Schadenersatzpflicht wegen fehlender Auftragsverarbeitungsvereinbarung
Das OLG Lübeck hat am 4. Oktober 2024 festgestellt, dass schon allein das Fehlen eines Auftragsverarbeitungsvertrages (AVV) nach Art. 28 DSGVO die Beauftragung eines Dienstleisters rechtswidrig macht und zu Schadenersatz führt.
Im vorliegenden Fall gab es dafür „nur“ 350 € Schadenersatz und rund 4.000 € Prozesskosten für zwei Instanzen. Wenn Sie mehrere Kunden haben, fällt diese Summe pro Kunden an, der klagt. Die hohen Hürden, die das Urteil noch für den darin enthaltenen immateriellen Schadenersatz verlangte, hat der BGH kurze Zeit später in seiner ersten Leitentscheidung entfallen lassen. Schon allein der Kontrollverlust über eine Telefonnummer berechtigt ohne weiteren Nachweis zu Schadenersatz von rund 100 €.
Was tun?
-
Bitte achten Sie darauf, dass Sie eine Liste aller Auftragsverarbeiter (Nachunternehmer) führen. Die ist nicht nur verpflichtend, sondern hilft Ihnen, keinen zu vergessen.
-
Es reicht nicht, einen AVV abzuschließen. Sie müssen auch die Zuverlässigkeit Ihres Nachunternehmers anfangs und laufend prüfen sowie dokumentieren.
-
Wenn Sie selbst Dienstleister sind, müssen Sie zusätzlich eine Liste Ihrer Auftragnehmer führen.
-
Sofern Ihre Auftragsverarbeiter in einem „unsicheren Drittland“ sind, wie die USA, müssen Sie zusätzliche Sicherheitsmaßnahmen ergreifen.
Sofern Ihr Nachunternehmer nicht den Sonderbedingungen eines Angemessenheitsbeschlusses der Kommission unterfällt (z. B.: TADPF), sollten Sie die Standarddatenschutzklauseln verwenden und zum Risikomanagement eine individuelle Drittlandsfolgeabschätzung durchführen.
Für Konzerne bieten sich natürlich auch „Verbindliche interne Datenschutzvorschriften“ (VID/BCR) an, aber deren Prüfung ist für die meisten zu langwierig und teuer.
Wir raten selbst mit Angemessenheitsbeschluss immer zu den Standarddatenschutzklauseln, wenn Daten in den USA verarbeitet werden, weil noch kein Angemessenheitsbeschluss der Kommission mit diesem Staat vor dem EuGH bestehen konnte. Durch den Regierungswechsel und den angekündigten „Bürokratieabbau“ in Amerika, hat sich dieses Risiko zusätzlich erhöht, weil die bisherige Einschätzung der EU wesentlich auf Dekreten des Präsidenten beruhten, die jederzeit geändert werden können.
Ausnahmen
Nicht jede Dienstleistung verpflichtet zu einem AVV, sondern nur solche, die nach Weisung mindestens als einen Zweck die Verarbeitung personenbezogener Daten haben. Ausgenommen sind aber auch in strengeren Gesetzen geregelte Dienste. So werden Telekommunikation, Kurierdienste, Reinigung und Bewachung meist keinen AVV erforderlich machen.
Auch freie Berufe müssen grundsätzlich keinen AVV abschließen, aber aus einem anderen Grund: Sie handeln in eigener Verantwortung teils in eigenem Interesse und sind deshalb für Ihre Technisch-Organisatorischen Maßnahmen eigenverantwortlich. Mit solchen Dienstleistern muss stattdessen ein Vertrag über die gemeinsame Verantwortlichkeit abgeschlossen werden. Aber Achtung: Beziehen Sie von einem solchen Anbieter zusätzliche Dienste nach Ihren Anweisungen, kann es notwendig werden, zusätzlich für diese Einzelleistungen einen AVV abzuschließen.
Wie geht es weiter?
Gerne erstellen und dokumentieren wir Ihnen die Liste der Auftragsverarbeiter. Normal entsteht sie fast von selbst bei der gemeinsamen Erstellung des Verarbeitungsverzeichnisses (VVZ).
-
Facebook-Leitentscheidung: Schadenersatz für Kontrollverlust vom 18.11.2024
-
Ausführlich: Optimale Auftragsverarbeitung
-
Fein AVV | bitbase group – unsere flexible Lösung, um AVV online dynamisch zu erstellen und abzuschließen.
Autor: Thomas Hofmann, Data Privacy Legal Consultant, 23.01.2025
