Datenschutzfehler des Auftragsverarbeiters
Haftung bei Datenschutzfehlern des Auftragsverarbeiters – Handlungsempfehlungen für Unternehmen
Das Oberlandesgericht (OLG) Dresden hat in einer Reihe von Entscheidungen die Haftungsfrage des datenschutzrechtlich Verantwortlichen bei Fehlern, die aus der Sphäre eines Auftragsverarbeiters resultieren, konkretisiert. Diese Urteile (u.a. Az. 4 U 602/24, 4 U 506/24) geben wichtige Hinweise zur Reichweite der Verantwortlichkeit und zu den Kontrollpflichten des Verantwortlichen.
Hintergrund
Grundlage der Urteile war der immaterielle Schadensersatzanspruch nach Art. 82 DS-GVO. Die Kernaussage des Gerichts: Verantwortliche haften auch dann, wenn der Schaden durch die Missachtung einer rechtmäßigen Weisung seitens eines Auftragsverarbeiters entstanden ist. Diese Haftung besteht, obwohl der Auftragsverarbeiter selbst ebenfalls haftbar sein kann. Ein Verweis auf die primäre Haftung des Auftragsverarbeiters ist laut Gericht nicht zulässig, da dies einem „wirksamen Schadenersatz“ widerspricht.
Wesentliche Urteilsfeststellungen
- Haftung trotz Weisungsverstoß des Auftragsverarbeiters:
- Der Verantwortliche bleibt gegenüber der betroffenen Person haftbar, auch wenn der Auftragsverarbeiter gegen Weisungen verstoßen hat.
- Eine Haftungsbefreiung ist nur möglich, wenn der Auftragsverarbeiter eigenmächtig und für eigene Zwecke handelt, was für den Verantwortlichen erkennbar war.
- Dauerhafte Kontrollpflicht:
- Art. 28 DS-GVO verpflichtet Verantwortliche zur kontinuierlichen Überwachung ihrer Auftragsverarbeiter.
- Dies umfasst auch die Nachkontrolle, ob überlassene Daten nach Abschluss der Verarbeitung gelöscht wurden.
- Eine Bestätigung der Datenlöschung durch den Auftragsverarbeiter ist erforderlich, und diese muss detailliert den Umfang der gelöschten Daten ausweisen.
- Einschränkungen des Schadenersatzanspruchs:
- Ein Anspruch auf Schadenersatz nach Art. 82 DS-GVO setzt eine unrechtmäßige Verarbeitung personenbezogener Daten voraus.
- Verletzungen von Benachrichtigungs- oder Auskunftspflichten allein begründen keinen solchen Anspruch.
- Risikobasierter Ansatz:
- Die Intensität der Überwachungsmaßnahmen sollte sich an der Sensibilität und dem Volumen der verarbeiteten Daten orientieren.
- Besonders bei der Verarbeitung sensibler oder umfangreicher Daten sind strengere Überwachungs- und Kontrollmaßnahmen erforderlich.
Handlungsempfehlungen für Unternehmen
Um Haftungsrisiken zu minimieren, sollten Unternehmen die folgenden Punkte beachten:
- Sorgfältige Auswahl und Dokumentation:
- Prüfen Sie potenzielle Auftragsverarbeiter gründlich vor Vertragsabschluss. Dokumentieren Sie die Ergebnisse der Prüfung.
- Schließen Sie mit jedem Auftragsverarbeiter einen Vertrag gemäß Art. 28 DS-GVO, der klare Weisungen und Kontrollmechanismen beinhaltet.
- Kontinuierliche Kontrolle:
- Führen Sie regelmäßige Audits und Stichproben durch, um sicherzustellen, dass der Auftragsverarbeiter die Datenschutzvorgaben einhält.
- Kontrollieren Sie insbesondere die Löschung personenbezogener Daten nach Abschluss der Verarbeitung und lassen Sie sich dies schriftlich bestätigen.
- Schulungen und Prozesse:
- Schulen Sie Ihr Personal zu den Verantwortlichkeiten und Kontrollpflichten gegenüber Auftragsverarbeitern.
- Etablieren Sie interne Prozesse, um Verstöße durch Auftragsverarbeiter frühzeitig zu erkennen und angemessen darauf zu reagieren.
- Dokumentation und Nachweisführung:
- Bewahren Sie alle relevanten Unterlagen zu Weisungen, Kontrollen und Löschbestätigungen auf. Diese können im Haftungsfall als Beweismittel dienen.
- Risikomanagement:
- Bewerten Sie die Risiken der Zusammenarbeit mit Auftragsverarbeitern regelmäßig und passen Sie Ihre Kontrollmaßnahmen entsprechend an.
- Nutzen Sie risikobasierte Methoden, um Ressourcen effizient einzusetzen und die größten Gefahrenquellen zu adressieren.
Fazit
Die Urteile des OLG Dresden verdeutlichen die hohe Verantwortung, die Verantwortliche auch bei der Einschaltung von Auftragsverarbeitern tragen. Unternehmen sollten proaktiv handeln, indem sie Kontrollpflichten konsequent umsetzen und dokumentieren. Eine lückenlose Nachverfolgung der Einhaltung datenschutzrechtlicher Vorgaben hilft nicht nur, Haftungsrisiken zu reduzieren, sondern stärkt auch das Vertrauen von Kunden und Geschäftspartnern.
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks