05. Dezember 2024 von Vera Franz
Mit Urteil vom 15. Oktober 2024 (Az.: 4 U 940/24) hat das Oberlandesgericht Dresden klargestellt, dass Verantwortliche nach Art. 82 DSGVO für Fehler ihrer Auftragsverarbeiter haftbar gemacht werden können, wenn sie ihre Kontrollpflichten vernachlässigen. Das Urteil zeigt, wie wichtig es ist, die Zusammenarbeit mit Auftragsverarbeitern nicht nur sorgfältig zu gestalten, sondern auch konsequent zu überwachen.
Im konkreten Fall hatte ein Streaminganbieter einen externen Dienstleister (Auftragsverarbeiter) beauftragt. Nach Beendigung der Zusammenarbeit kündigte der Dienstleister zwar an, die erhaltenen Daten zu löschen, bestätigte dies jedoch nicht abschließend. Das Gericht bewertete dies als eine Verletzung der datenschutzrechtlichen Pflichten des Streaminganbieters. Die Richter argumentierten, dass sich der Verantwortliche nicht auf die bloße Ankündigung verlassen durfte. Vielmehr hätte er eine detaillierte Löschbestätigung einfordern müssen, um sicherzustellen, dass die personenbezogenen Daten tatsächlich und endgültig gelöscht wurden.
Nach Art. 28 DSGVO darf ein Verantwortlicher nur solche Auftragsverarbeiter einsetzen, die nachweislich geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten treffen. Dabei endet die Verantwortung nicht mit der Beauftragung. Das Gericht betonte, dass sich die Kontrollpflicht des Verantwortlichen auf die gesamte Dauer der Zusammenarbeit erstreckt – und darüber hinaus. Insbesondere nach Beendigung des Vertragsverhältnisses muss der Verantwortliche sicherstellen, dass der Dienstleister alle Daten vollständig löscht.
Das Urteil verdeutlicht die umfangreichen Pflichten des Verantwortlichen:
Das Urteil des OLG Dresden unterstreicht die hohe Bedeutung der Kontrollpflichten in der Zusammenarbeit mit Auftragsverarbeitern. Verantwortliche können sich nicht auf mündliche Zusagen oder allgemeine Ankündigungen verlassen. Sie müssen die Einhaltung der Datenschutzvorgaben dokumentieren und insbesondere die Löschung personenbezogener Daten aktiv überwachen. Für Unternehmen bedeutet dies, dass sie klare Prozesse für die Zusammenarbeit mit Dienstleistern etablieren müssen. Regelmäßige Audits, ein detaillierter Vertrag nach Art. 28 DSGVO und eindeutige Nachweise zur Datenlöschung sind unverzichtbare Maßnahmen, um Haftungsrisiken zu minimieren. Dieses Urteil ist ein Weckruf für alle Verantwortlichen, die ihre Kontrollpflichten bisher vielleicht nicht konsequent genug wahrgenommen haben – denn Datenschutz ist mehr als eine bloße Formalität.