OLG Dresden: Haftung des datenschutzrechtlich Verantwortlichen für seinen Auftragnehmer

Das Oberlandesgericht Dresden entschied in einem Fall (Urteil vom 15.10.2024, Az. 4 U 940/24), in dem ein Musik-Streaming-Anbieter aus Frankreich (Beklagte) Schadensersatzforderungen eines deutschen Nutzers (Kläger) aufgrund einer Datenschutzverletzung zurückwies. Der Kläger forderte Entschädigung, weil Nutzerdaten, die über einen beauftragten Datenverarbeiter (Firma O. in Israel) gespeichert wurden, im Darknet veröffentlicht worden waren. Nach einem Hackerangriff im Jahr 2022 verlangte der Kläger unter anderem Schadensersatz, Auskunft und Unterlassung, da seine persönlichen Daten unbefugt zugänglich gemacht wurden.

Zentrale Fragen und Entscheidungspunkte

  1. Pflichten und Kontrollverantwortung des Verantwortlichen nach der DSGVO Das Gericht stellte fest, dass die Beklagte als Verantwortliche gemäß Art. 28 und 32 DSGVO ihre Kontrollpflichten gegenüber dem Auftragsverarbeiter (Firma O.) verletzt hatte. Verantwortliche sind nicht nur zur sorgfältigen Auswahl verpflichtet, sondern auch zur kontinuierlichen Überwachung ihrer Auftragsdatenverarbeiter. Der DSGVO zufolge müssen Verantwortliche sicherstellen, dass Dritte, die sie beauftragen, personenbezogene Daten datenschutzkonform behandeln und deren Löschung nach Beendigung des Vertragsverhältnisses dokumentieren. Diese Kontrollpflichten dienen dazu, Sicherheitsrisiken wie Datenlecks zu minimieren.

    Die Beklagte versäumte es, die Löschung der Kundendaten unmittelbar nach Vertragsende zu bestätigen. Erst nach dem Vorfall im Jahr 2022 holte sie diese Nachweise ein, was gegen die 21-tägige Löschfrist im Vertrag mit der Firma O. verstieß. Laut Gericht hätte die Beklagte bei mangelnder Rückmeldung sogar eine Vor-Ort-Kontrolle vornehmen müssen, um sicherzustellen, dass alle personenbezogenen Daten ordnungsgemäß gelöscht wurden.

  2. Haftung und die Rolle des Verantwortlichen bei Datenschutzverletzungen Die Beklagte konnte sich gemäß Art. 82 Abs. 3 DSGVO nicht entlasten, da die DSGVO eine strikte Haftung des Verantwortlichen vorsieht, wenn Auftragsdatenverarbeiter die erhaltenen Daten zweckwidrig oder unsachgemäß behandeln. Die Beklagte argumentierte, dass die Firma O. für die Datenverletzung direkt verantwortlich sei. Das Gericht stellte jedoch klar, dass Verantwortliche für Datenschutzverletzungen ihrer Auftragsverarbeiter haften, da ihnen die Verantwortung für die Datenverarbeitung übertragen wurde.

    Selbst wenn die Daten unbeabsichtigt nicht gelöscht wurden, bleibt der Verantwortliche haftbar, da die DSGVO keine Möglichkeit bietet, die Haftung in solchen Fällen allein auf den Auftragsdatenverarbeiter abzuschieben. Das Gericht betonte, dass eine wirksame Entlastung nur möglich wäre, wenn der Verantwortliche alle Kontrollpflichten erfüllt hätte, was hier nicht der Fall war.

  3. Mangelnde Darlegung eines konkreten Schadens beim Kläger Trotz der Verstöße der Beklagten sah das Gericht keinen Anspruch des Klägers auf Schadensersatz. Der Kläger konnte keine konkreten Schäden, die aus dem Verlust seiner Daten resultierten, ausreichend darlegen. Ein bloßer Kontrollverlust über die Daten reiche für einen immateriellen Schaden nicht aus, wenn kein spezifischer emotionaler oder materieller Schaden nachgewiesen wird.

    Der Kläger führte zwar Sorgen und das Risiko zukünftiger Identitätsdiebstähle an, doch das Gericht hielt dies für unbegründet. Spam-Mails und unerwünschte Werbung wurden als allgemeine Alltagsbelastungen gewertet, die keine Grundlage für Schadensersatz bilden.

  4. Unzureichender Unterlassungs- und Auskunftsanspruch Der Unterlassungsantrag des Klägers wurde als zu unbestimmt abgewiesen. Die Beklagte hätte, laut Klageantrag, „nach dem Stand der Technik mögliche Sicherheitsmaßnahmen“ implementieren sollen. Dieser Wortlaut war dem Gericht zu vage, um eine vollstreckbare Verpflichtung zu formulieren. Auch der Auskunftsanspruch nach Art. 15 DSGVO wurde als erfüllt angesehen, da die Beklagte dem Kläger bereits eine detaillierte Liste der von ihm gespeicherten Daten übermittelt hatte.

Fazit und Auswirkungen des Urteils

Das Urteil verdeutlicht die Haftung des datenschutzrechtlich Verantwortlichen für Verstöße seiner Auftragnehmer bei der Auftragsdatenverarbeitung. Es zeigt, dass ein bloßes Abschieben der Verantwortung auf den Dienstleister unzulässig ist, wenn der Verantwortliche die ihm obliegende Kontrolle versäumt. Verantwortliche müssen die Umsetzung datenschutzkonformer Löschpflichten durch ihre Auftragsverarbeiter eng überwachen. Ferner legt das Urteil dar, dass Schadensersatz nach Art. 82 DSGVO nur bei konkret nachgewiesenen, spürbaren Beeinträchtigungen durch Datenverlust gewährt wird.

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de