Kontrollpflichten von Verantwortlichen: Haftung bei fehlender DS-GVO-Überprüfung von Auftragsverarbeitern

Kontrollpflichten von Verantwortlichen: 

Haftung bei fehlender DS-GVO-Überprüfung von Auftragsverarbeitern  

claudio-schwarz-fyeOxvYvIyY-unsplash

Das OLG Dresden hat entschieden, dass ein Unternehmen, das seine Auftragsverarbeiter nur unzureichend prüft, für deren Verstöße gegen die DS-GVO verantwortlich ist (OLG Dresden Urt. v. 15. Oktober 2024 – 4 U 940/24). Anlass dafür waren Verletzungen von Datenschutzvorschriften, die durch einen Hacker-Angriff aufgefallen sind. Durch die fehlende Kontrolle habe das beklagte Unternehmen gegen seine Datenschutzpflichten verstoßen.  

Im Nachfolgenden fassen wir die Gründe des Gerichts für diese Entscheidung zusammen und gehen anschließend darauf ein, welche Maßnahmen aus Unternehmersicht getroffen werden müssen. 

Hintergrund 

Die Beklagte betreibt einen Musikstreamingdienst und hatte bis Ende 2019 eine israelische Firma als Auftragsdatenverarbeiter beauftragt. Obwohl dem Vertrag zufolge die verarbeiteten Daten nach Vertragsende gelöscht werden sollten und der Auftragsdatenverarbeiter dies auch bestätigte, gelangten infolge eines Datenhacks im November 2022 Nutzerdaten der Beklagten, unter anderem die des Klägers, ins Darknet.  

Betroffene Daten waren neben E-Mail-Adresse und IP-Adresse auch Geburtsdaten und geografische Standorte. Infolgedessen informierte die Beklagte die betroffenen Nutzer und reichte eine Meldung über die Verletzung des Datenschutzes bei der französischen Datenschutzbehörde (CNIL) ein.  

Der Kläger behauptet, seine Daten seien bereits 2019 durch unzureichenden Schutz bei der Beklagten oder ihrem Auftragsdatenverarbeiter kompromittiert worden und wirft der Beklagten daneben vor, nicht zeitnah informiert zu haben und notwendige Schutzmaßnahmen unterlassen sowie die Überwachung ihres Dienstleisters vernachlässigt zu haben. Der Kläger sieht sich emotional und praktisch durch mögliche Folgen wie Identitätsdiebstahl, Phishing und Spam-Mails belastet. 

Das Landgericht Dresden wies die Klage mit der Begründung ab, dass der Datensatz aus dem Jahr 2019 stamme, der Hacking-Angriff jedoch erst 2022 stattgefunden habe. Im Berufungsverfahren rügte der Kläger daraufhin eine fehlerhafte Rechtsanwendung, insbesondere im Hinblick auf Art. 82 DS-GVO und verlangt daher die Entscheidung über die Reichweite des Schadensersatzanspruchs und die Aussetzung des Verfahrens bis zu relevanten EuGH- oder BGH-Entscheidungen, die zu vergleichbaren Fällen anhängig sind. 

Stellungnahme des OLG Dresden 

Das OLG Dresden entschied grundsätzlich, dass dem Kläger mangels eines Schadens kein Anspruch auf Schadensersatz zustände, da die betroffenen Daten des Klägers keine sensiblen Daten im Sinne der DS-GVO darstellen würden und es daher an einer konkreten Missbrauchsgefahr sowie an negativen Auswirkungen infolge des Datenverlusts fehlen würde, gleichwohl stellte das OLG Dresden fest, dass die Beklagte trotzdem ihre datenschutzrechtlichen Pflichten verletzt habe. Unternehmen unterliegen dem Gericht zufolge nämlich nicht nur der Verantwortung ihre Auftragsdatenverarbeiter sorgfältig auszuwählen, sondern diese auch regelmäßig zu überwachen. Abgeleitet wird diese Überwachungspflicht aus Art. 28 DS-GVO, worin eine andauernde Kontrollpflicht impliziert wird. Praxisfremde Praktiken wie etwa eine Vor-Ort-Kontrolle seien zwar nicht notwendig, jedoch entstehen bei großen Datenmengen und besonders sensiblen Daten sowie bei personenbezogene Daten nach Art. 9, 10 DS-GVO gesteigerte Kontrollpflichten, welche auch nach Beendigung des Vertrags bestehen bleiben.  

Die Beklagte hätte im Rahmen dieser Pflichten auch sicherstellen müssen, dass ihr Auftragsdatenverarbeiter die Daten nach Vertragsende tatsächlich löscht. Eine bloße Ankündigung über die Löschung durch den Auftragsverarbeiter genüge hierbei nicht, vielmehr hätte die Beklagte sich eine entsprechende Löschungsbestätigung einholen müssen.  

Auch der Auftragsdatenverarbeiter habe seine vertragliche Verpflichtung zur Löschung nach Vertragende verletzt, indem er die erhaltenen Daten in eine ungesicherte Testumgebung überführte, wodurch diese bei einem Hackerangriff ins Darknet gelangen und dort zum Verkauf angeboten werden konnten. Die Haftung der Beklagten könne nicht nach Art. 82 Abs. 3 DS-GVO wegen Fahrlässigkeit ausgeschlossen werden und auch das Handeln des Auftragsverarbeiters ist ihr zuzurechnen. 

Was bedeutet das für Unternehmen? 

Dieses Urteil hat erhebliche Auswirkungen auf die Praxis der Auftragsverarbeitung und unterstreicht die Bedeutung sorgfältiger Überwachung und Kontrolle durch die verantwortlichen Unternehmen. Damit die datenschutzrechtlichen Grundsätze zur Rechtmäßigkeit (Art. 5 Abs. 1 lit. a) DS-GVO), zur Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) und Speicherbegrenzung (Art. Art. 5 Abs. 1 e) DS-GVO) gewahrt werden, sind Auftragsverarbeiter nach Vertragsende verpflichtet, personenbezogene Daten zu löschen oder zurückzugeben. Um der Kontrollpflicht des Art. 28 DS-GVO über diese Löschung nachzukommen, sollten Unternehmen die Löschung mit dem Auftragsverarbeiter nach Vertragsende zuvor schriftlich festhalten. Besonders wichtig ist hierbei die Vereinbarung über eine Löschbestätigung, welche konkrete Rahmenbedingungen, wie Datum, Person des Löschenden oder Art der Löschung enthält.  

Um die Kontroll- und Überwachungspflichten aus Art. 29, 32 DS-GVO zu erfüllen, ist die Löschung von sensiblen Daten durch den Auftraggeber regelmäßig zu überprüfen. Falls nämlich Kundendaten beim Auftragsverarbeiter bleiben und der Auftraggeber nicht alle nötigen Maßnahmen zur Löschung getroffen hat, haftet dieser im Schadensfall nach den Regelungen des Art. 82 DS-GVO. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Übermittlung von Daten an Google LLC. datenschutzwidrig?

Ist die Übermittlung personenbezogener Daten an Google LLC datenschutzwidrig? 

arthur-osipyan-5OyvN4Yx46E-unsplash

Mit dem Angemessenheitsbeschluss der Europäischen Kommission vom Juli 2023 (“Data Privacy Framework – DPF”) wurde für solche US-Unternehmen, die sich im Rahmen dieses Beschlusses zertifizieren lassen, ein angemessenes Datenschutzniveau festgestellt. Nach Auffassung des OLG Köln (Urt. V. 03.11.2023 – Az.: 6 U 58/23) war die Übermittlung von Daten durch die Telekom an die Google LLC. mit Sitz in den USA unzulässig. Ist eine Übermittlung von Daten in die USA daher unzulässig? 

Zuvor hatte das Landgericht Köln der Klage der Verbraucherzentrale NRW nur im Hinblick auf die unzulässige Übermittlung der Daten an die Google LLC. stattgegeben. Konkret hatte die Beklagte, die Telekom, Browser- und Geräteinformationen an Google LLC. als Betreiberin der Google Analyse- und Marketingdienste mit Sitz in den USA übermittelt. Das LG Köln argumentierte, IP-Adressen sind insofern personenbezogene Daten, als das es sich bei den Besuchern der Website um Kunden der Telekom handelt und die Nutzer identifizierbar sind.  

Unerheblich ist jedoch die Frage der Anonymisierung der IP-Adresse, da die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig sind, wenn sie von einem der folgenden Rechtfertigungstatbeständen gedeckt sind: 

  • § 25 Abs. 1 TTDSG: Wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung hat gem. Artikel 6 Absatz 1 S. 1 lit. a) DS-GVO zu erfolgen;
  • § 25 Abs. 2 Nr. 1 TTDSG: Wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  • § 25 Abs. 2 Nr. 2 TTDSG: Wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das OLG hat in der Berufung dem Anklagepunkt zwar zugestimmt, den Grund für die Unzulässigkeit jedoch bereits auf Ebene der Datenerhebung gesehen. Auch wenn aufgrund des Angemessenheitsbeschlusses eine Drittlandübermittlung zulässig ist, müssen trotzdem die allgemeinen Anforderungen für eine Datenerhebung und -verarbeitung erfüllt sein. Dazu ist auch das Vorliegen einer Einwilligung im Sinne der DS-GVO nötig. Eine Einwilligung im Sinne der Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird (vgl. EuGH, Urteil vom 11.11.2020, Rs. C-61/19 Rn. 40 – Orange România SA/ANSPDCP, = NJW 2021, 841). Im Cookie-Banner befanden sich jedoch widersprüchliche Informationen über die Erhebung der Daten und deren Übermittlung an Google LLC. Dies hatte zur Folge, dass – unabhängig von der tatsächlichen Übermittlung in ein Drittland – schon keine wirksame Einwilligung in die Erhebung der Daten vorlag. Mangels Transparenz kann keine „informierte“ Einwilligung eingeholt werden, weshalb keine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten durch die Telekom besteht. Folglich kann die Drittlandübermittlung dieser Daten nicht zulässig sein. 

Der Angemessenheitsbeschluss befreit nicht von der rechtmäßigen Erhebung und Verarbeitung von personenbezogenen Daten, demnach müssen auch bei Vorliegen eines Angemessenheitsbeschlusses die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein. Für Unternehmen gilt es daher bei der Datenerhebung weiterhin die Grundsätze der zulässigen Datenverarbeitung zu achten. Vor allem aber sollte die Korrektheit und die Verständlichkeit der Informationen in Cookie-Bannern ausreichend geprüft werden, wenn deren Einwilligung (§ 25 TTDSG i.V.m. Art. 6 Abs. 1 lit. a) DS-GVO) als Basis für die Erhebung und Übermittlung der Daten dienen soll.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!