26. November 2024
Fünf aktuelle Urteile des Oberlandesgerichts (OLG) Dresden beleuchten die datenschutzrechtlichen Kontrollpflichten von Verantwortlichen gemäß der Datenschutzgrundverordnung (DSGVO). Im Zentrum stehen die Überwachung von Auftragsverarbeitern und die Voraussetzungen für Schadensersatzansprüche.
Die Urteile zeigen, welche Maßnahmen unter Kontrollpflichten fallen können und wo die Grenzen der Haftung verlaufen. Im Folgenden sollen die Urteile sowie die rechtliche Argumentation des OLG Dresden überschlägig zusammengefasst und in Kontext mit der aktuellen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) 22/2024 vom 7. Oktober 2024 zu Auftragsverarbeiterketten gestellt werden. Ein paar praktische Hinweise für die Umsetzung runden den Beitrag ab.
Folgende Urteile des OLG Dresden sind konkret von Interesse:
In allen fünf Fällen, über die das OLG Dresden im Rahmen der Berufung zu befinden hatte, ging es um Datenschutzverstöße bei einem Musikstreaming-Dienst. Durch einen Hackerangriff beim (ehemaligen) Auftragsverarbeiter des Musikstreaming-Dienstes waren Kundendaten kompromittiert und im Darknet veröffentlicht worden. Die Vorwürfe der Kläger, die allesamt bei dem Musikstreaming-Dienst angemeldet und Opfer dieses Datenlecks geworden waren, reichten von unzureichender Kontrolle über Auftragsverarbeiter und fehlender Datenlöschung nach Vertragsende bis hin zu Verstößen gegen die technischen und organisatorischen Maßnahmen zur Datensicherheit.
Das OLG Dresden beschäftigte sich hauptsächlich mit der Frage, wo im Zusammenhang mit dem Datenleck eine etwaige Haftung des datenschutzrechtlichen Verantwortlichen, dem Musikstreaming-Dienstes, vorliegen könnte. Auf die dem Unternehmen vorgeworfenen Verstöße gegen die Einhaltung geeigneter technischer und organisatorischer Maßnahmen musste das Gericht nicht im Detail eingehen, da es bereits bei der unzureichenden Überprüfung der Datenlöschung nach Beendigung der Auftragsverarbeitung einen Verstoß sah (siehe hierzu sogleich).
Alle fünf Berufungen der Kläger wurden jedoch mangels Schadens zurückgewiesen. Die Revision wurde zugelassen.
Die Urteile des OLG Dresden unterstreichen die Bedeutung der Kontrollpflichten des Verantwortlichen gegenüber seinen Auftragsverarbeitern. Einen Schwerpunkt stellt hier die Dauer der Kontrollpflichten nach Vertragsende dar: Auch nach Vertragsende sind Verantwortliche verpflichtet, sicherzustellen, dass personenbezogene Daten beim Auftragsverarbeiter ordnungsgemäß gelöscht worden sind (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 940/24, Rn. 38 ff.; Urt. v. 10.09.2024, 4 U 602/24, Rn. 38 ff.). Insbesondere können sich Verantwortliche nicht auf eine E-Mail berufen, in der ein Auftragsverarbeiter eine Löschung innerhalb einer bestimmten Frist zusagt – denn solche Zusagen können erfahrungsgemäß immer mal vergessen oder übersehen werden. Für eine Haftungsbefreiung des Verantwortlichen reichte daher eine vom Auftragsverarbeiter erst 4 Jahre (!) später im Rahmen des gerichtlichen Verfahrens mitgeteilte Löschungsbestätigung nicht (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 422/24, Rn. 39).
Zugleich setzte das OLG Dresden klare Grenzen für Schadensersatzansprüche. Der Empfang von Spam-Nachrichten oder die bloße Sorge um mögliche Datenmissbräuche reichen nicht aus, um einen immateriellen Schaden zu begründen (vgl. OLG Dresden, Urt. v. 10.09.2024, 4 U 602/24, Rn. 70 a.E.). Insbesondere Spam-Nachrichten stellen eine alltägliche Belästigung im Internet dar. Die Beweislast für den Schaden und die Kausalität liegt beim Kläger, der darlegen muss, dass der Erhalt von Spam-Nachrichten oder -Anrufen einen realen und sicheren emotionalen Schaden in Form von bspw. Angstzuständen o.ä. verursacht hat (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 422/24, Rn. 62-64; Urt. v. 17.09.2024, 4 U 506/24, Rn. 61). Insofern verwies das OLG Dresden an dieser Stelle auch darauf, dass die pauschalen Behauptungen, die sich aufgrund des Masseverfahrens in dieser Sache in einer Vielzahl von Schriftsätzen wiederfinden, nicht genügen (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 940/24, Rn. 68). Vielmehr muss konkret ausgeführt werden, inwiefern ein Schaden beim Kläger vorliegt.
Damit positioniert sich das OLG Dresden strenger zum Schadensbegriff als der BGH, der am 18. November 2024 eine Leitentscheidung zu den sog. Facebook-Scrapingfällen erließ (vgl. BGH, Urt. v. 18.11.2024, VI ZR 10/24). Der BGH fasst unter Berufung auf die Rechtsprechung des EuGH bereits den bloßen Verlust der Kontrolle über durch Hacking abgegriffene Daten als einen Schaden im Sinne der DSGVO auf (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 30, 31, 82, 84). Hierfür sei ein Schadensersatzanspruch in der Größenordnung von 100 EUR angemessen (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 100). Ein etwaiger Schadensersatzanspruch könnte höher ausfallen, sofern der Kläger über den Kontrollverlust hinaus auch psychische Beeinträchtigungen geltend macht (BGH, Urt. v. 18.11.2024, VI ZR 10/24, Rn. 101). Wir berichteten hier bereits vor Veröffentlichung der Urteilsgründe zu den zu dem Zeitpunkt bekannten Einzelheiten sowie zu möglichen Auswirkungen der BGH-Leitentscheidung.
Die Entscheidungen des OLG Dresden und die Stellungnahme des EDSA zur Verantwortlichkeit von Verantwortlichen bei der Zusammenarbeit mit Auftragsverarbeitern und Unterauftragsverarbeitern (auf Englisch abrufbar unter diesem Link) setzen klare Maßstäbe für die Einhaltung der DSGVO.
Ein zentraler gemeinsamer Punkt ist die Betonung der Kontrollpflicht des Verantwortlichen nach Art. 28 DSGVO. Sowohl das OLG Dresden als auch der EDSA unterstreichen, dass diese Pflicht eine kontinuierliche Verantwortung darstellt. Verantwortliche müssen sicherstellen, dass alle Auftragsverarbeiter, einschließlich der Unterauftragsverarbeiter, ausreichende Garantien für die Einhaltung von Datenschutzmaßnahmen bieten. Der EDSA betont dabei, dass die Verantwortung des Verantwortlichen die gesamte Verarbeitungskette umfasst, unabhängig davon, ob die Datenverarbeitung durch Unterauftragsverarbeiter erfolgt (vgl. EDSA, Stellungnahme 22/2024 vom 07.10.2024, S. 10, Rn. 28). Ein weiterer wesentlicher Punkt ist die Nachweispflicht: Der EDSA fordert, dass Verantwortliche jederzeit in der Lage sein müssen, die Einhaltung der DSGVO durch geeignete Dokumentation zu belegen (vgl. EDSA, Stellungnahme 22/2024 vom 07.10.2024, S. 12 ff.). Dies korrespondiert mit den Entscheidungen des OLG Dresden, die ebenfalls die Beweislast für die Einhaltung der Sorgfaltspflichten beim Verantwortlichen sehen (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 940/24, Rn. 48).
Der EDSA und das OLG Dresden fordern zudem beide – auch aus Gründen der Umsetzbarkeit –, dass etwaige Kontrollmaßnahmen an das Risiko der jeweiligen Verarbeitung, die sich z.B. aus der Datenmenge oder Art der Daten ergeben kann, angepasst werden (vgl. OLG Dresden, Urt. v. 15.10.2024, 4 U 422/24, Rn. 41). Höheren Risiken sind strengere Überprüfungen und detailliertere Nachweise gegenüberzustellen. Darüber hinaus betont der EDSA die Notwendigkeit, nicht nur die Hauptauftragsverarbeiter, sondern auch alle Unterauftragsverarbeiter in der gesamten Verarbeitungskette zu berücksichtigen (vgl. EDSA, Stellungnahme 22/2024 vom 07.10.2024, S. 13, Rn. 39). Das OLG Dresden hingegen richtet aufgrund der konkreten Fallkonstellation seinen Fokus primär auf die direkte Beziehung zwischen dem Verantwortlichen und dem primären Auftragsverarbeiter.
Unter Berücksichtigung der OLG-Urteile und der EDSA-Leitlinien ergeben sich folgende Handlungsempfehlungen für Unternehmen:
Die Entscheidungen des OLG Dresden und die EDSA-Stellungnahme zeigen, dass die Anforderungen an Verantwortliche weiter steigen und einen proaktiven Ansatz der Unternehmen fordern. Die Ausgestaltung der hierfür notwendigen Kontrollmechanismen und Nachweispflichten konkretisieren gerichtliche Entscheidungen und behördliche Leitlinien. Diese sind angesichts der BGH-Leitentscheidung vom 18. November 2024 besonders zu empfehlen, um dem Vorwurf eines fahrlässigen Verstoßes gegen die DSGVO entgegenzuwirken.
Unternehmen sollten die Entwicklungen, insbesondere auch aktuelle Rechtsprechung, daher genau beobachten und ihre Datenschutzmaßnahmen kontinuierlich anpassen, um rechtliche Risiken zu minimieren. Der Vorteil eines proaktiven Ansatzes hierbei ist nicht zuletzt, dass nicht nur Haftungsrisiken reduziert werden, sondern auch das Vertrauen der Kunden in die Unternehmen nachhaltig gestärkt werden kann.