OLG Dresden: Unternehmen haften bei unzureichender Kontrolle ihrer Auftragsverarbeiter
Am 15. Oktober 2024 hat das Oberlandesgericht (OLG) Dresden ein wichtiges Urteil zur Haftung von Unternehmen im Umgang mit ihren Auftragsverarbeitern gefällt (Az. 4 U 940/24). Der Fall, der einen Musikstreaming-Dienstleister betraf, beleuchtet eindringlich die Sorgfaltspflichten von Verantwortlichen und zeigt, welche Konsequenzen Nachlässigkeit haben kann.
Der Fall: Ein Musikstreaming-Dienst und seine Daten
Ein Musikstreaming-Unternehmen hatte einen israelischen Dienstleister für Datenverarbeitung beauftragt. Nach Beendigung des Vertragsverhältnisses im Jahr 2019 verpflichtete sich der Dienstleister, alle gespeicherten Daten am Tag nach Vertragsende zu löschen. Eine schriftliche Bestätigung sollte innerhalb von 21 Tagen erfolgen. Diese erfolgte jedoch erst nach fast vier Jahren und nur auf ausdrückliche Nachfrage.
Während dieser Zeit ereignete sich ein Hackerangriff auf den Dienstleister. Daten des Musikstreaming-Anbieters gelangten in die Hände Dritter und wurden sogar im Darknet angeboten. Ein Betroffener machte daraufhin Schadensersatz nach Art. 82 DSGVO geltend, mit der Begründung, das Unternehmen habe seine Kontrollpflichten gegenüber dem Auftragsverarbeiter verletzt.
Die Entscheidung des Gerichts
Das OLG Dresden urteilte zugunsten des Klägers. Es stellte fest, dass der Musikstreaming-Anbieter gegen seine Kontrollpflichten nach Art. 28 DSGVO verstoßen habe. Insbesondere kritisierten die Richter:
- Fehlende Überprüfung der Datenlöschung: Das Unternehmen habe keine detaillierte, schriftliche Bestätigung über die Löschung eingefordert, obwohl dies vertraglich vorgesehen war. Eine einfache Ankündigung der Löschung genügte nicht den Anforderungen.
- Verantwortung trotz Vertragsende: Die Verpflichtung, Daten sicher und DSGVO-konform zu löschen, endet nicht automatisch mit der Vertragsbeziehung. Der Verantwortliche bleibt dafür haftbar, dass der Auftragsverarbeiter seinen Verpflichtungen nachkommt.
- Unzureichendes Risikomanagement: Der Hackerangriff verdeutlichte, dass die Daten nicht ordnungsgemäß gelöscht und damit angreifbar waren.
Diese Versäumnisse führten laut Gericht zu einer Haftung des Musikstreaming-Dienstes für die Datenschutzverstöße seines ehemaligen Dienstleisters.
Was Unternehmen aus diesem Urteil lernen können
Der Fall macht klar, dass Verantwortliche auch nach Beendigung eines Vertragsverhältnisses ihre Kontrollpflichten ernst nehmen müssen. Dies betrifft insbesondere die ordnungsgemäße Löschung von Daten.
Um Haftungsrisiken zu minimieren, sollten Unternehmen folgende Schritte beachten:
- Sorgfältige Auswahl von Auftragsverarbeitern: Bereits bei der Beauftragung eines Dienstleisters sollten Zertifikate und DSGVO-Standards geprüft werden.
- Klare Vertragsregelungen: Verträge müssen konkrete Vorgaben zur Datenlöschung und regelmäßigen Berichterstattung enthalten.
- Kontrolle und Dokumentation: Verantwortliche sollten sicherstellen, dass Löschungsbestätigungen zeitnah und umfassend vorliegen. Schriftliche Nachweise mit detaillierter Auflistung der gelöschten Daten sind entscheidend.
- Risikobewertung: Regelmäßige Audits und Sicherheitsüberprüfungen helfen, potenzielle Schwachstellen frühzeitig zu erkennen.
Fazit: Vorsicht ist besser als Nachsicht
Das Urteil des OLG Dresden setzt ein klares Signal: Verantwortliche müssen die Einhaltung der DSGVO durch ihre Auftragsverarbeiter aktiv überwachen – und zwar auch nach Vertragsende. Versäumnisse können nicht nur finanzielle, sondern auch reputative Schäden mit sich bringen. Unternehmen sollten daher Prozesse etablieren, die eine lückenlose Kontrolle und Dokumentation gewährleisten, um in einer zunehmend digitalen Welt rechtssicher zu agieren.
Autor: Markus Vatter, Head of Compliance, 16.01.2025
