DSGVO - Auftragsdatenverarbeiter müssen überwacht werden

OLG Dresden, Urteil vom 15.10.2024 – 4 U 940/24, GRUR-RS 2024, 28974 – Hackerangriff

Ausgangsfrage und Entscheidung

Die Ausgangsfrage betrifft die Haftung der Beklagten, einer Betreiberin eines Musikstreamingdienstes, für einen Hackerangriff, bei dem personenbezogene Daten eines Nutzers offengelegt wurden. Der Kläger, ein Nutzer des Dienstes, fordert Schadensersatz, Auskunft, Unterlassung und die Feststellung der Einstandspflicht für künftige Schäden aufgrund der behaupteten Verletzung von Datenschutzvorschriften.

Das OLG Dresden entschied, dass die Berufung des Klägers erfolglos bleibt.

Der Unterlassungsanspruch sei zu unbestimmt, der Auskunftsanspruch bereits erfüllt und ein immaterieller
Schadensersatzanspruch bestehe nicht, da der Kläger den emotionalen Schaden nicht hinreichend glaubhaft gemacht habe.
Das OLG stellte jedoch fest, dass die Beklagte gegen ihre Überwachungspflichten gemäß der DS-GVO verstoßen habe, da sie die Löschung der Daten durch den Auftragsverarbeiter nicht ausreichend kontrolliert habe.

Überwachungspflichten bei Auftragsverarbeitungen:

Das OLG Dresden begründete seine Entscheidung in Bezug auf die Überwachungspflichten der Beklagten wie folgt:

Verstoß gegen Überwachungspflichten (Rn. 82): Das OLG stellte fest, dass die Beklagte gegen ihre Pflichten zur sorgfältigen Überwachung des Dienstleisters gemäß Art. DS-GVO verstoßen habe. Diese Pflicht umfasst nicht nur die sorgfältige Auswahl des Auftragsverarbeiters, sondern auch die Überwachung nach dessen Auswahl, insbesondere die Kontrolle der Löschung der Daten nach Beendigung des Auftragsverarbeitungsvertrags.
Kausalität der Pflichtverletzung (Rn. 82): Die Verletzung der Kontrollpflicht sei kausal für den Datenabzug gewesen, da die Daten bei einer pflichtgemäßen Löschung zum Zeitpunkt des Hackerangriffs im Jahr 2022 nicht mehr vorhanden gewesen wären.
Anforderungen an die Überwachung (Rn. 82 III): Das OLG betonte, dass die Überwachungspflichten einem risikobasierten Ansatz folgen. Verantwortliche können grundsätzlich auf das Fachwissen und die Zuverlässigkeit der Auftragsverarbeiter vertrauen, ohne praxisfremde Vor-Ort-Kontrollen durchführen zu müssen. Eine Bestätigung der erfolgten Löschung durch den Auftragsverarbeiter genügt, um der Kontrollpflicht nachzukommen.
Vertragliche Regelungen (Rn. 82): Die Anforderungen der DS-GVO wurden durch die vertraglichen Regelungen weiter konkretisiert, die eine schriftliche Bestätigung der Löschung innerhalb von 21 Kalendertagen vorsahen. Die Beklagte hätte sicherstellen müssen, dass diese Bestätigung rechtzeitig und ordnungsgemäß erfolgt.

Folgen für Unternehmen:

Das Urteil des OLG Dresden hat wichtige Implikationen für die Haftungsrisiken von Unternehmen im Umgang mit Auftragsverarbeitern:

Erhöhte Überwachungspflichten: Unternehmen müssen nicht nur die sorgfältige Auswahl ihrer Auftragsverarbeiter sicherstellen, sondern auch deren fortlaufende Überwachung, insbesondere die Kontrolle der Löschung personenbezogener Daten nach Beendigung des Auftragsverarbeitungsvertrags.
Risikobasierter Ansatz: Die Überwachungspflichten folgen einem risikobasierten Ansatz. Unternehmen können grundsätzlich auf das Fachwissen und die Zuverlässigkeit der Auftragsverarbeiter vertrauen, ohne praxisfremde Maßnahmen wie Vor-Ort-Kontrollen durchführen zu müssen. Eine Bestätigung der Löschung durch den Auftragsverarbeiter genügt in der Regel.
Vertragliche Regelungen: Unternehmen sollten vertraglich klare Regelungen zur Löschung von Daten und zur Bestätigung dieser Löschung festlegen. Es wird empfohlen, die Textform anstatt der Schriftform zu vereinbaren, um formale Unwirksamkeiten zu vermeiden.
Haftungsprivilegierung: Um in den Genuss der Haftungsprivilegierung nach Art. DS-GVO zu kommen, müssen Unternehmen ihren Kontroll- und Überwachungspflichten nachkommen. Bei Verstößen gegen diese Pflichten können Unternehmen haftbar gemacht werden, wenn nachgewiesen wird, dass die Pflichtverletzung kausal für einen Schaden war.
Schadensnachweis: Betroffene müssen einen konkreten Schaden nachweisen, um Schadensersatzansprüche geltend zu machen. Allgemeine Sorgen oder Befürchtungen reichen nicht aus.

Insgesamt verdeutlicht das Urteil, dass Unternehmen ihre Datenschutzpflichten ernst nehmen und entsprechende Maßnahmen zur Überwachung und Kontrolle ihrer Auftragsverarbeiter implementieren müssen, um Haftungsrisiken zu minimieren.

Cookie	Type	Duration	Description
cookielawinfo-checkbox-analytics	1	11 months 29 days 23 hours 59 minutes	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category 'Analytics'.
cookielawinfo-checkbox-necessary	1	11 months 29 days 23 hours 59 minutes	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category 'Necessary'.
viewed_cookie_policy	1	11 months 30 days 5 hours 48 minutes	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	1	11 months 30 days 5 hours 48 minutes	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

DSGVO – Auftragsdatenverarbeiter müssen überwacht werden

Recent Posts

Recent Comments

Archives

Categories

Meta