Kontrollpflichten von Verantwortlichen: Haftung bei fehlender DS-GVO-Überprüfung von Auftragsverarbeitern

Kontrollpflichten von Verantwortlichen: 

Haftung bei fehlender DS-GVO-Überprüfung von Auftragsverarbeitern  

claudio-schwarz-fyeOxvYvIyY-unsplash

Das OLG Dresden hat entschieden, dass ein Unternehmen, das seine Auftragsverarbeiter nur unzureichend prüft, für deren Verstöße gegen die DS-GVO verantwortlich ist (OLG Dresden Urt. v. 15. Oktober 2024 – 4 U 940/24). Anlass dafür waren Verletzungen von Datenschutzvorschriften, die durch einen Hacker-Angriff aufgefallen sind. Durch die fehlende Kontrolle habe das beklagte Unternehmen gegen seine Datenschutzpflichten verstoßen.  

Im Nachfolgenden fassen wir die Gründe des Gerichts für diese Entscheidung zusammen und gehen anschließend darauf ein, welche Maßnahmen aus Unternehmersicht getroffen werden müssen. 

Hintergrund 

Die Beklagte betreibt einen Musikstreamingdienst und hatte bis Ende 2019 eine israelische Firma als Auftragsdatenverarbeiter beauftragt. Obwohl dem Vertrag zufolge die verarbeiteten Daten nach Vertragsende gelöscht werden sollten und der Auftragsdatenverarbeiter dies auch bestätigte, gelangten infolge eines Datenhacks im November 2022 Nutzerdaten der Beklagten, unter anderem die des Klägers, ins Darknet.  

Betroffene Daten waren neben E-Mail-Adresse und IP-Adresse auch Geburtsdaten und geografische Standorte. Infolgedessen informierte die Beklagte die betroffenen Nutzer und reichte eine Meldung über die Verletzung des Datenschutzes bei der französischen Datenschutzbehörde (CNIL) ein.  

Der Kläger behauptet, seine Daten seien bereits 2019 durch unzureichenden Schutz bei der Beklagten oder ihrem Auftragsdatenverarbeiter kompromittiert worden und wirft der Beklagten daneben vor, nicht zeitnah informiert zu haben und notwendige Schutzmaßnahmen unterlassen sowie die Überwachung ihres Dienstleisters vernachlässigt zu haben. Der Kläger sieht sich emotional und praktisch durch mögliche Folgen wie Identitätsdiebstahl, Phishing und Spam-Mails belastet. 

Das Landgericht Dresden wies die Klage mit der Begründung ab, dass der Datensatz aus dem Jahr 2019 stamme, der Hacking-Angriff jedoch erst 2022 stattgefunden habe. Im Berufungsverfahren rügte der Kläger daraufhin eine fehlerhafte Rechtsanwendung, insbesondere im Hinblick auf Art. 82 DS-GVO und verlangt daher die Entscheidung über die Reichweite des Schadensersatzanspruchs und die Aussetzung des Verfahrens bis zu relevanten EuGH- oder BGH-Entscheidungen, die zu vergleichbaren Fällen anhängig sind. 

Stellungnahme des OLG Dresden 

Das OLG Dresden entschied grundsätzlich, dass dem Kläger mangels eines Schadens kein Anspruch auf Schadensersatz zustände, da die betroffenen Daten des Klägers keine sensiblen Daten im Sinne der DS-GVO darstellen würden und es daher an einer konkreten Missbrauchsgefahr sowie an negativen Auswirkungen infolge des Datenverlusts fehlen würde, gleichwohl stellte das OLG Dresden fest, dass die Beklagte trotzdem ihre datenschutzrechtlichen Pflichten verletzt habe. Unternehmen unterliegen dem Gericht zufolge nämlich nicht nur der Verantwortung ihre Auftragsdatenverarbeiter sorgfältig auszuwählen, sondern diese auch regelmäßig zu überwachen. Abgeleitet wird diese Überwachungspflicht aus Art. 28 DS-GVO, worin eine andauernde Kontrollpflicht impliziert wird. Praxisfremde Praktiken wie etwa eine Vor-Ort-Kontrolle seien zwar nicht notwendig, jedoch entstehen bei großen Datenmengen und besonders sensiblen Daten sowie bei personenbezogene Daten nach Art. 9, 10 DS-GVO gesteigerte Kontrollpflichten, welche auch nach Beendigung des Vertrags bestehen bleiben.  

Die Beklagte hätte im Rahmen dieser Pflichten auch sicherstellen müssen, dass ihr Auftragsdatenverarbeiter die Daten nach Vertragsende tatsächlich löscht. Eine bloße Ankündigung über die Löschung durch den Auftragsverarbeiter genüge hierbei nicht, vielmehr hätte die Beklagte sich eine entsprechende Löschungsbestätigung einholen müssen.  

Auch der Auftragsdatenverarbeiter habe seine vertragliche Verpflichtung zur Löschung nach Vertragende verletzt, indem er die erhaltenen Daten in eine ungesicherte Testumgebung überführte, wodurch diese bei einem Hackerangriff ins Darknet gelangen und dort zum Verkauf angeboten werden konnten. Die Haftung der Beklagten könne nicht nach Art. 82 Abs. 3 DS-GVO wegen Fahrlässigkeit ausgeschlossen werden und auch das Handeln des Auftragsverarbeiters ist ihr zuzurechnen. 

Was bedeutet das für Unternehmen? 

Dieses Urteil hat erhebliche Auswirkungen auf die Praxis der Auftragsverarbeitung und unterstreicht die Bedeutung sorgfältiger Überwachung und Kontrolle durch die verantwortlichen Unternehmen. Damit die datenschutzrechtlichen Grundsätze zur Rechtmäßigkeit (Art. 5 Abs. 1 lit. a) DS-GVO), zur Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) und Speicherbegrenzung (Art. Art. 5 Abs. 1 e) DS-GVO) gewahrt werden, sind Auftragsverarbeiter nach Vertragsende verpflichtet, personenbezogene Daten zu löschen oder zurückzugeben. Um der Kontrollpflicht des Art. 28 DS-GVO über diese Löschung nachzukommen, sollten Unternehmen die Löschung mit dem Auftragsverarbeiter nach Vertragsende zuvor schriftlich festhalten. Besonders wichtig ist hierbei die Vereinbarung über eine Löschbestätigung, welche konkrete Rahmenbedingungen, wie Datum, Person des Löschenden oder Art der Löschung enthält.  

Um die Kontroll- und Überwachungspflichten aus Art. 29, 32 DS-GVO zu erfüllen, ist die Löschung von sensiblen Daten durch den Auftraggeber regelmäßig zu überprüfen. Falls nämlich Kundendaten beim Auftragsverarbeiter bleiben und der Auftraggeber nicht alle nötigen Maßnahmen zur Löschung getroffen hat, haftet dieser im Schadensfall nach den Regelungen des Art. 82 DS-GVO. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN

BGH zur Anpassung der Gewerberaummiete während des Lockdowns

BGH Gewerberaummiete

Der BGH hat nun geurteilt, dass eine Anpassung der Gewerbemiete wegen einer behördlichen Schließung aufgrund der Pandemie grundsätzlich möglich ist.

BGH Gewerberaummiete

Stand Februar 2022

BGH zur Anpassung der Gewerberaummiete während des Lockdowns  

Einführung  

Zu Anfang der COVID-19-Pandemie im Frühjahr 2020 wurde der gesamte Einzelhandel, mit Ausnahme von Geschäften für den täglichen Lebensbedarf, geschlossen, um eine Ausbreitung des Virus zu verlangsamen. Auch ein Bekleidungsgeschäft aus Sachsen musste aufgrund einer Allgemeinverfügung des Sächsischen Staatsministeriums vom 19.03.2020 bis zum 19.04.2020 sein Geschäft schließen und zahlte deshalb nicht die vereinbarte Miete in Höhe von 8.000 EUR für den Monat April. Hiergegen ging der Vermieter gerichtlich vor.  

In der ersten Instanz hatte das Landgericht (LG) Chemnitz (Urt. v. 26.08.2020, 4 O 639/20) geurteilt, dass die vollständige Miete zu entrichten sei, auch wenn das Ladenlokal aufgrund behördlicher Anordnung geschlossen bleiben musste. Das Oberlandesgericht (OLG) Dresden (Urt. v.  24.02.2021, 5 U 1782/20) sah den Fall hingegen anders und entschied, dass Mieter und Vermieter in einem solchen Fall das Risiko zu gleichen Teilen tragen und deshalb eine Mietzahlung von 50 % von dem Textilunternehmen zu entrichten sei. 

Mit diesem Ergebnis waren beide Parteien nicht einverstanden, sodass Revision beim Bundesgerichtshof (BGH) eingelegt wurde. Im Folgenden wird erläutert, wie der BGH sich in dem Fall entschieden hat (BGH, Urt. v. 12.01.2022, XII ZR 8/21). 

Entscheidung des BGH 

Ladenschließung als Mietmangel? 

Der BGH stellte zunächst klar, dass es sich bei einer behördlich angeordneten Geschäftsschließung nicht um einen Mietmangel im Sinne des § 536 Abs. 1 S. 1 des Bürgerlichen Gesetzbuchs (BGB) handele und die Miete nicht deshalb zu kürzen sei. Ein Mietmangel könne immer nur dann angenommen werden, wenn die Gebrauchsfähigkeit der Mietsache eingeschränkt sei. Dies könne im Fall einer pandemiebedingten Schließung jedoch gerade nicht angenommen werden; die Geschäftsräume standen der Bekleidungskette weiterhin zur Verfügung. Die Gebrauchsbeschränkung hänge nicht unmittelbar mit der Beschaffenheit, dem Zustand oder der Lage des Mietobjekts zusammen, sondern untersage vielmehr nur für einen kurzen Zeitraum eine bestimmte Nutzungsart. Dem Textilunternehmen werde also nicht jegliche Art der Nutzung untersagt, noch werde dem Vermieter die tatsächliche oder rechtliche Überlassung der Mieträume verboten. 

Ladenschließung als Störung der Geschäftsgrundlage? 

Eine Anpassung der Höhe des Mietzinses sei jedoch gem. § 313 Abs. 1 BGB aufgrund einer Störung der Geschäftsgrundlage möglich, so der BGH. Dem stehe auch nicht entgegen, dass in Art. 240 § 2 des Einführungsgesetzes zum Bürgerlichen Gesetzbuch (EGBGB) besondere Kündigungsregeln für die Zeit der Pandemie festgelegt wurden. Diese Beschränkung bestünde nur für Kündigungsfälle und treffe keine Aussagen über die Höhe der zu zahlenden Miete. Nach Ansicht der Karlsruher Richter könne eine Anpassung gem. § 313 Abs. 1 BGB stattfinden, wenn die sog. “große Geschäftsgrundlage” betroffen sei, also wenn sich die grundlegenden politischen, wirtschaftlichen und sozialen Rahmenbedingungen eines Vertrages im Nachhinein bedeutend verändert hätten und die Sozialexistenz erschüttert würde.

Ein weiteres Indiz für die Annahme einer Störung der Geschäftsgrundlage im Fall einer pandemiebedingten Schließung sei die (auf diesen Fall zwar nicht anwendbare) Neuregelung in Art. 240 § 7 EBGBG aus Dezember 2020, welche die Vermutung aufstellt, dass sich durch eine Geschäftsschließung aufgrund der COVID-19-Pandemie die Grundlage eines Gewerbemietvertrages grundlegend geändert habe. 

Darüber hinaus müsse das Festhalten am ursprünglichen Vertrag zumindest für eine Vertragspartei unter Berücksichtigung der vertraglichen und gesetzlichen Risikoverteilung nicht zumutbar erscheinen. Laut BGH könne für die staatlichen Eingriffe aufgrund der Pandemie in Form der Ladenschließungen und die folgenden Umsatzeinbrüche der Unternehmen keine der Mietparteien verantwortlich gemacht werden. Es habe sich einzig das allgemeinen Lebensrisiko verwirklicht, welches regelmäßig keiner Vertragspartei allein zugerechnet werden kann.

Aus diesen Überlegungen folge jedoch nicht, dass Mietzahlungen im Falle eines pandemiebedingten Lockdowns stets zu kürzen bzw. anzupassen seien. Im Gegensatz zur pauschalen Risikoverteilung von 50 %, welche das OLG Dresden angeführt hat, ist der BGH der Ansicht, dass eine pauschale Herabsetzung nicht gerechtfertigt sei und stets eine ausführliche Prüfung des Einzelfalls stattfinden müsse, um zu bestimmen, ob dem Mieter die vollständige Zahlung  zumutbar sei.

Zu berücksichtigen seien hierbei unter anderem die Nachteile, die der Mieter durch die Geschäftsschließung und deren Dauer erlitten habe, die Höhe des Umsatzrückgangs, etwaige finanzielle Vorteile, die der Mieter aus staatlichen  Leistungen zum Ausgleich der pandemiebedingten Schließungen erhalten habe sowie Leistungen einer Betriebsversicherung.

Nicht zu berücksichtigen seien jedoch staatliche Darlehen, da sie zurückgezahlt werden müssen und deshalb keine vollständige Kompensation darstellen würden. Es sei zudem in die Beurteilung miteinzubeziehen, ob und welche Maßnahmen der Mieter zur Verhinderung der (drohenden) finanziellen Einbrüche geleistet habe oder hätte leisten können. 

Fazit 

Aufgrund dieser Überlegungen hat der BGH das Urteil des OLG Dresden aufgehoben und das Gericht angewiesen, den Sachverhalt erneut zu prüfen. Das OLG ist nun angehalten, die konkreten wirtschaftlichen Auswirkungen der Betriebsschließung des Bekleidungsgeschäfts zu untersuchen und eine Anpassung der Miete für April 2020 vorzunehmen, sofern die ursprünglichen Konditionen nicht zumutbar erscheinen. Es bleibt nun das Urteil des OLG Dresden abzuwarten. 

Es ist festzuhalten, dass eine Anpassung der Gewerbemiete aufgrund einer hoheitlichen Schließungsanordnung im Rahmen der COVID-19-Pandemie gem. § 313 Abs. 1 BGB im Einzelfall vorgenommen werden kann. Ein genereller Anspruch auf eine Kürzung besteht jedoch nicht und pauschale Kürzungen um 50 % sind ebenfalls nicht gerechtfertigt; es bedarf vielmehr einer umfassenden Abwägung im Einzelfall.  

Für die Praxis empfiehlt es sich, bei Neuabschlüssen von Gewerbemietverträgen bereits im Vorhinein Regelungen zur Risikoverteilungen für solche Fälle zu treffen, in denen keine der Parteien für das Risiko verantwortlich ist, sich also das allgemeine Lebensrisiko verwirklicht.  

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
KONTAKT AUFNEHMEN