Prüft ein Unternehmen die von ihm eingesetzten Auftragsverarbeiter nur in unzureichender Weise, ist er für die eintretenden DSGVO-Verstöße verantwortlich (OLG Dresden, Urt. v. 15.10.2024 - Az.: 4 U 940/24).
Das verklagte Unternehmen sah sich einem Anspruch auf Schadensersatz nach Art. 82 DSGVO ausgesetzt. Es hatte nur unzureichend kontrolliert, dass ein Sub-Unternehmen, das es als Auftragsdatenverarbeiter eingesetzt hatte, nach Beendigung der Geschäftsbeziehung die gespeicherten Daten nicht gelöscht hatte, sodass dieser Opfer eines Hackerangriffs wurde.
Im Ergebnis bejahte das OLG Dresden eine Datenschutzverletzung, wies aber das Schadensersatzbegehren zurück, da es an einem konkreten Schaden fehlte.
1. Reichweite der Überprüfungspflichten:
Zunächst beschäftigen sich die Richter, in welchem Umfang ein Unternehmer seinen Subunternehmer, der für ihn als Auftraggeber tätig wird, kontrollieren und überwachen muss:
"Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters - im Anschluss an dessen Auswahl - ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet [...] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus. (…)
De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (…)."
Und weiter:
"Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-Ort- Kontrolle erforderlich wäre (….).
Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen (…). Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO."
Für den vorliegenden Fall nimmt das OLG Dresden eine gesteigerte Sorgfaltspficht bereits aufgrund der Quantität der Daten an:
"Ungeachtet der Frage, ob die von dem zwischen der Beklagten und dem Autragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, betraf die Verarbeitung vorliegend jedenfalls nicht unbedeutende Datenmengen, deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen konnte.
Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt."
2. Sorgfaltsverstoß, weil keine ordnungsgemäße Überprüfung, ob Auftragnehmer tatsächlich Daten gelöscht:
Den Grund für einen Sorgfaltsverstoß sehen die Richter in dem Umstand, dass die Beklagte nach Beendigung der Vertragsbeziehung bei ihrem Subunternehmer auch tatsächlich dezidiert kontrolliert hat, dass die Daten auch tatsächlich gelöscht wurden:
"Insbesondere hat sie aber dadurch gegen ihre Kontrollpflichten aus Art. 28 DSGVO verstoßen, dass sie nicht nach Ablauf der vertraglich geregelten 21-tägigen Frist von ihrer Auftragsverarbeiterin die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung aller bei dieser vorhandenen Datensätze angefordert hat, die eine detaillierte Auflistung der gelöschten Daten enthielt.
Die von dem Auftragsdatenverarbeiter unter dem Datum 9.12.2020 versandte Mail genügte dessen vertraglichen Verpflichtungen nicht, schon weil sie nicht dem Schriftformerfordernis in Ziff. 9.3. (“written certification“ in der englischen Originalfassung Anlage B 2b) entsprach (…).
Auch wenn, wozu die Parteien nichts vorgetragen haben, der Nachtrag dem französischen Zivilrecht unterfallen sollte, wäre die elektronische Form der Schriftform nur gleichgestellt, wenn die Identität der Person, die es erstellt hat, eindeutig nachgewiesen und die Integrität der E-Mail gewährleistet wäre (…).
Schwerer wiegt indes, dass die E-Mail des Auftragsdatenverarbeiters vom 9.12.2020 lediglich die Ankündigung einer bevorstehenden, nicht aber die Bestätigung einer erfolgten Löschung enthielt.
Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde - auch um das eigene Haftungsrisiko zu minimieren."
3. Fehlverhalten des Auftragnehmers:
Der Subunternehmer habe ebenfalls fehlerhaft gehandelt:
"Vorliegend hat der Auftragsdatenverarbeiter zwar sowohl gegen allgemeine Regeln der DSGVO als auch gegen seine vertraglichen Pflichten verstoßen.
Ungeachtet vertraglicher Verpflichtungen ist der Auftragsverarbeiter bereits nach der DSGVO im Rahmen der Auftragsverarbeitung grundsätzlich nicht berechtigt, die im Auftrag verarbeiteten Daten für eigene Zwecke bzw. für die Zwecke Dritter zu verarbeiten. Darüber hinaus hat der Auftragsverarbeiter die Rückgabe- und Löschpflichten nach Beendigung des Auftrags zu beachten (…).
Vorliegend ist unstreitig, dass Datensätze der Beklagten bei der Firma O...... zum einen unzulässigerweise von der Produktiv- in eine Testumgebung überführt wurden, deren Sphäre verlassen haben und anschließend im Darknet zum Verkauf angeboten wurden, nachdem Mitarbeiter dieser Firma entgegen ihrer Zusicherung aus dem Jahre 2023 nicht alle Datensätze der Beklagten wie vertraglich vereinbart unverzüglich nach Vertragsende gelöscht hatten, sondern zumindest einer der Datensätze schließlich entweder von Hackern erbeutet, oder von Mitarbeitern unbefugt weitergegeben wurden."
4. Jedoch kein Schaden:
Trotz der zuvor festgestellten Datenschutzverletzung lehnten die Richter das Schadensersatzbegehren ab, da es an einem Schaden fehle:
"Unter Berücksichtigung der Umstände kann hier die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden. Zu den besonderen Umständen gehört die Art des Datums. Wird die Kontrolle über sensible Daten, wie z.B. Gesundheitsdaten, Daten über die sexuelle Orientierung, Daten über rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Daten über Bankverbindungen, Vermögenswerte, Einkommen, Beruf oder Berufsgeheimnisse verloren, liegt eine missbräuchliche Verwendung nicht fern (vgl. Art. 9 Abs. 1 DSGVO). Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher.
Bei der hier gehackten E-Mail-Adresse handelt es sich um ein solches Datum, das - seiner Funktion entsprechend – der Kontaktaufnahme dient und durch andere identifizierbare Personen im alltäglichen und geschäftlichen Leben regelmäßig anderen Personen in großem Umfang zugänglich gemacht wird (…).
Sie stellt gerade kein besonders sensibles Datum dar, sondern eines aus der Sozialsphäre des Klägers. Mit der daneben erbeuteten IP-Adresse kann im Regelfall ein Hacker nichts anfangen, die User- ID könnte in der Verknüpfung mit dem Namen allenfalls einen Rückschluss darauf zulassen, dass die Klagepartei Nutzer eines Musik-Streaming-Dienstes ist. Welche konkrete Befürchtung die Klagepartei hieran anschließt, hat sie ebensowenig dargelegt wie die negativen Folgen des Bekanntwerdens des Alters oder Geschlechts."