Fünf aktuelle Urteile des Oberlandesgerichts (OLG) Dresden beleuchten die datenschutzrechtlichen Kontrollpflichten von Verantwortlichen gemäß der Datenschutzgrundverordnung (DSGVO). Im Zentrum stehen die Überwachung von Auftragsverarbeitern und die Voraussetzungen für Schadensersatzansprüche.
Die Urteile zeigen, welche Maßnahmen unter Kontrollpflichten fallen können und wo die Grenzen der Haftung verlaufen. Im Folgenden sollen die Urteile sowie die rechtliche Argumentation des OLG Dresden überschlägig zusammengefasst und in Kontext mit der aktuellen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) 22/2024 vom 7. Oktober 2024 zu Auftragsverarbeiterketten gestellt werden. Ein paar praktische Hinweise für die Umsetzung runden den Beitrag ab.
Was war passiert?
Folgende Urteile des OLG Dresden sind konkret von Interesse:
In allen fünf Fällen, über die das OLG Dresden im Rahmen der Berufung zu befinden hatte, ging es um Datenschutzverstöße bei einem Musikstreaming-Dienst. Durch einen Hackerangriff beim (ehemaligen) Auftragsverarbeiter des Musikstreaming-Dienstes waren Kundendaten kompromittiert und im Darknet veröffentlicht worden. Die Vorwürfe der Kläger, die allesamt bei dem Musikstreaming-Dienst angemeldet und Opfer dieses Datenlecks geworden waren, reichten von unzureichender Kontrolle über Auftragsverarbeiter und fehlender Datenlöschung nach Vertragsende bis hin zu Verstößen gegen die technischen und organisatorischen Maßnahmen zur Datensicherheit.
Das OLG Dresden beschäftigte sich hauptsächlich mit der Frage, wo im Zusammenhang mit dem Datenleck eine etwaige Haftung des datenschutzrechtlichen Verantwortlichen, dem Musikstreaming-Dienstes, vorliegen könnte. Auf die dem Unternehmen vorgeworfenen Verstöße gegen die Einhaltung geeigneter technischer und organisatorischer Maßnahmen musste das Gericht nicht im Detail eingehen, da es bereits bei der unzureichenden Überprüfung der Datenlöschung nach Beendigung der Auftragsverarbeitung einen Verstoß sah (siehe hierzu sogleich).
Alle fünf Berufungen der Kläger wurden jedoch mangels Schadens zurückgewiesen. Die Revision wurde zugelassen.
Kontrolle der Auftragsverarbeiter durch Verantwortlichen ist entscheidend
Die Urteile des OLG Dresden unterstreichen die Bedeutung der Kontrollpflichten des Verantwortlichen gegenüber seinen Auftragsverarbeitern. Einen Schwerpunkt stellt hier die Dauer der Kontrollpflichten nach Vertragsende dar: Auch nach Vertragsende sind Verantwortliche verpflichtet, sicherzustellen, dass personenbezogene Daten beim Auftragsverarbeiter ordnungsgemäß gelöscht worden sind (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 940/24, Rn. 38 ff.; Urt. v. 10.09.2024, 4 U 602/24, Rn. 38 ff.). Insbesondere können sich Verantwortliche nicht auf eine E-Mail berufen, in der ein Auftragsverarbeiter eine Löschung innerhalb einer bestimmten Frist zusagt – denn solche Zusagen können erfahrungsgemäß immer mal vergessen oder übersehen werden. Für eine Haftungsbefreiung des Verantwortlichen reichte daher eine vom Auftragsverarbeiter erst 4 Jahre (!) später im Rahmen des gerichtlichen Verfahrens mitgeteilte Löschungsbestätigung nicht (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 422/24, Rn. 39).
Zugleich setzte das OLG Dresden klare Grenzen für Schadensersatzansprüche. Der Empfang von Spam-Nachrichten oder die bloße Sorge um mögliche Datenmissbräuche reichen nicht aus, um einen immateriellen Schaden zu begründen (vgl. OLG Dresden, Urt. v. 10.09.2024, 4 U 602/24, Rn. 70 a.E.). Insbesondere Spam-Nachrichten stellen eine alltägliche Belästigung im Internet dar. Die Beweislast für den Schaden und die Kausalität liegt beim Kläger, der darlegen muss, dass der Erhalt von Spam-Nachrichten oder -Anrufen einen realen und sicheren emotionalen Schaden in Form von bspw. Angstzuständen o.ä. verursacht hat (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 422/24, Rn. 62-64; Urt. v. 17.09.2024, 4 U 506/24, Rn. 61). Insofern verwies das OLG Dresden an dieser Stelle auch darauf, dass die pauschalen Behauptungen, die sich aufgrund des Masseverfahrens in dieser Sache in einer Vielzahl von Schriftsätzen wiederfinden, nicht genügen (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 940/24, Rn. 68). Vielmehr muss konkret ausgeführt werden, inwiefern ein Schaden beim Kläger vorliegt.
Damit positioniert sich das OLG Dresden strenger zum Schadensbegriff als der BGH, der am 18. November 2024 eine Leitentscheidung zu den sog. Facebook-Scrapingfällen erließ (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24). Der BGH fasst unter Berufung auf die Rechtsprechung des EuGH bereits den bloßen Verlust der Kontrolle über durch Hacking abgegriffene Daten als einen Schaden im Sinne der DSGVO auf (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 30, 31, 82, 84). Hierfür sei ein Schadensersatzanspruch in der Größenordnung von 100 EUR angemessen (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 100). Ein etwaiger Schadensersatzanspruch könnte höher ausfallen, sofern der Kläger über den Kontrollverlust hinaus auch psychische Beeinträchtigungen geltend macht (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 101). Wir berichteten hier bereits vor Veröffentlichung der Urteilsgründe zu den zu dem Zeitpunkt bekannten Einzelheiten sowie zu möglichen Auswirkungen der BGH-Leitentscheidung.
Die Urteile des OLG Dresden im Lichte der neuen Stellungnahme des EDSA 22/2024 vom 7. Oktober 2024
Die Entscheidungen des OLG Dresden und die Stellungnahme des EDSA zur Verantwortlichkeit von Verantwortlichen bei der Zusammenarbeit mit Auftragsverarbeitern und Unterauftragsverarbeitern (auf Englisch abrufbar unter diesem Link) setzen klare Maßstäbe für die Einhaltung der DSGVO.
Ein zentraler gemeinsamer Punkt ist die Betonung der Kontrollpflicht des Verantwortlichen nach Art. 28 DSGVO. Sowohl das OLG Dresden als auch der EDSA unterstreichen, dass diese Pflicht eine kontinuierliche Verantwortung darstellt. Verantwortliche müssen sicherstellen, dass alle Auftragsverarbeiter, einschließlich der Unterauftragsverarbeiter, ausreichende Garantien für die Einhaltung von Datenschutzmaßnahmen bieten. Der EDSA betont dabei, dass die Verantwortung des Verantwortlichen die gesamte Verarbeitungskette umfasst, unabhängig davon, ob die Datenverarbeitung durch Unterauftragsverarbeiter erfolgt (vgl. EDSA, Stellungnahme 22/2024 vom 07.10.2024, S. 10, Rn. 28). Ein weiterer wesentlicher Punkt ist die Nachweispflicht: Der EDSA fordert, dass Verantwortliche jederzeit in der Lage sein müssen, die Einhaltung der DSGVO durch geeignete Dokumentation zu belegen (vgl. EDSA, Stellungnahme 22/2024 vom 07.10.2024, S. 12 ff.). Dies korrespondiert mit den Entscheidungen des OLG Dresden, die ebenfalls die Beweislast für die Einhaltung der Sorgfaltspflichten beim Verantwortlichen sehen (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 940/24, Rn. 48).
Der EDSA und das OLG Dresden fordern zudem beide – auch aus Gründen der Umsetzbarkeit –, dass etwaige Kontrollmaßnahmen an das Risiko der jeweiligen Verarbeitung, die sich z.B. aus der Datenmenge oder Art der Daten ergeben kann, angepasst werden (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 422/24, Rn. 41). Höheren Risiken sind strengere Überprüfungen und detailliertere Nachweise gegenüberzustellen. Darüber hinaus betont der EDSA die Notwendigkeit, nicht nur die Hauptauftragsverarbeiter, sondern auch alle Unterauftragsverarbeiter in der gesamten Verarbeitungskette zu berücksichtigen (vgl. EDSA, Stellungnahme 22/2024 vom 07.10.2024, S. 13, Rn. 39). Das OLG Dresden hingegen richtet aufgrund der konkreten Fallkonstellation seinen Fokus primär auf die direkte Beziehung zwischen dem Verantwortlichen und dem primären Auftragsverarbeiter.
Was also tun?
Unter Berücksichtigung der OLG-Urteile und der EDSA-Leitlinien ergeben sich folgende Handlungsempfehlungen für Unternehmen:
- Etablieren einer risikobasierten Kontrolle: Kontroll- und Überwachungsmaßnahmen sollten an das Risiko der Datenverarbeitung angepasst werden. Für riskante Verarbeitungen sind intensivere Audits und Nachweise erforderlich – ob solche riskanten Verarbeitungen vorliegen, kann z.B. an der Art und der Menge der personenbezogenen Daten, der Komplexität von Verarbeitungsketten und dem Vorliegen von internationalem Datentransfer abgeleitet werden.
- Präzisierung von Verarbeitungsverträgen: Soweit nicht schon geschehen, sollten in den von Unternehmen genutzten Mustern von Auftragsverarbeitungsvereinbarungen klare Klauseln, die die Verantwortlichkeit von Auftrags- und Unterauftragsverarbeitern definieren, enthalten sein. Unternehmen sollten zudem schriftliche Nachweise für Datenschutzmaßnahmen fordern, z.B. Zertifikate, Prozessbeschreibungen, Beschreibungen der technischen und organisatorischen Maßnahmen. Diese sollten zur internen Dokumentation genommen werden.
- Sicherstellung einer möglichst lückenlosen Dokumentation: Unternehmen sollten alle relevanten Schritte, einschließlich Audits und Prüfungen, dokumentieren, um jederzeit die Einhaltung der DSGVO nachweisen zu können.
- Überwachung von Unterauftragsverarbeitern: Verantwortliche sollten im Rahmen ihrer Möglichkeiten und nach risikobasiertem Ansatz auch Informationen über die durch den Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter einholen und überprüfen, um ggf. dem Einsatz bestimmter Unterauftragsverarbeiter zu widersprechen oder eine Anpassung der technischen und organisatorischen Maßnahmen zu fordern.
- Stärkung und Nutzung von bereits vorhandenen Kontrollmechanismen: Sofern in den Auftragsverarbeitungsvereinbarungen enthalten, sollten Kontrollmechanismen (z.B. Einforderung eines Löschungsnachweises nach bestimmter Frist) umgesetzt werden. Hierdurch kann das Haftungsrisiko reduziert werden.
- Etablieren von Prozessen: Mitarbeitende im Unternehmen sollten nicht nur für die Bedeutung des Datenschutzes in Schulungen sensibilisiert werden. Vielmehr sind auch konkrete Prozesse zu etablieren, welche Maßnahmen vor der Beauftragung eines Auftragsverarbeiters und welche Maßnahmen bei Beendigung einer Zusammenarbeit mit einem Auftragsverarbeiter zu treffen sind. Diese Maßnahmen sollten bestenfalls dokumentiert werden. Hier bieten sich bspw. Checklisten an.
Proaktiver Ansatz und dokumentierte Umsetzung von Kontrollrechten zahlen sich aus
Die Entscheidungen des OLG Dresden und die EDSA-Stellungnahme zeigen, dass die Anforderungen an Verantwortliche weiter steigen und einen proaktiven Ansatz der Unternehmen fordern. Die Ausgestaltung der hierfür notwendigen Kontrollmechanismen und Nachweispflichten konkretisieren gerichtliche Entscheidungen und behördliche Leitlinien. Diese sind angesichts der BGH-Leitentscheidung vom 18. November 2024 besonders zu empfehlen, um dem Vorwurf eines fahrlässigen Verstoßes gegen die DSGVO entgegenzuwirken.
Unternehmen sollten die Entwicklungen, insbesondere auch aktuelle Rechtsprechung, daher genau beobachten und ihre Datenschutzmaßnahmen kontinuierlich anpassen, um rechtliche Risiken zu minimieren. Der Vorteil eines proaktiven Ansatzes hierbei ist nicht zuletzt, dass nicht nur Haftungsrisiken reduziert werden, sondern auch das Vertrauen der Kunden in die Unternehmen nachhaltig gestärkt werden kann.
