Frage: Frau Bontschev, das Oberlandesgericht Dresden hat in einem aktuellen Urteil entschieden, dass Unternehmen bei Datenschutzverstößen ihrer Auftragsverarbeiter haftbar gemacht werden können, wenn sie diese nicht ausreichend kontrollieren. Welche Bedeutung hat dieses Urteil für die Praxis?
Kerstin Bontschev: Das Urteil des OLG Dresden ist ein deutlicher Weckruf für Unternehmen. Es betont, dass die Verantwortung für den Datenschutz nicht einfach an einen Auftragsverarbeiter delegiert werden kann. Unternehmen müssen ihre Dienstleister nicht nur sorgfältig auswählen, sondern auch regelmäßig kontrollieren. Das Gericht hat damit klargestellt, dass die Verpflichtungen aus Artikel 28 der Datenschutz-Grundverordnung (DSGVO) sehr ernst zu nehmen sind. Diese Kontrollpflichten sind keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der auch nach Beendigung des Vertragsverhältnisses bestehen bleiben kann.
Frage: Worum ging es konkret in diesem Fall?
Kerstin Bontschev: In diesem Fall hatte ein Unternehmen sensible Daten, darunter E-Mail-Adressen und IP-Adressen, an einen Auftragsverarbeiter weitergegeben. Nach Beendigung des Vertragsverhältnisses hat der Auftragsverarbeiter jedoch gegen die vertraglich vereinbarte Löschpflicht verstoßen. Er hat die Daten nicht nur nicht gelöscht, sondern in eine unsichere Testumgebung übertragen. Diese Daten tauchten später im Darknet auf. Obwohl das Gericht keinen Schadensersatz zusprach – da kein konkreter Schaden nachgewiesen werden konnte und die Daten nicht als besonders sensibel im Sinne der DSGVO galten – hat es dennoch die Kontrollpflichten des Unternehmens hervorgehoben.
Frage: Welche konkreten Pflichten ergeben sich aus Artikel 28 DSGVO für Unternehmen?
Kerstin Bontschev: Artikel 28 DSGVO schreibt vor, dass Unternehmen ihre Auftragsverarbeiter sorgfältig auswählen und vertraglich sicherstellen müssen, dass diese alle Datenschutzvorgaben einhalten. Das bedeutet aber nicht nur, einen entsprechenden Vertrag abzuschließen. Unternehmen müssen auch regelmäßig prüfen, ob der Auftragsverarbeiter die vereinbarten Datenschutzmaßnahmen tatsächlich umsetzt. Das umfasst etwa Audits, die Überprüfung von Sicherheitskonzepten und – wie im vorliegenden Fall – die Anforderung einer schriftlichen Bestätigung über die Datenlöschung nach Beendigung des Vertrags. Einfach darauf zu vertrauen, dass der Dienstleister seine Pflichten erfüllt, reicht nicht aus.
Frage: Welche Konsequenzen drohen Unternehmen, die dieser Kontrollpflicht nicht nachkommen?
Kerstin Bontschev: Wenn ein Unternehmen seiner Kontrollpflicht nicht nachkommt und es bei einem Auftragsverarbeiter zu Datenschutzverstößen kommt, kann es selbst haftbar gemacht werden. Das gilt auch dann, wenn der eigentliche Verstoß durch den Auftragsverarbeiter begangen wurde. Das Risiko besteht nicht nur in möglichen Bußgeldern, die die Aufsichtsbehörden verhängen können, sondern auch in Reputationsschäden und Schadenersatzforderungen von Betroffenen. Unternehmen können sich nicht hinter dem Argument verstecken, dass der Fehler beim Dienstleister lag – die Verantwortung bleibt bei ihnen.
Frage: Das Gericht hat in diesem Fall keinen Schadensersatz gewährt, da kein konkreter Schaden nachweisbar war. Wie bewerten Sie das?
Kerstin Bontschev: Das ist ein interessanter Punkt. Nach der DSGVO reicht es grundsätzlich aus, wenn personenbezogene Daten unrechtmäßig verarbeitet werden, um einen Schadenersatzanspruch zu begründen. Allerdings muss ein konkreter Schaden, sei es materiell oder immateriell, nachgewiesen werden. In diesem Fall ging es um Daten wie E-Mail-Adressen und IP-Adressen, die zwar nicht völlig unbedeutend sind, aber eben keine besonders sensiblen Informationen darstellen, wie etwa Gesundheitsdaten oder Bankdaten. Das Gericht hat hier streng differenziert und erkannt, dass die bloße Veröffentlichung dieser Daten im Darknet noch nicht automatisch einen ersatzfähigen Schaden begründet.
Frage: Wie können Unternehmen in der Praxis sicherstellen, dass sie ihre Kontrollpflichten ausreichend erfüllen?
Kerstin Bontschev: Ein effektives Datenschutz-Management ist hier das A und O. Unternehmen sollten regelmäßig Audits durchführen und sich von ihren Auftragsverarbeitern Nachweise über die Einhaltung der Datenschutzanforderungen vorlegen lassen. Besonders wichtig ist es, dass der gesamte Prozess der Datenverarbeitung dokumentiert wird. Auch die Verwendung von Datenschutz-Management-Software kann helfen, diese Kontrollen effizient und automatisiert durchzuführen. So behalten Unternehmen jederzeit den Überblick über die Aktivitäten ihrer Dienstleister und minimieren ihr Haftungsrisiko.
Frage: Welche Signalwirkung hat dieses Urteil Ihrer Meinung nach für Unternehmen in Deutschland?
Kerstin Bontschev: Das Urteil zeigt sehr deutlich, dass Datenschutzverstöße auch indirekt – über die Auftragsverarbeiter – auf Unternehmen zurückfallen können. Es wird sicherlich dazu führen, dass viele Unternehmen ihre Kontrollmechanismen überdenken und verbessern. Die DSGVO schreibt klare Verantwortlichkeiten vor, und diese Verantwortung endet nicht mit der Auswahl eines Dienstleisters. Unternehmen müssen proaktiv handeln, um sich selbst und die Daten ihrer Kunden zu schützen. Das Urteil des OLG Dresden ist eine klare Erinnerung daran, dass Datenschutz ein fortlaufender Prozess ist, den niemand auf die leichte Schulter nehmen sollte.
Frage: Vielen Dank, Frau Bontschev, für Ihre Einschätzungen!
Kerstin Bontschev: Sehr gerne. Datenschutz bleibt ein spannendes und herausforderndes Thema, bei dem es für Unternehmen noch viel zu tun gibt.
Kommentar hinterlassen