Zurück zur Übersicht
02.12.2024Fachbeitrag

Update Datenschutz Nr. 194

Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken

Das LG Lübeck (Landgericht Lübeck, Urteil vom 4. Oktober 2024 – 15 O 216/23) und das OLG Dresden (Oberlandesgericht Dresden, Urteil vom 15.10.2024 – 4 U 940/24) haben die Pflichten des Verantwortlichen im Rahmen der Auftragsdatenverarbeitung weiter konkretisiert.

Verantwortliche müssen zunächst sicherstellen, dass jegliche (Unter-)Auftragsdatenverarbeitung im Rahmen einer vertraglichen Vereinbarung erfolgt (Art. 28 Abs. 3 DSGVO). Die Pflicht zur sorgfältigen Überwachung sämtlicher (Unter-)Auftragsverarbeiter erstreckt sich sodann auch auf den Zeitraum nach der Vertragsbeendigung. Eine Entlastung vom Vorwurf des Verschuldens (Exkulpation) gem. Art. 82 Abs. 3 DSGVO gelingt nicht, wenn der Verantwortliche diese beiden Anforderungen nicht beachtet.

Hintergrund

Beide Urteile betreffen jeweils den Diebstahl von Kundendaten bei einem (Unter-)Auftragsverarbeiter eines Online-Musikstreamingdienstes. Betroffene Verbraucher haben daraufhin jeweils Klage gegen den Online-Musikstreamingdienst aufgrund der Verletzung von Datenschutzvorschriften erhoben.

Haftung für Datenschutzverstöße im Rahmen der Auftragsdatenverarbeitung

Durchgehende vertragliche Regelung der Auftragsdatenverarbeitung vom Verantwortlichen bis zum Unterauftragsverarbeiter – keine Erstreckung einer Auftragsverarbeitungsvereinbarung auf Konzerngesellschaften

Werden personenbezogene Daten an Dritte zur Verarbeitung weitergegeben, ist stets eine vertragliche Vereinbarung im Sinne von Art. 28 Abs. 3 DSGVO (Auftragsverarbeitungsvereinbarung: AVV) erforderlich. Die AVV muss zwischen dem Verantwortlichem (Art. 4 Nr. 7 DSGVO) und dem Dritten als weiteren Datenverarbeiter bestehen. Dadurch wird der Dritte zum Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO.

Das LG Lübeck hat diesbezüglich entschieden, dass sich eine AVV zwischen einem Konzern als Auftragsverarbeiter und dem Verantwortlichen nicht (automatisch) auf andere Konzerngesellschaften des Auftragsverarbeiters erstreckt. Gibt der Verantwortliche Daten an eine Konzerngesellschaft als Unterauftragsverarbeiter weiter, muss er sicherstellen, dass entweder zwischen seinem Vertragspartner als Auftragsverarbeiter und der Konzerngesellschaft als Unterauftragsverarbeiter eine Vereinbarung gem. Art. 28 Abs. 3 DSGVO vorliegt oder selbst mit dem Unterauftragsverarbeiter eine Vereinbarung gem. Art. 28 Abs. 3 DSGVO abschließen. Ansonsten ist die Weitergabe personenbezogener Daten an den Unterauftragsverarbeiter rechtswidrig.

Kommt es bei einem (Unter-)Auftragsverarbeiter zu einem Verstoß gegen die DSGVO, haftet der Verantwortliche ebenfalls für diesen Verstoß, sofern die Datenweitergabe nicht auf einer wirksamen AVV beruht. Eine Exkulpation des Verantwortlichen gem. Art. 82 Abs. 3 DSGVO kommt nur in Betracht, sofern er die rechtswidrige Weitergabe an den Unterauftragsverarbeiter selbst nicht zu vertreten hat. Eine fahrlässige Daten-Weitergabe trotz fehlender AVV reicht aus, um die Haftung des Verantwortlichen zu begründen. Der Verantwortliche haftet dementsprechend für einen Datenschutzverstoß des Unterauftragsverarbeiters, wenn er ohne Nachweise darauf vertraut, dass innerhalb eines Konzerns AVV bestehen, es tatsächlich aber keine AVV gibt, welche die Datenverarbeitung durch den Unterauftragsverarbeiter regelt und legitimiert.

Pflicht zur sorgfältigen Überwachung im Rahmen der Auftragsdatenverarbeitung – fortbestehende Dauerpflicht auch nach Beendigung der Auftragsdatenverarbeitung

Das OLG Dresden stellt in seinem Urteil fest, dass der Verantwortliche von ihm beauftragte Auftragsverarbeiter sorgfältig überwachen muss. Es handelt sich um eine fortbestehende Dauerpflicht, die sich aus Art. 28, 32 DSGVO ergibt.

Die konkrete Ausgestaltung der Pflicht ist von den jeweiligen Umständen des Einzelfalls abhängig. Ist ein IT-Dienstleister bereits als zuverlässig bekannt, sollen grundsätzlich keine besonderen Überwachungspflichten bestehen. Sofern besonders sensible personenbezogene Daten im Sinne von Art. 9, 10 DSGVO oder große Datenmengen verarbeitet werden, bestehen jedoch gesteigerte Kontrollpflichten.

Wird die AVV beendet, muss der Verantwortliche sicherstellen, dass der (Unter-)Auftragsverarbeiter „die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige [schriftliche] Bescheinigung ausstellt“ (Rn. 25). Der Verantwortliche muss dabei sicherstellen, dass sich die schriftliche Bestätigung zur Löschung der Daten auf sämtliche personenbezogenen Daten erstreckt – die Erklärung muss z. B. auch Kopien erfassen. Nennt der (Unter-)Auftragsverarbeiter für die Löschung der Daten eine Frist, benötigt der Verantwortliche nach Fristablauf eine erneute schriftliche Bestätigung dahingehend, dass die überlassenen personenbezogenen Daten tatsächlich vollständig gelöscht wurden.
Kann der Verantwortliche nicht nachweisen, dass er seine Überwachungspflichten auch nach Vertragsende bzgl. der Löschung der Daten beim (Unter-)Auftragsverarbeiter erfüllt hat, haftet er (weiterhin) für nachvertragliche Datenschutzverstöße des Auftragsverarbeiters.

Fazit

Beide Urteile konkretisieren die fortbestehenden Pflichten des Verantwortlichen im Rahmen der Auftragsdatenverarbeitung.

In der Praxis sollten Verantwortliche prüfen und sicherstellen, dass jede Beauftragung Dritter mit der Verarbeitung personenbezogener Daten im Rahmen von Auftragsverarbeitungsvereinbarungen (AVV) erfolgt. Leitet ein Verantwortlicher personenbezogene Daten selbst an einen Unterauftragsverarbeiter weiter, muss er sicherstellen, dass diese Weitergabe ebenfalls auf einer AVV beruht. Dabei ist zu beachten, dass keine Erstreckung bestehender AVV auf Konzerngesellschaften erfolgt und Verantwortliche (ohne konkrete Nachweise) nicht davon ausgehen dürfen, dass innerhalb eines Konzerns AVV bestehen. Bestehen AVV mit Konzernen, müssen Verantwortliche deshalb selbst sicherstellen, dass sämtliche Datenverarbeitungen durch Konzern-Gesellschaften ebenfalls auf AVV beruhen.

Nach Beendigung einer AVV sollte sich der Verantwortliche vom (Unter-)Auftragsverarbeiter eine schriftliche Bestätigung bzgl. der Löschung der übermittelten personenbezogenen Daten ausstellen lassen. Aus dieser Bestätigung muss sich ergeben, dass sämtliche an ihn übermittelten personenbezogenen Daten gelöscht wurden. Kopien der übermittelten personenbezogenen Daten müssen davon ebenfalls erfasst sein. Eine bloße Bestätigung der künftigen Löschung (z. B. binnen 21 Tagen) genügt nicht.

Verantwortliche können ihr Haftungsrisiko reduzieren, indem sie die beiden oben genannten Anforderungen im Rahmen der Auftragsdatenverarbeitung beachten. Verantwortliche ermöglichen und erleichtern dadurch ihre Exkulpation gem. Art. 82 Abs. 3 DSGVO, sollte es bei (Unter-)Auftragsverarbeitern zu einem Datenschutzverstoß kommen.

Wir unterstützen Sie gerne dabei Ihre Datenverarbeitungstätigkeiten rechtskonform auszugestalten und bekannte Haftungsrisiken zu vermeiden. Dies umfasst u. a. die rechtliche Ausgestaltung von (Unter-)Auftragsverarbeitungsverhältnissen sowie deren Beendigung.

Hinweis: Die Berufung bzw. Revision gegen die Urteile wurden jeweils zugelassen. Sollten sich bezüglich der dargestellten Pflichten im Rahmen der Auftragsdatenverarbeitung Änderungen ergeben, werden wir diese im Rahmen eines Updates darstellen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Andrea Elisabeth Bauer
München
Dr. Thomas Jansen
München

Ansprechpartner

Andrea Elisabeth Bauer
München
Dr. Thomas Jansen
München

Weitere Artikel

27.11.2024
Neue Vorgaben zur Barrierefreiheit: Betroffene Unternehmen müssen bis Juni ihren Webauftritt überarbeiten
15.11.2024
Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000
04.11.2024
BGH urteilt zur Panoramafreiheit bei Drohnenaufnahmen
04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis
31.10.2024
Cyber Resilience Act verabschiedet und NIS2-Umsetzung in Deutschland auf der Zielgeraden
29.10.2024
Der Referentenentwurf für das Beschäftigtendatengesetz (BeschDG) – Fundament für den rechtssicheren Umgang mit Beschäftigtendaten in der digitalen Arbeitswelt?
17.10.2024
Europäische Kommission veröffentlicht FAQ zum Data Act
15.10.2024
Urteil des OLG München: DSGVO-Verstoß führt zur fristlosen Kündigung eines Vorstandsmitglieds
30.09.2024
Künstliche Intelligenz: Diese gesetzlichen Pflichten greifen bereits ab Februar 2025
20.09.2024
Bundesregierung erlässt Einwilligungsverwaltungsverordnung – (K)ein Ende der Cookie-Banner?
11.09.2024
Verhältnis zwischen Abmahnerfordernis und plattforminternen Abhilfe- und Meldesystemen – Entscheidung des LG Köln
05.09.2024
OLG München zur Rückzahlung bei Online-Coaching-Verträgen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.