8. November 2024
Die Datenschutz-Grundverordnung (DSGVO) legt den Verantwortlichen in der Datenverarbeitung nicht nur eigene Fehler zur Last. Er haftet auch für jene seiner Auftragsverarbeiter. Das bedeutet, der Auftragsverarbeiter darf lediglich gemäß den Anweisungen des Verantwortlichen handeln. Gleichzeitig unterliegt er dessen Kontrollrechten. Ein jüngst ergangenes Urteil des Oberlandesgerichts (OLG) Dresden beleuchtet die Verteilung der Verantwortung zwischen Verantwortlichen und Auftragsverarbeitern, wie sie in Artikel 28 der DSGVO skizziert wird.
Art. 28 Abs. 1 DSGVO bildet den Ausgangspunkt für die Kontrollpflicht des Verantwortlichen. Demzufolge darf eine Verarbeitung nur mit Auftragsverarbeitern erfolgen, die hinreichende Garantien für die Einhaltung der Verordnung geben. Um dies sicherzustellen, muss der Vertrag mit dem Auftragsverarbeiter so gestaltet sein, dass dieser verpflichtet wird, alle nötigen Informationen zur Sicherstellung der Einhaltung der Datenschutzpflichten bereitzustellen. Da die DSGVO keine präziseren Kriterien zur Kontrollpflicht liefert und die praktische Umsetzung oft aufwendig ist, besteht das Risiko mangelnder Kontrolle. Dies wiegt besonders schwer, wenn Dienstleister im Ausland sitzen. Die DSGVO befreit den Verantwortlichen jedoch nicht von der Haftung, es sei denn, er kann nachweisen, dass er in keiner Weise für den verursachten Schaden verantwortlich ist.
Das OLG Dresden musste einen Fall klären, in dem der Umfang der Verantwortlichkeiten bei der Datenverarbeitung durch einen externen Dienstleister ungeklärt war. Ein Musikstreamingdienst hatte einen Auftragsverarbeiter mit Sitz in Israel beschäftigt, der seine Daten zum Vertragsende hin löschen sollte. Trotz dieser Ankündigung blieben die Daten aufgrund eines Hackerangriffs ungeschützt, und ein Nutzer forderte Schadensersatz.
Das Gericht stellte fest, dass die bloße Ankündigung einer Datenauslöschung seitens des Dienstleisters nicht ausreicht. Der Verantwortliche hätte eine schriftliche Bestätigung über die erfolgte Löschung anfordern müssen. Das Versäumnis dieser Kontrolle bedeutete eine Verletzung der Datenschutzpflichten gemäß Art. 28 DSGVO. Eine Entlastung von der Haftung nach Art. 82 Abs. 3 DSGVO war daher nicht möglich, da dem Verantwortlichen ein eigener Pflichtverstoß zur Last gelegt wurde. Trotz der Klärung der Verantwortlichkeiten war der Kläger nicht erfolgreich, da kein spezifischer Schaden nachgewiesen werden konnte.
Dieser Fall illustriert die Bedeutung, regelmäßig die Kontrolle über Auftragsverarbeiter auszuüben. Verzichtet ein Verantwortlicher auf eine solche Kontrolle, insbesondere bei kritischen Datenverarbeitungen, steigert er sein Haftungsrisiko erheblich. Verantwortliche sollten daher beim Abschluss und Abwicklung ihrer Verträge die potenziellen Risiken mangelnder Kontrolle genau prüfen. Wie dieses Urteil zeigt, können sich die Auswirkungen mangelnder Kontrollen erst Jahre später bemerkbar machen.
Wenn Sie Unterstützung bei der Umsetzung effektiver Kontrollstrategien oder bei anderen datenschutzrechtlichen Fragestellungen benötigen, stehen wir Ihnen gerne zur Seite. Unser Team bei AZ-Datenschutz verfügt über umfassende Expertise im Bereich der Datenschutzrichtlinien und Auftragsverarbeitung. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihnen helfen können, Ihre Datenschutzmaßnahmen zu optimieren und rechtliche Risiken zu minimieren.
Input your search keywords and press Enter.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen