Monthly Archives: Oktober 2024

OLG Dresden: Haftung des Verantwortlichen für seinen Auftragsverarbeiter, wenn dieser Daten nicht löscht – Konkrete Anforderungen an Umfang und Tiefe der Kontrollpflichten

Posted on by

Das OLG Dresden (Urt. v. 15.10.2024 – 4 U 940/24, abrufbar über die Suchfunktion des OLG) hat sich in einem Schadenersatzverfahren nach Art. 82 DSGVO mit der Frage befasst, inwiefern ein Verantwortlicher für Fehler seines Auftragsverarbeiters gegenüber Betroffenen haftet. Das Gericht legt einen strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1 DSGVO an und sprach, dem Grunde nach, einen Schadenersatzanspruch zu.

Sachverhalt

Das beklagte Unternehmen betreibt einen Online-Musikstreamingdienst und bediente sich in der Vergangenheit eines Auftragsverarbeiters nach Art. 28 DSGVO Sitz in Israel. Der Vertrag endete zum 1.12.2019. Am 30.11.2019 teilte der Auftragsverarbeiter per E-Mail mit, die Daten würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, bestätigte der Auftragsverarbeiter aber erst mit E-Mail vom 22.2.2023 nach dem Bekanntwerden eines Datenhacks der Daten von Kunden der Beklagten. Hiervon umfasst waren auch Daten des klagenden Betroffenen.

Entscheidung

Das OLG Dresden geht davon aus, dass der Verantwortliche dem klagenden Betroffenen dem Grunde nach gemäß Art. 82 DSGVO zum Schadensersatz verpflichtet ist.

Konkret nimmt das Gericht einen Verstoß gegen die „Pflicht zur sorgfältigen Überwachung des … beauftragten externen Auftragsdatenverarbeiters“ nach Art. 28, 32 DSGVO an. Diese Begründung ist für die Praxis sehr relevant, da die Überwachungspflicht zwar durchaus bekannt ist. Jedoch gibt es zu deren konkreten Inhalt praktisch kaum Entscheidungen und Vorgaben von Gerichten.

Haftung des Auftraggebers für den Auftragsverarbeiter

Zunächst äußert sich das OLG zum Haftungsumfang des Verantwortlichen. Dieses haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Bedeutet nach Ansicht des Gerichts: missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür.

Zwar bestehe in diesem Fall auch eine eigene Haftung des Auftragsdatenverarbeiters. Der Verantwortliche könne den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO entgegenstünde.

Nicht nur ordentliche Auswahl, sondern auch Überwachungspflicht

Danach geht das Gericht auf die konkrete Pflicht des Verantwortlichen, die es hier als verletzt ansieht. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen im Einklang mit der DSGVO durchgeführt werden.

Das Gericht erstreckt diese ausdrückliche Pflicht zur ordentlichen Auswahl jedoch weiter, in das Auftragsverhältnis.

Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen“.

Diese Pflicht zur Überwachung des Auftragsverarbeiters sei in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Zudem setze die Pflicht nach Art. 28 Abs. 3 lit h) DSGVO eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Danach muss der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen und Überprüfungen ermöglichen. Nach Art. 28 Abs. 3 lit. g) DSGVO hat der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen, alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben. Dies ergebe sich auch als Ausfluss der allgemeinen Grundsätze der „Rechtmäßigkeit“, (Art. 5 Abs. 1 lit. a) DSGVO), der „Datenminimierung“ (Art. 5 Abs. 1 lit. c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO).

Die Pflichten des Auftragsverarbeiters korrespondieren mit Pflichten des Verantwortlichen.

Konkrete Umsetzung der Überwachungspflicht

Besonders praxisrelevant ist die Begründung des OLG, wie die vorgenannte Überwachungspflicht durch den Verantwortlichen konkret umgesetzt werden kann – welche Maßnahmen also (zumindest aus Sicht des Gerichts) erforderlich und auch ausreichend sind.

Zunächst gibt das OLG zu bedenken, dass „die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden“ dürfen.

Das Gericht vertritt einen risikobasierten Ansatz hinsichtlich des Umfangs und der Tiefe der Überwachung des Auftragsverarbeiters.

  • Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen. Eine „vollkommen praxisfremde“ Vor-Ort-Kontrolle sei dann grundsätzlich nicht erforderlich.
  • Gesteigerte Anforderungen ergeben sich nach Ansicht des OLG, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen.
  • Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9 DSGVO.

Vorliegend betraf die Verarbeitung nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte. Infolgedessen war die Beklagte zu einer Überwachung ihres Auftragsverarbeiters dahingehend angehalten, dass

dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt“.

Diese Anforderung leitet das OLG direkt aus der Überwachungspflicht nach Art. 28 Abs. 1 DSGVO ab.

Der Verantwortliche ist hierbei verpflichtet,

die Erfüllung der den Auftragsdatenverarbeiter hiernach treffenden Verpflichtungen zu kontrollieren, also die nach dem Vertrag erforderlichen Bestätigungen einzuholen“.

Anforderungen an die Löschbestätigung

Vorliegend wurde eine solche Bestätigung der Löschung jedoch nicht vom Verantwortlichen verlangt.

Den Pflichtenverstoß erkennt das OLG hier vor allem darin, dass die (eigentlich auch vertraglich geregelte Bestätigung der Löschung) nicht eingeholt wurde. Der Verantwortliche habe hier gegen seine Kontrollpflichten aus Art. 28 DSGVO verstoßen, da er nicht nach Ablauf der vertraglich geregelten Frist von dem Auftragsverarbeiter

die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt“.

Bedeutet: das Gericht verlangt

  1. eine Bestätigung der Löschung durch den Auftragsverarbeiter, die der Verantwortliche zur Not anfordern muss. Die reine Ankündigung des Auftragsverarbeiters, dass Daten gelöscht werden, genügte im konkreten Fall nicht.
  2. dass die Bestätigung Details dazu enthält, in welchem Umfang Daten gelöscht wurden.

Nach Ansicht des OLG wiegt hier vor allem der erste Punkt schwer. Die E-Mail des Auftragsverarbeiters enthielt lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung.

Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können“.

Der Verantwortliche hätte sich mit der formal und inhaltlich nicht hinreichenden Ankündigung nicht zufrieden geben dürfen, sondern auf eine vollständige und rechtzeitige Löschungsbestätigung hinwirken müssen.

Grundsätzlich bestünde für den Verantwortlichen die Möglichkeit, die Haftungsprivilegierung nach Art. 82 Abs. 3 DSGVO in Anspruch zu nehmen. Dies jedoch nur, wenn ihm selbst keinerlei Fahrlässigkeit vorzuwerfen wäre. Dies war hier vorliegend angesichts des eigenen Pflichtenverstoßes aber nicht der Fall.

Im Ergebnis lehnte das OLG hier aber einen Schadenersatzanspruch nach Art. 82 DSGVO ab, da der Kläger keinen tatsächlich erlittenen Schaden nachweisen konnte.

Fazit

Das OLG befasst sich recht ausführlich mit den Anforderungen an die Überwachungspflicht des Verantwortlichen für Auftragsverarbeiter. Sicherlich muss man nicht alle Ansichten des Gerichts teilen. Relevant ist aus meiner Sicht aber insbesondere die Auffassung, dass die Kontroll- bzw. Überwachungspflicht durchaus risikobasiert ausgestaltet sein darf. Gleichzeitig sollten Verantwortliche darauf achten, dass „bloße Ankündigungen“ durch Auftragsverarbeiter im Zweifel gerade nicht die tatsachliche Erfüllung bzw. Umsetzung von Pflichten, wie etwa der Löschung von Daten, belegen.

Landgericht Lübeck: fehlender Vertrag zur (Unter-)Auftragsverarbeitung führt zur Rechtswidrigkeit der Übermittlung?

Posted on by

Das Landgericht Lübeck (Urteil vom 04.10.2024 – 15 O 216/23) hatte sich in einem Verfahren zum Schadenersatz nach Art. 82 DSGVO, in dem im Ergebnis 350 EUR zugesprochen wurden, u.a. auch mit der Frage befasst, wie sich das Fehlen eines Vertrages nach Art. 28 DSGVO zwischen dem Verantwortlichen und Auftragsverarbeiter oder Auftragsverarbeiter und Unterauftragsverarbeiter auswirkt. Ob insbesondere das Fehlen des Vertrages zu einer Rechtswidrigkeit der Datenübermittlung führt.

Ansicht des Gerichts

Zunächst stellt das Gericht seine Ansicht zu Art. 28 DSGVO dar. Die Anforderungen an die Übertragung von Daten auf Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Danach setze die Verarbeitung von Daten durch Auftragsverarbeiter voraus, dass ein Vertrag oder ein anderes Rechtsinstrument gem. Art. 28 Abs. 3 DSGVO vorliegt, der die dort im Einzelnen aufgezählten Maßnahmen und Gewährleistungen vorsieht.

Entsprechendes gilt für eventuelle Unterauftragsverarbeiter: diesen muss ebenfalls verbindlich durch Vertrag oder ein anderes Rechtsinstrument dieselben Datenschutzpflichten auferlegt worden sein wie dem Auftragsverarbeiter selbst, Art. 28 Abs. 4 DSGVO.“

Im konkreten Fall fehlte jedoch ein solcher Vertrag. Daraus folgert das Gericht: 

Fehlt es an diesen Voraussetzungen, so stellt sich (…) auch die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig dar“.

Das Gericht sieht das (formelle) Erfordernis eines Vertrages nach Art. 28 Abs. 3 zw. Abs. 4 DSGVO also offensichtlich als Rechtmäßigkeitsvoraussetzung an. 

Zudem stellt das Gericht klar, dass als Folge eine wirksame Übertragung von Datenschutzverpflichtungen entgegen der Vorgaben der DSGVO zu keinem Zeitpunkt vorlag.

Andere Ansicht: EuGH?

Die Schlussfolgerung des Gerichts, dass ein Verstoß gegen Art. 28 Abs. 3 DSGVO auch zu einer rechtswidrigen Verarbeitung führe, halte ich jedoch für durchaus diskutabel. 

Denn zum ersten ergeben sich die Anforderungen für die Rechtmäßigkeit einer Verarbeitung (wie hier, eine Übermittlung) allein aus den Vorgaben der Art. 5 und 6 DSGVO. Dies hat der EuGH bereits entschieden. Jede Verarbeitung muss mit den in Art. 5 Abs. 1 der DSGVO aufgestellten Grundsätzen für die Verarbeitung der Daten im Einklang stehen und die in Art. 6 DSGVO aufgeführten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (C‑60/22, Rz. 57). Der Verantwortliche muss nach Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 lit. a DSGVO sicherstellen, dass die von ihm durchgeführte Datenverarbeitung „rechtmäßig“ ist. „Die Rechtmäßigkeit der Verarbeitung wird aber, wie sich aus der Überschrift von Art. 6 der DS-GVO selbst ergibt, gerade in ebendiesem Artikel geregelt“ (C‑60/22, Rz. 55).

Und zweitens hat der EuGH bereits für Art. 26 DSGVO entschieden, dass „die Einhaltung der in Art. 26 der DS-GVO vorgesehenen Pflicht zum Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung …, nicht zu den in Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung zählen“ (C-60/22, Rz. 59). Man wird sicher darüber nachdenken können, diese Begründung auch auf den Vertrag nach Art. 28 DSGVO zu übertragen. Andererseits mag man anführen, dass im Rahmen des Art. 28 DSGVO die Vereinbarung gerade die „Erlaubnis“ des Auftragsverarbeiters darstellt. Dem jedoch könnte man entgegenhalten, dass das Gericht hier die Übermittlung als rechtswidrig ansieht – also die vorgelagerte Weitergabe der Daten an den Auftragsverarbeiter.

Automatische Verpflichtung der Töchter durch Vertragsschluss der Mutter?

Interessant sind zudem die Ansichten des Gerichts zu der von dem beklagten Unternehmen vorgebrachten Argument, dass es „marktüblich und nicht zu beanstanden“ sei, „dass Verträge innerhalb eines Konzerns von der Muttergesellschaft (auch mit Wirkung für verbundene Unternehmen) abgeschlossen werden“. 

Dies überzeugt das Gericht nicht. Nach deutschem und europäischen Gesellschaftsrecht handelt es sich auch bei konzernverbundenen Gesellschaften grundsätzlich um rechtlich selbständige Rechtspersönlichkeiten. 

Eine automatische Verpflichtung der Konzerntochter durch einen Vertrag der Konzernmutter findet nicht statt, so dass auch vertragliche Datenschutzpflichten der Konzernmutter nicht ohne weiteres zugleich sämtliche Töchter verpflichten.

Vorliegend schien also der Hauptvertrag der Mutter keine Regelung zu einer Verpflichtung der anderen Gesellschaften zu enthalten.