Haftung des Verantwortlichen
Auch bei Exzess durch den Auftragsverarbeiter
Der Einsatz von Auftragsdatenverarbeitern ist in der Praxis Gang und Gäbe. Dabei werden personenbezogene Daten im Auftrag des datenschutzrechtlich Verantwortlichen zu einem bestimmten Zweck und nach dessen Weisung verarbeitet. So kann beispielsweise ein Unternehmen die Erstellung der Lohnabrechnungen seiner Beschäftigten an einen Dienstleister outsourcen. Die Voraussetzungen für ein derartiges Vorgehen ergeben sich aus Art. 28 DSGVO. Danach hat der Verantwortliche insbesondere bei der Auswahl der Auftragsdatenverarbeiter besondere Sorgfalt walten zu lassen. Immerhin ist und bleibt er für die datenschutzkonforme Verarbeitung verantwortlich.
OLG Dresden Urteil vom 15.10.2024, (Az.:4 U 940/24)
Was war passiert?
Die Beklagte betreibt einen Online-Musikstreamingdienst. Auf Grundlage eines im Jahre 2016 geschlossenen Vertrages und einer im Juli 2019 geschlossenen Nachtragsvereinbarung hatte sich die Beklagte einer Firma mit Sitz in Israel als externen Auftragsdatenverarbeiter bedient. Der Vertrag endete im Dezember 2019. Am 30.11.2019 hatte der Auftragsverarbeiter der Beklagten per E-Mail mitgeteilt, dass ihre Daten am Folgetag gelöscht werden würden. Dass dies auch tatsächlich geschehen sei, bestätigte die israelische Firma erstmalig mit E-Mail aus Februar 2023 nach Bekanntwerden eines Datenhacks. Es stellte sich heraus, dass seit November 2022 unbekannte Hacker im Darknet Daten von Nutzern der Beklagten zum Verkauf angeboten hatten. Nach Bekanntwerden verfasste die Beklagte eine Meldung über die Verletzung des Schutzes personenbezogener Daten an die CNIL (Französische Datenschutzaufsicht). Die Beklagte informierte ferner die von dem Vorfall betroffenen Personen nach Bekanntwerden am 11.11.2022 auf der unternehmenseigenen Webseite.
Der Kläger, der seit 2016 als Nutzer bei der Beklagten registriert war, behauptete, dass auch seine Daten betroffen seien und verlangte gemäß Art. 82 DSGVO Schadensersatz in Höhe von mindestens 1.000 €. Die Beklagte berief sich unter anderem darauf, dass sie für die Speicherung der Daten durch den israelischen Dienstleister nach Vertragsende nicht (mehr) verantwortlich sei.
Dies sah das OLG Dresden in seiner Entscheidung anders und stellte in den Leitsätzen zum Urteil klar, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrags eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten trifft. Auf einen Exzess kann er sich nicht berufen, wenn er dieser Kontrollpflicht nicht genügt, er also darauf vertraut, dass die Löschung auch tatsächlich beim Dienstleister erfolgte.
Art 28 Abs. 1 DSGVO regele die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser dürfe nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Die Pflicht zur Überwachung sei auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen.
Die Anforderungen an Auswahl und Überwachung dürften in der Praxis aber auch nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so dürfe es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine - vollkommen praxisfremde - Vor-Ort-Kontrolle erforderlich wäre.
Losgelöst von der Frage, ob die von dem zwischen der Beklagten und dem Auftragsdatenverarbeiter geschlossenen Vertrag erfassten Daten auch Daten über das Nutzerverhalten und hieraus zu erstellende Profile beinhalteten, ging es jedenfalls nicht um die Verarbeitung unbedeutender Datenmengen. Vielmehr konnte deren Verlust potentiell vielen Millionen Nutzern Schaden zufügen. Nicht zuletzt deshalb war die Beklagte vorliegend auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Eine Haftungsbefreiung kommt nach Art. 82 Abs. 2 DSGVO nur dann in Betracht, wenn der Verantwortliche oder Auftragsverarbeiter nachweisen kann, dass er in keinerlei Hinsicht für den Umstand des Schadenseintritts verantwortlich ist. Da der Beklagten Fahrlässigkeit vorgeworfen werden kann, komme sie auch nicht in den Genuss der Haftungsprivilegierung nach Art. 82 Absatz 3 DSGVO.
Im Ergebnis lehnte das OLG Dresden trotz des zuvor festgestellten Datenschutzverstoßes einen Schadensersatzanspruch des Klägers ab, da es aus Sicht des Gerichts vorliegend an einem Schaden fehle. Unter Berücksichtigung der Umstände könne die Befürchtung der Klagepartei, dass die Daten missbräuchlich verwendet werden, nicht als begründet angesehen werden.
Bei der hier gehackten E-Mail-Adresse handele es sich nicht um ein sensibles Datum gemäß Art. 9 DSGVO. Vielmehr diene diese ihrer Funktion nach der Kontaktaufnahme weshalb es im alltäglichen und geschäftlichen Leben regelmäßig anderen Personen in großem Umfang zugänglich gemacht werde. Die E-Mail-Adresse stelle gerade kein besonders sensibles Datum dar, sondern sei der Sozialsphäre des Klägers zuzurechnen. Mit der daneben erbeuteten IP-Adresse könne im Regelfall ein Hacker nichts anfangen. Die User- ID könnte in der Verknüpfung mit dem Namen allenfalls einen Rückschluss darauf zulassen, dass die Klagepartei Nutzer eines Musik-Streaming-Dienstes ist.
Fazit
Der Fall zeigt ganz deutlich, dass allein der Abschluss eines Auftragsverarbeitungsvertrages im Sinne des Art. 28 DSGVO je nach Menge und Sensibilität der Daten nicht ausreicht, um der Verantwortung für überlassene personenbezogene Daten im Falle von Hacker-Angriffen gerecht zu werden. Es ist nicht ratsam auf bloße „Lippenbekenntnisse“ der Auftragsverarbeiter bei Fragen der Löschung zu vertrauen, um einer Haftung nach Art. 82 DSGVO zu entgehen. Auch und gerade vor dem Hintergrund des Leiturteils des BGH zu Facebook-Scraping-Fällen (vom 18.11.2024, Az.: VI ZR 10/24), wonach der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten bereits ausreicht, um einen Schadensersatzanspruch der Betroffenen zu begründen, wäre der vorliegende Fall mit großer Wahrscheinlichkeit anders entschieden worden.
Autor: Sebastian Wurzberger