Am 15. Oktober 2024 hat das Oberlandesgericht Dresden (Az.: 4 U 940/24) eine Entscheidung gefällt, die wesentliche Aspekte der datenschutzrechtlichen Verantwortung zwischen Verantwortlichen und Auftragsverarbeitern beleuchtet. Der Fall betraf Schadensersatzansprüche eines Kunden gegen ein Unternehmen infolge eines Hackerangriffs, bei dem Kundendaten gestohlen wurden. Im Mittelpunkt stand die Kontrollpflicht des Verantwortlichen über die Datenlöschung beim Auftragsverarbeiter nach Vertragsbeendigung sowie die Frage der Entschädigung für immaterielle Schäden.
Sachverhalt
Die Beklagte, ein Musikstreaming-Dienst, hatte ihre Datenverarbeitung teilweise an ein israelisches Unternehmen ausgelagert. Nach Vertragsende am 1. Dezember 2019 bestätigte der Dienstleister zunächst die Datenlöschung lediglich mündlich. Erst im Jahr 2023, nach einem Datenleck, wurde dies schriftlich dokumentiert. Unbekannte hatten bereits im November 2022 Kundendaten im Darknet angeboten. Der Kläger, dessen persönliche Daten betroffen waren, forderte Schadensersatz sowie weitere Auskünfte, da er Verstöße gegen die DSGVO in der Datenverarbeitung und -sicherung geltend machte.
Rechtliche Analyse
Kontrollpflicht des Verantwortlichen
Das Gericht stellte klar, dass der Verantwortliche gemäß Art. 28 DSGVO eine aktive Kontrollpflicht über die Datenverarbeitung durch seinen Auftragsverarbeiter trägt, insbesondere nach Vertragsende. Die bloße Zusicherung einer Datenlöschung durch den Auftragsverarbeiter reichte im vorliegenden Fall nicht aus. Die Beklagte hätte die tatsächliche Löschung überprüfen müssen, da ein Versäumnis dieser Pflicht die Datensicherheit gefährdet.
Immaterielle Schäden
Das OLG Dresden bekräftigte, dass der reine Empfang von Spam-Nachrichten ohne weitere negative Folgen keinen immateriellen Schaden im Sinne von Art. 82 DSGVO begründet. Dies verdeutlicht die restriktive Handhabung von Schadensersatzansprüchen im Datenschutzrecht, wenn konkrete Nachteile oder Beeinträchtigungen nicht nachgewiesen werden können.
Rolle der DSGVO bei Datenlecks
Das Urteil hob hervor, dass ein Verstoß gegen die DSGVO sowohl bei der Datensicherung als auch bei der Reaktion auf Datenlecks erhebliche rechtliche und finanzielle Folgen nach sich ziehen kann. Die verspätete und unvollständige Information der Betroffenen durch die Beklagte war ein weiterer Aspekt, der als unzureichend bewertet wurde.
In der Praxis werden Auftragsverarbeitungen „mal schnell“ quasi als Pflichtprogramm nebenbei erledigt. Die vorliegende Entscheidung zeigt, dass man diese lästige Aufgabe ernst nehmen muss – die Pflichten müssen sauber umgesetzt werden, es drohen hohe Schadensersatzforderungen.
Fazit
Die Entscheidung des OLG Dresden unterstreicht die Notwendigkeit einer stringenten Kontrolle der Datenverarbeitung durch Auftragsverarbeiter und präzisiert die Grenzen der Entschädigungsansprüche bei Datenschutzverstößen. Verantwortliche Unternehmen sollten sicherstellen, dass ihre vertraglichen und faktischen Kontrollmaßnahmen den Vorgaben der DSGVO genügen, um Haftungsrisiken zu minimieren.
Die Entscheidung setzt klare Maßstäbe für die Praxis und fordert Unternehmen auf, nicht nur technische, sondern auch organisatorische Maßnahmen umfassend zu überprüfen und dokumentieren. Im Hinblick auf die restriktive Auslegung immaterieller Schäden könnte dies in zukünftigen Streitigkeiten eine Vorbildwirkung entfalten.
- Justizminister wünschen allgemeine Autoschlüssel-Kopie für Ermittler - 7. Dezember 2024
- KCanG: BGH zur Zusammenrechnung von Freimengen - 5. Dezember 2024
- BVerfG zu Encrochat: Keine generellen Beweisverwertungsverbote - 5. Dezember 2024