Das OLG Dresden hat entschieden, dass ein Unternehmen, das seine Auftragsverarbeiter nur unzureichend prüft, für deren Verstöße gegen die DS-GVO verantwortlich ist (OLG Dresden Urt. v. 15. Oktober 2024 – 4 U 940/24). Anlass dafür waren Verletzungen von Datenschutzvorschriften, die durch einen Hacker-Angriff aufgefallen sind. Durch die fehlende Kontrolle habe das beklagte Unternehmen gegen seine Datenschutzpflichten verstoßen.  

Im Nachfolgenden fassen wir die Gründe des Gerichts für diese Entscheidung zusammen und gehen anschließend darauf ein, welche Maßnahmen aus Unternehmersicht getroffen werden müssen. 

Hintergrund 

Die Beklagte betreibt einen Musikstreamingdienst und hatte bis Ende 2019 eine israelische Firma als Auftragsdatenverarbeiter beauftragt. Obwohl dem Vertrag zufolge die verarbeiteten Daten nach Vertragsende gelöscht werden sollten und der Auftragsdatenverarbeiter dies auch bestätigte, gelangten infolge eines Datenhacks im November 2022 Nutzerdaten der Beklagten, unter anderem die des Klägers, ins Darknet.  

Betroffene Daten waren neben E-Mail-Adresse und IP-Adresse auch Geburtsdaten und geografische Standorte. Infolgedessen informierte die Beklagte die betroffenen Nutzer und reichte eine Meldung über die Verletzung des Datenschutzes bei der französischen Datenschutzbehörde (CNIL) ein.  

Der Kläger behauptet, seine Daten seien bereits 2019 durch unzureichenden Schutz bei der Beklagten oder ihrem Auftragsdatenverarbeiter kompromittiert worden und wirft der Beklagten daneben vor, nicht zeitnah informiert zu haben und notwendige Schutzmaßnahmen unterlassen sowie die Überwachung ihres Dienstleisters vernachlässigt zu haben. Der Kläger sieht sich emotional und praktisch durch mögliche Folgen wie Identitätsdiebstahl, Phishing und Spam-Mails belastet. 

Das Landgericht Dresden wies die Klage mit der Begründung ab, dass der Datensatz aus dem Jahr 2019 stamme, der Hacking-Angriff jedoch erst 2022 stattgefunden habe. Im Berufungsverfahren rügte der Kläger daraufhin eine fehlerhafte Rechtsanwendung, insbesondere im Hinblick auf Art. 82 DS-GVO und verlangt daher die Entscheidung über die Reichweite des Schadensersatzanspruchs und die Aussetzung des Verfahrens bis zu relevanten EuGH- oder BGH-Entscheidungen, die zu vergleichbaren Fällen anhängig sind. 

Stellungnahme des OLG Dresden 

Das OLG Dresden entschied grundsätzlich, dass dem Kläger mangels eines Schadens kein Anspruch auf Schadensersatz zustände, da die betroffenen Daten des Klägers keine sensiblen Daten im Sinne der DS-GVO darstellen würden und es daher an einer konkreten Missbrauchsgefahr sowie an negativen Auswirkungen infolge des Datenverlusts fehlen würde, gleichwohl stellte das OLG Dresden fest, dass die Beklagte trotzdem ihre datenschutzrechtlichen Pflichten verletzt habe. Unternehmen unterliegen dem Gericht zufolge nämlich nicht nur der Verantwortung ihre Auftragsdatenverarbeiter sorgfältig auszuwählen, sondern diese auch regelmäßig zu überwachen. Abgeleitet wird diese Überwachungspflicht aus Art. 28 DS-GVO, worin eine andauernde Kontrollpflicht impliziert wird. Praxisfremde Praktiken wie etwa eine Vor-Ort-Kontrolle seien zwar nicht notwendig, jedoch entstehen bei großen Datenmengen und besonders sensiblen Daten sowie bei personenbezogene Daten nach Art. 9, 10 DS-GVO gesteigerte Kontrollpflichten, welche auch nach Beendigung des Vertrags bestehen bleiben.  

Die Beklagte hätte im Rahmen dieser Pflichten auch sicherstellen müssen, dass ihr Auftragsdatenverarbeiter die Daten nach Vertragsende tatsächlich löscht. Eine bloße Ankündigung über die Löschung durch den Auftragsverarbeiter genüge hierbei nicht, vielmehr hätte die Beklagte sich eine entsprechende Löschungsbestätigung einholen müssen.  

Auch der Auftragsdatenverarbeiter habe seine vertragliche Verpflichtung zur Löschung nach Vertragende verletzt, indem er die erhaltenen Daten in eine ungesicherte Testumgebung überführte, wodurch diese bei einem Hackerangriff ins Darknet gelangen und dort zum Verkauf angeboten werden konnten. Die Haftung der Beklagten könne nicht nach Art. 82 Abs. 3 DS-GVO wegen Fahrlässigkeit ausgeschlossen werden und auch das Handeln des Auftragsverarbeiters ist ihr zuzurechnen. 

Was bedeutet das für Unternehmen? 

Dieses Urteil hat erhebliche Auswirkungen auf die Praxis der Auftragsverarbeitung und unterstreicht die Bedeutung sorgfältiger Überwachung und Kontrolle durch die verantwortlichen Unternehmen. Damit die datenschutzrechtlichen Grundsätze zur Rechtmäßigkeit (Art. 5 Abs. 1 lit. a) DS-GVO), zur Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) und Speicherbegrenzung (Art. Art. 5 Abs. 1 e) DS-GVO) gewahrt werden, sind Auftragsverarbeiter nach Vertragsende verpflichtet, personenbezogene Daten zu löschen oder zurückzugeben. Um der Kontrollpflicht des Art. 28 DS-GVO über diese Löschung nachzukommen, sollten Unternehmen die Löschung mit dem Auftragsverarbeiter nach Vertragsende zuvor schriftlich festhalten. Besonders wichtig ist hierbei die Vereinbarung über eine Löschbestätigung, welche konkrete Rahmenbedingungen, wie Datum, Person des Löschenden oder Art der Löschung enthält.  

Um die Kontroll- und Überwachungspflichten aus Art. 29, 32 DS-GVO zu erfüllen, ist die Löschung von sensiblen Daten durch den Auftraggeber regelmäßig zu überprüfen. Falls nämlich Kundendaten beim Auftragsverarbeiter bleiben und der Auftraggeber nicht alle nötigen Maßnahmen zur Löschung getroffen hat, haftet dieser im Schadensfall nach den Regelungen des Art. 82 DS-GVO.