Haftungsrisiken beim Einsatz von Auftragsverarbeitern – Datenlöschung und Kontrollpflichten

von Jonatan

Der Einsatz von Dienstleistern für die unterschiedlichsten Aufgaben gehört in den meisten Unternehmen zum Alltag. Soll der Dienstleister auch personenbezogene Daten verarbeiten, so kann er Datenschutzrechtlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO zu qualifizieren sein.

Praktisches Beispiel sind etwa viele der heute weit verbreiteten Software-as-a-Service-Dienstleistungen (SaaS), bei denen personenbezogene Daten zentral „in der Cloud“ und damit auf einem in der Regel fremden Server ausgelagert werden.

Beim Einsatz von Auftragsverarbeitern sind nach der Datenschutzgrundverordnung umfangreiche Pflichten zu beachten. Die Entscheidung zum Einsatz eines Auftragsverarbeiters ist daher keinesfalls unbedeutend. So muss der Auftragsverarbeiter schon bei Auswahl auf seine Zuverlässigkeit geprüft werden (Art. 28 Abs. 1 DSGVO). Auch ein Vertrag zur Auftragsverarbeitung zur Regelung der wesentlichen datenschutzrechtlichen Modalitäten muss abgeschlossen werden.

Ein wesentliches Kennzeichen der Auftragsverarbeitung ist es, dass der Dienstleister personenbezogene Daten nur im Rahmen des Auftrages verarbeiten darf und nicht für eigene Zwecke. Nach Beendigung des Auftrages muss der Dienstleister die personenbezogenen Daten des Auftraggebers daher grundsätzlich entweder löschen oder zurückzugeben. Eine entsprechende Vereinbarung ist nach Art. 28 Abs. 3 g) DSGVO auch in den Auftragsverarbeitungsvertrag aufzunehmen.  

Dass diese Löschpflicht nicht nur auf dem Papier besteht, sondern auch zu erheblichen Folgen für Auftraggeber führen kann, zeigt ein aktuelles Urteil des Oberlandesgerichts Dresden (Urteil vom 15.10.2024 – 4 U 940/24).

Der Sachverhalt

Das OLG Dresden hatte über die Schadenersatzforderung eines Kunden nach Art. 82 DSGVO gegen ein Unternehmen zu entscheiden, weil dessen personenbezogene Daten im Darknet gelandet waren.

Der Kläger hatte bei der fraglichen Firma ein Benutzerkonto erstellt und dabei personenbezogene Daten wie den Benutzernamen, seine E-Mail-Adresse und sein Geschlecht angegeben. Die beklagte Firma gab die Daten des Klägers dann im Rahmen einer Auftragsverarbeitung an ein ausländisches Unternehmen weiter. Nach Ende der Geschäftsbeziehung kündigte der Dienstleister die Löschung der Daten aus der Auftragsverarbeitung an, darunter auch die personenbezogenen Daten des Klägers. Tatsächlich gelöscht wurden die Daten dann allerdings erst erheblich später. In der Zwischenzeit konnten Hacker die Daten des Klägers bei dem Auftragsverarbeiter erbeuten und im Darknet veröffentlichen.  

Die Beklagte Firma war der Auffassung, ihren Pflichten zur Überwachung des Auftragsverarbeiters genüge getan zu haben und daher nicht zur haften. Immerhin hatte der Dienstleister die Löschung der Daten sogar per E-Mail angekündigt (allerdings niemals bestätigt!).  

Die Entscheidung

Nach Auffassung des OLG Dresden ist der Auftraggeber im Rahmen der Auftragsverarbeitung nicht nur dazu verpflichtet, seinen Dienstleister bei Beauftragung auf Zuverlässigkeit zu prüfen, sondern diesen auch laufend im Einsatz und bei Ende der Geschäftsbeziehung zu überwachen.

Der Umfang der Kontrollpflicht soll sich hierbei insbesondere nach Art und Umfang der verarbeiteten Daten bemessen. Werden große Mengen an Daten oder auch besonders sensible Daten (bspw. Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO) verarbeitet, so sind die Kontrollpflichten umso größer. Auch die Erfahrung des Dienstleisters selbst kann relevant sein. Handelt es sich um ein neues Unternehmen oder einen etablierten Dienstleister?

Ein wesentlicher Bestandteil der Kontrollpflicht ist die Löschung personenbezogener Daten nach Auftragsende. Hier darf der Auftraggeber nicht einfach darauf vertrauen, dass der Auftragsverarbeiter die Daten nach Ankündigung tatsächlich löscht. Versehen kommen schließlich in den besten Unternehmen vor. Um seinen Pflichten zu genügen, muss der Auftraggeber eine Löschbestätigung verlangen und ggf. sogar eine Vor-Ort-Kontrolle in Erwägung ziehen, wenn keine Bestätigung erfolgt.

Nur wenn der Dienstleister personenbezogene Daten böswillig nicht löscht, etwa um diese zu verkaufen, kann eine Haftung entfallen. Ein solches absichtliches Verhalten des Dienstleisters muss der Auftraggeber allerdings vor Gericht im Verfahren gegenüber dem betroffenen Kunden nachweisen, was regelmäßig nicht möglich sein dürfte.  

Die Bedeutung für die Praxis

Der Einsatz eines Auftragsverarbeiters stellt ein nicht zu unterschätzendes Risiko dar, wenn die Anforderungen des Datenschutzes nicht angemessen berücksichtigt werden. Insbesondere ist es mit dem Abschluss eines Vertrages zur Auftragsverarbeitung nicht getan. Das Prinzip „Abschließen und Vergessen“ reicht keinesfalls aus, um den Anforderungen der DSGVO zu genügen.

Es gehört vielmehr zu den Pflichten jedes Unternehmens, eingesetzte Dienstleister regelmäßig zu überwachen und die Geschäftsbeziehung geordnet und mit der gebotenen Sorgfalt zu beenden.

Über die Löschung personenbezogener Daten ist nach Ende der Geschäftsbeziehung eine Löschbestätigung anzufordern. Gegebenenfalls muss mit Nachdruck auf eine solche hingewirkt werden. Im schlimmsten Fall sind sogar Vor-Ort-Kontrollen in Erwägung zu ziehen.

Darüber hinaus sind schon bei Begrünung der Geschäftsbeziehung die datenschutzrechtlichen Pflichten des Dienstleisters im Auftragsverarbeitungsvertrags sauber zu regeln, gerade auch in Bezug auf die Löschpflicht und etwaige Nachweise hierfür.

Wie der vor dem OLG Dresden verhandelte Fall belegt, drohen sonst im schlimmsten Fall ein Gerichtsprozess und Schadenersatzansprüche. Darüber hinaus können allerdings auch weitere negative Folgen für unachtsame Unternehmen wie Imageverlust und Bußgelder durch die Aufsichtsbehörde eintreten.  

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Jonatan

Nach seinem Studium der Rechtswissenschaften sammelte Jonatan wertvolle Erfahrungen als Rechtsanwalt in einer renommierten Passauer Anwaltskanzlei. Während dieser Zeit entdeckte er seine Leidenschaft für das Rechtsgebiet Datenschutz, dem er sich seither mit großer Begeisterung widmet.

Mit seiner langjährigen Expertise als Rechtsanwalt bringt Jonatan das ideale Rüstzeug mit, um unsere Kunden in allen Bereichen des Datenschutzes kompetent und bedarfsgerecht zu beraten. Seine umfassende Fachkenntnis und sein lösungsorientierter Ansatz stärken nicht nur unser Team der Inhouse-Juristen, sondern unterstützen auch unsere Datenschutzbeauftragten in allen erforderlichen Bereichen.

Wir freuen uns, Jonatan an Bord zu haben, und schätzen seinen wertvollen Beitrag zur rechtssicheren und praxisnahen Umsetzung von Datenschutzmaßnahmen.