Datenlöschung nach Vertragsende

Was das OLG Dresden über Datenlöschung nach Vertragsende mit Auftragsverarbeitern sagt

Das Oberlandesgericht Dresden hat in einem aktuellen Urteil klargestellt: Die Verantwortung des Auftraggebers endet nicht mit dem Vertragsschluss – sie geht darüber hinaus.

Was hat das OLG Dresden entschieden?

In seinem Urteil vom 15.10.2024 (Az. 4 U 940/24) kommt das OLG Dresden zu einem bemerkenswert klaren Ergebnis:

Auftraggeber haben die Pflicht, nach Beendigung eines Vertrags mit einem Auftragsverarbeiter zu überprüfen, ob personenbezogene Daten tatsächlich gelöscht wurden – und sich dies auch schriftlich bestätigen zu lassen.

Konkret bedeutet das:

Art. 28 DSGVO verpflichtet Verantwortliche nicht nur zur Auswahl, Beauftragung und laufenden Kontrolle des Dienstleisters. Auch nach Vertragsende bleibt eine Überwachungspflicht bestehen. Der Auftragsverarbeiter muss eine aussagekräftige Löschbescheinigung ausstellen, die den Umgang mit den verarbeiteten Daten nachvollziehbar dokumentiert.

Was heißt das für die Praxis?

In vielen Organisationen endet der Datenschutzprozess mit der Vertragskündigung – der Rest wird „dem Dienstleister schon machen“. Das Urteil des OLG Dresden macht jedoch deutlich: Das reicht nicht.

Verantwortliche müssen spätestens beim Offboarding ihrer Auftragsverarbeiter aktiv werden. Nötig ist ein klar definierter Ablauf, der u. a. folgende Punkte umfasst:

• Erinnerung an die Pflicht zur Datenlöschung nach Vertragsende

• Einforderung einer formellen Löschbestätigung, möglichst mit Angaben zu Datum, Methode und Umfang

• Dokumentation im Verzeichnis der Verarbeitungstätigkeiten oder in den Löschkonzepten

Ein Verzicht auf diese Maßnahmen kann im Fall einer Datenschutzprüfung oder eines Vorfalls schnell teuer werden – nicht nur finanziell, sondern auch in Bezug auf Reputation und Vertrauen.

Datenschutz endet nicht mit der letzten Rechnung. Wer personenbezogene Daten an Dritte überträgt, bleibt in der Verantwortung – bis zur letzten Löschung.

Unsere Empfehlung:
Überprüfen Sie Ihre bestehenden Dienstleisterverträge und beenden Sie diese nicht ohne Offboarding-Checkliste und Löschbestätigung.

Sind Sie sicher, dass Ihr Unternehmen im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks