OLG Dresden: Unternehmen haften bei unzureichender Kontrolle ihrer Auftragsverarbeiter
Das Oberlandesgericht (OLG) Dresden hat am 15.10.2024 (Az. 4 U 940/24) entschieden, dass Unternehmen für Datenschutzverstöße ihrer Auftragsverarbeiter haften, wenn sie diese nicht ausreichend kontrollieren. Zwar erhielt der Kläger in diesem Fall keinen Schadensersatz, da kein konkreter Schaden nachweisbar war, jedoch unterstrich das Gericht die Pflicht zur regelmäßigen Überprüfung.
Das OLG Dresden wies darauf hin, dass Unternehmen ihre Auftragsverarbeiter nicht nur sorgfältig auswählen, sondern auch kontinuierlich überwachen müssen. Dies gilt insbesondere bei der Verarbeitung großer oder sensibler Datenmengen. Artikel 28 der Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, sicherzustellen, dass ihre Auftragsverarbeiter (Dienstleister, welche weisungsgebunden Daten verarbeiten) die Datenschutzvorgaben einhalten.
In diesem Fall hätte das beklagte Unternehmen nach Vertragsende eine schriftliche Bestätigung der Datenlöschung vom Auftragsverarbeiter anfordern müssen. Einfache Zusagen, dass Daten gelöscht werden, reichen laut Gericht nicht aus. Der Auftragsverarbeiter verstieß zudem gegen seine Pflichten, da er die erhaltenen Daten in eine unsichere Testumgebung übertrug, welche später im Darknet auftauchten. Das Gericht wertete dies als klaren Bruch der vertraglich vereinbarten Löschpflichten.
Obwohl das Gericht keinen Schadensersatz gewährte, da die betroffenen Daten (E-Mail-Adresse, IP-Adresse, Nutzer-ID) keine sensiblen Informationen im Sinne der DSGVO waren, zeigt das Urteil deutlich: Unternehmen tragen eine fortwährende Kontrollverantwortung für ihre Auftragsverarbeiter und müssen deren Sicherheitsvorkehrungen und Prozesse aktiv überwachen. Dies kann durch den Einsatz einer Datenschutz-Managementsoftware einfach automatisiert werden.
