82 Abs. 3 DSGVO war daher nicht möglich, da dem Verantwortlichen ein eigener Pflichtverstoß zur Last gelegt wurde. Trotz der Klärung der Verantwortlichkeiten war der Kläger nicht erfolgreich, da kein spezifischer Schaden nachgewiesen werden konnte.

Wichtige Erkenntnisse und Handlungsaufforderung

Die praktische Relevanz von Kontrollen

Dieser Fall illustriert die Bedeutung, regelmäßig die Kontrolle über Auftragsverarbeiter auszuüben. Verzichtet ein Verantwortlicher auf eine solche Kontrolle, insbesondere bei kritischen Datenverarbeitungen, steigert er sein Haftungsrisiko erheblich. Verantwortliche sollten daher beim Abschluss und Abwicklung ihrer Verträge die potenziellen Risiken mangelnder Kontrolle genau prüfen. Wie dieses Urteil zeigt, können sich die Auswirkungen mangelnder Kontrollen erst Jahre später bemerkbar machen.

Individuelle Unterstützung bei der Auftragsverarbeitung

Wenn Sie Unterstützung bei der Umsetzung effektiver Kontrollstrategien oder bei anderen datenschutzrechtlichen Fragestellungen benötigen, stehen wir Ihnen gerne zur Seite. Unser Team bei AZ-Datenschutz verfügt über umfassende Expertise im Bereich der Datenschutzrichtlinien und Auftragsverarbeitung. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihnen helfen können, Ihre Datenschutzmaßnahmen zu optimieren und rechtliche Risiken zu minimieren.