Das OLG Dresden hat am 15.10.2024 (Az. 4 U 940/24) eine Entscheidung zur Überwachung von Auftragsverarbeiter getroffen.
Kurz und knapp: Der Auftraggeber (das Unternehmen, welches für die Verarbeitung der personenbezogenen Daten verantwortlich ist) muss das Unternehmen überwachen, welches diese Daten im Auftrag verarbeitet.
In dem Urteil hatte ein Betroffener das Unternehmen auf Schadensersatz verklagt, weil seine Daten nicht ordnungsgemäß gelöscht wurden und diese aufgrund eines Hackerangriffs im Darknet veröffentlicht wurden.
Schauen Sie sich den Wortlaut des Urteils zu zwei Themen einmal an:
Zum Thema Überwachung des Auftragsverarbeiters:
„Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür.
[…] Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde.
[…] Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft.“
Zum Thema Auswahl und Vor-Ort-Kontrolle:
„Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-OrtKontrolle erforderlich wäre (Schaffland/Wiltfang aaO.). Gesteigerte Anforderungen ergeben sich indes, soweit z.B. große Datenmengen oder besonders sensible Daten gehostet werden sollen.
[…] Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt.“
Fazit
In dem Urteil geht es nicht nur um die Überwachung der Auftragsverarbeiter, sondern auch darum, in welchem Umfang die Überwachung stattfinden muss. Auftragsverarbeiter sollten daher nicht warten, bis der Auftraggeber vorbei schneit und sich die Prozesse des Auftragsverarbeiters anschauen will. Es müssen jetzt Prozesse etabliert werden, die von den Mitarbeitern des Auftragsverarbeiters getragen werden. Die Mitarbeiter müssen wissen, was zu tun ist.
Überprüfen Sie Ihre Vertragsunterlagen und die Weisungen, die Sie von Ihrem Auftraggeber erhalten haben.
Wenn Sie Unterstützung bei der Etablierung von Prozessen benötigen oder Fragen haben, kommen Sie gerne auf uns zu.
