Nachdem der EDSA jüngst die Verantwortlichkeit des Verantwortlichen für seine Auftragsverarbeiter diskutiert und präzisiert hat, hat nahezu zeitgleich auch das OLG Dresden in einem Berufungsverfahren (OLG Dresden, 4 U 940/24) hierzu entschieden. Die Entscheidung beantwortet zentrale Fragen zur praktischen Umsetzung der DSGVO. Die wesentlichen Take-Aways hat Moritz Kolb hier zusammengefasst.
Der Auftragsverarbeiter als “Quasi”-Arbeitnehmer
Zur Beschreibung der Verantwortung bei Einsatz eines Auftragsverarbeiters bedient sich das OLG einem Vergleich der juristischen Literatur: Vom Grundsatz der Verantwortlichkeit gedacht sei der Auftragnehmer datenschutzrechtlich wie ein “sonstiger Mitarbeiter” zu behandeln. Der Vergleich mag befremden, da Auftragsverarbeiter üblicherweise ihre Vertragsbedingungen dem Verantwortlichen diktieren und trotz der weisungsgebundenen Datenverarbeitung im Übrigen Weisungen wenig zugänglich sind. Juristisch trägt sich der Vergleich jedoch.
Wann müssen Verantwortliche vor Ort prüfen, ob ihre Auftragsverarbeiter Datenschutzstandards einhalten?
Spannend nimmt das OLG Stellung zur Frage, wann man als Verantwortlicher seine Auftragsverarbeiter vor Ort kontrollieren muss. Nach Art. 28 Abs. 3 Buchst. h) DSGVO muss ein solches Recht zur Kontrolle beim Auftragsverarbeiter vor Ort jedenfalls vertraglich uneingeschränkt in der Auftragsverarbeitungsvereinbarung gewährleistet sein. Folgt daraus jedoch auch, dass der Verantwortliche den Auftragsverarbeiter vor Ort kontrollieren muss? Nicht unbedingt, sagt das OLG. Würde der Verantwortliche einen am Markt führenden und als zuverlässig bekannten Auftragsverarbeiter einsetzen, müsse er keine praxisfremde Vor-Ort-Kontrolle durchführen.
Wie streng muss die Kontrolle zur Löschung personenbezogener Daten beim Auftragsverarbeiter erfolgen?
Eine Vor-Ort-Kontrolle soll dann jedoch erforderlich werden können, wenn es um die Löschung personenbezogener Daten am Ende einer Auftragsverarbeitung geht. Das OLG weist darauf hin, man könne sich als Verantwortlicher nicht darauf verlassen, eine Löschung anzuweisen. Vielmehr müsste zumindest der Auftragsverarbeiter diese Löschung rechtzeitig bestätigen. Geschieht dies nicht, müsse dies unverzüglich abgemahnt werden und eine Vor-Ort-Prüfung zumindest angedroht werden.
Wann wird eine Auftragsverarbeitung zu einem rechtswidrigen „Exzess“?
Art. 82 Abs. 3 DSGVO erlaubt Verantwortlichen in sehr engen Grenzen, sich von der Haftung zu entlasten, wenn er für einen eingetretenen Schaden beim Auftragsverarbeiter “in keinerlei Hinsicht” verantwortlich ist. Das OLG zeigt auf, dass das “keinerlei” hier tatsächlich streng zu verstehen ist. Bereits die geringfügigste, marginalste Fahrlässigkeit des Verantwortlichen bei der Überwachung des Auftragsverarbeiters führt hier zur vollen gesamtschuldnerischen Haftung. Das OLG weist jedoch zu Recht darauf hin, dass diese gesamtschuldnerische Haftung bereits dann keine Anwendung findet, wenn der Auftragsverarbeiter beginnt, Daten zu eigenen Zwecken zu verarbeiten und zumindest für diese Datenverarbeitungen dann selbst verantwortlich ist. Ob das Ermöglichen eines solchen Exzesses ggf. dennoch ein Verschulden des Verantwortlichen außerhalb der gesamtschuldnerischen Haftung darstellen kann, wird vom OLG nicht weiter beleuchtet.
Unter welchen Umständen entsteht bei einem Datenleck ein Anspruch auf Schadenersatz für den Empfänger von Spam-Mails?
Gründlich wendet das OLG die bisher ergangene Rechtsprechung des EuGH zu Fragen des Schadensersatzanspruchs an. Es kommt zum Ergebnis, dass bei Preisgabe einer schlichten E-Mailadresse keine konkrete Befürchtung einer missbräuchlichen Verwendung berechtigt sei. Insbesondere der drohende Empfang von Spam-Mails stellt nach der Rechtsprechung des EuGH per se keinen ersatzfähigen Schaden dar, dem folgte das OLG. Auch dass Hacker ggf. erfahren, dass der Inhaber der E-Mailadresse einen Streaming-Dienst nutze, sei unbeachtlich.
Wann ist ein Auskunftsanspruch als erfüllt anzusehen?
Zuletzt wendet sich das OLG der Frage zu, wann ein Auskunftsanspruch nach Art. 15 DSGVO eigentlich erfüllt ist. Bezugnehmend auf die Rechtsprechung des BGH zu dieser Frage bestätigt das OLG hier erneut, dass eine unvollständige und unrichtige Auskunft einer Erfüllung nicht im Wege steht.
Stellungnahme und Fazit
Dem OLG ist in weiten Teilen in seinen Bewertungen zuzustimmen. Wenngleich die fortlaufende Nutzung des Begriffs “Auftragsdatenverarbeitung” noch der alten Rechtslage vor der DSGVO entspricht, ist insbesondere der Abgrenzung der Verantwortlichkeit zwischen Verantwortlichem und Auftragsverarbeiter zuzustimmen.
Den Blogartikel zur Stellungnahme des EDSA und Teil I zu diesem Thema können Sie auch nochmal hier nachlesen:
Bildnachweis: KI generiert
AUTOR
Moritz Kolb ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und öffentliche Stellen tätig. Darüber hinaus hat er als Rechtsanwalt und Rettungssanitäter besonderes Interesse für Rechtsfragen an den Schnittstellen zwischen Datenschutzrecht und Medizinrecht sowie Datenschutzrecht und Vereinsrecht.