Das Oberlandesgericht Stuttgart hat in einem Beschluss vom 15. Oktober 2024 (Az.: 4 U 49/24) klargestellt, dass Unternehmen unter bestimmten Voraussetzungen nicht für Datenschutzverstöße haften, die auf das Verschulden eines externen Dienstleisters zurückzuführen sind. Der Beschluss zeigt die strengen Anforderungen an die Zurechenbarkeit von Verstößen gemäß Art. 82 DSGVO und beleuchtet die Verantwortung von Verantwortlichen und Auftragsverarbeitern. Das OLG Dresden hat dies letztes Jahr genau anders herum entschieden (Urteil vom 15. Oktober 2024 (Az.: 4 U 940/24))
Hintergrund des Falls
Der Kläger verlangte Schadensersatz wegen eines angeblichen Datenschutzverstoßes. Es ging um die unberechtigte Offenlegung personenbezogener Daten durch einen externen Dienstleister der beklagten Partei. Der Kläger argumentierte, dass die Beklagte ihre Pflicht verletzt habe, technische und organisatorische Maßnahmen zur Sicherung der Daten zu treffen. Konkret warf er der Beklagten vor:
- Fehlende Überwachung des Dienstleisters,
- unzureichende Sicherheitsvorkehrungen,
- mangelhafte Verschlüsselung der Daten.
Die Beklagte verteidigte sich mit dem Hinweis, dass der Dienstleister vertraglich verpflichtet war, alle relevanten Sicherheitsmaßnahmen zu ergreifen, und dass die nicht erfolgte Datenlöschung durch den Dienstleister ohne ihr Wissen oder ihre Einflussnahme stattfand.
Entscheidung des Gerichts
Das Oberlandesgericht Stuttgart sah keine Grundlage für eine Haftung der Beklagten und wies die Berufung des Klägers nach § 522 Abs. 2 ZPO zurück.
- Kein schuldhaftes Verhalten der Beklagten
Nach Ansicht des Gerichts konnte der Beklagten kein kausales oder schuldhaftes Verhalten angelastet werden. Sie hatte ihren vertraglichen Pflichten genügt, indem sie den Dienstleister zur Einhaltung der DSGVO-konformen Maßnahmen verpflichtete. - Eigenständige Verantwortlichkeit des Dienstleisters
Das Gericht verwies auf Art. 28 Abs. 10 DSGVO, wonach ein Auftragsverarbeiter eigenständig haftet, wenn er personenbezogene Daten ohne Zustimmung des Verantwortlichen oder in einem Umfang verarbeitet, der über die vertragliche Vereinbarung hinausgeht. Dies traf hier zu, da der Dienstleister die Daten trotz Anweisung und Bestätigung der Löschung weiterhin vorhielt. - Vertrauen in vertragliche Zusicherungen
Das Gericht betonte, dass die Beklagte auf die vertraglichen Zusicherungen des Dienstleisters vertrauen durfte, insbesondere, da dieser die Löschung der Daten schriftlich bestätigt hatte. Eine zusätzliche Überprüfung sei nicht erforderlich gewesen. - Keine allgemeine Haftung für Dritte
Ein Verantwortlicher kann nur dann für Verstöße eines Auftragsverarbeiters haftbar gemacht werden, wenn diese ihm zurechenbar sind. In diesem Fall fehlte es an der notwendigen Zurechenbarkeit, da der Dienstleister eigenmächtig und vertragswidrig handelte.
Praktische Bedeutung der Entscheidung
Die Entscheidung unterstreicht die Grenzen der Haftung eines Verantwortlichen für Datenschutzverstöße, die auf das eigenmächtige Handeln eines Dienstleisters zurückzuführen sind. Unternehmen sollten jedoch weiterhin sicherstellen, dass sie ihre Auswahl- und Überwachungspflichten im Rahmen der Auftragsverarbeitung sorgfältig wahrnehmen:
- Vertragliche Absicherung: Es ist essenziell, dass Dienstleister vertraglich zur Einhaltung der DSGVO verpflichtet werden.
- Dokumentation und Kommunikation: Schriftliche Bestätigungen zu Löschungen oder anderen Maßnahmen sollten stets eingeholt und archiviert werden.
- Risikobewertung: In besonders sensiblen Bereichen kann eine engmaschigere Kontrolle sinnvoll sein, auch wenn diese nicht ausdrücklich gesetzlich vorgeschrieben ist.
Fazit
Die Haftung von Unternehmen nach Art. 82 DSGVO setzt ein eigenes Verschulden oder einen zurechenbaren Verstoß voraus. Externe Dienstleister können nicht uneingeschränkt der Sphäre des Verantwortlichen zugerechnet werden. Dies entlastet Unternehmen jedoch nicht von der Pflicht, ihre Partner sorgfältig auszuwählen und zu überwachen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530