Datenschutz-Blog der SDG

Verantwortliche haften für Fehler von Auftragsverarbeitern bei Kontrollpflichtverletzungen

05. Dezember 2024 von Vera Franz

OLG Dresden:

Mit Urteil vom 15. Oktober 2024 (Az.: 4 U 940/24) hat das Oberlandesgericht Dresden klargestellt, dass Verantwortliche nach Art. 82 DSGVO für Fehler ihrer Auftragsverarbeiter haftbar gemacht werden können, wenn sie ihre Kontrollpflichten vernachlässigen. Das Urteil zeigt, wie wichtig es ist, die Zusammenarbeit mit Auftragsverarbeitern nicht nur sorgfältig zu gestalten, sondern auch konsequent zu überwachen.

Der Fall: Datenlöschung beim Auftragsverarbeiter

Im konkreten Fall hatte ein Streaminganbieter einen externen Dienstleister (Auftragsverarbeiter) beauftragt. Nach Beendigung der Zusammenarbeit kündigte der Dienstleister zwar an, die erhaltenen Daten zu löschen, bestätigte dies jedoch nicht abschließend. Das Gericht bewertete dies als eine Verletzung der datenschutzrechtlichen Pflichten des Streaminganbieters. Die Richter argumentierten, dass sich der Verantwortliche nicht auf die bloße Ankündigung verlassen durfte. Vielmehr hätte er eine detaillierte Löschbestätigung einfordern müssen, um sicherzustellen, dass die personenbezogenen Daten tatsächlich und endgültig gelöscht wurden.

Verantwortung nach Art. 28 DSGVO

Nach Art. 28 DSGVO darf ein Verantwortlicher nur solche Auftragsverarbeiter einsetzen, die nachweislich geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten treffen. Dabei endet die Verantwortung nicht mit der Beauftragung. Das Gericht betonte, dass sich die Kontrollpflicht des Verantwortlichen auf die gesamte Dauer der Zusammenarbeit erstreckt – und darüber hinaus. Insbesondere nach Beendigung des Vertragsverhältnisses muss der Verantwortliche sicherstellen, dass der Dienstleister alle Daten vollständig löscht.

Pflichten des Verantwortlichen: Auswahl, Kontrolle und Überwachung

Das Urteil verdeutlicht die umfangreichen Pflichten des Verantwortlichen:

  1. Sorgfältige Auswahl: Der Auftragsverarbeiter muss verlässliche Garantien für die Einhaltung der Datenschutzvorgaben bieten.
  2. Kontinuierliche Überwachung: Die Zusammenarbeit muss regelmäßig kontrolliert werden, um sicherzustellen, dass der Dienstleister den Datenschutz einhält.
  3. Überprüfung der Löschpflichten: Nach Beendigung des Auftrags ist der Verantwortliche verpflichtet, die Löschung der Daten nachzuweisen. Dazu gehört:
    • Eine schriftliche Löschbestätigung vom Dienstleister anzufordern.
    • Falls keine Bestätigung erfolgt, den Dienstleister anzumahnen.
    • Im Zweifelsfall eine Vor-Ort-Prüfung durchzuführen, um die Löschung zu überprüfen.

Fazit: Präzise Dokumentation ist essenziell

Das Urteil des OLG Dresden unterstreicht die hohe Bedeutung der Kontrollpflichten in der Zusammenarbeit mit Auftragsverarbeitern. Verantwortliche können sich nicht auf mündliche Zusagen oder allgemeine Ankündigungen verlassen. Sie müssen die Einhaltung der Datenschutzvorgaben dokumentieren und insbesondere die Löschung personenbezogener Daten aktiv überwachen. Für Unternehmen bedeutet dies, dass sie klare Prozesse für die Zusammenarbeit mit Dienstleistern etablieren müssen. Regelmäßige Audits, ein detaillierter Vertrag nach Art. 28 DSGVO und eindeutige Nachweise zur Datenlöschung sind unverzichtbare Maßnahmen, um Haftungsrisiken zu minimieren. Dieses Urteil ist ein Weckruf für alle Verantwortlichen, die ihre Kontrollpflichten bisher vielleicht nicht konsequent genug wahrgenommen haben – denn Datenschutz ist mehr als eine bloße Formalität.