OLG Dresden zur Datenschutzhaftung: Schadensersatz durch Auftragsverarbeiter und Kontrollpflichten

Am 15. Oktober 2024 hat das Oberlandesgericht Dresden (Az.: 4 U 940/24) eine Entscheidung gefällt, die wesentliche Aspekte der datenschutzrechtlichen Verantwortung zwischen Verantwortlichen und Auftragsverarbeitern beleuchtet. Der Fall betraf Schadensersatzansprüche eines Kunden gegen ein Unternehmen infolge eines Hackerangriffs, bei dem gestohlen wurden. Im Mittelpunkt stand die Kontrollpflicht des Verantwortlichen über die Datenlöschung beim Auftragsverarbeiter nach Vertragsbeendigung sowie die Frage der Entschädigung für immaterielle Schäden.

Sachverhalt

Die Beklagte, ein Musikstreaming-Dienst, hatte ihre Datenverarbeitung teilweise an ein israelisches Unternehmen ausgelagert. Nach Vertragsende am 1. Dezember 2019 bestätigte der Dienstleister zunächst die Datenlöschung lediglich mündlich. Erst im Jahr 2023, nach einem , wurde dies schriftlich dokumentiert. Unbekannte hatten bereits im November 2022 Kundendaten im angeboten. Der Kläger, dessen persönliche Daten betroffen waren, forderte Schadensersatz sowie weitere Auskünfte, da er Verstöße gegen die in der Datenverarbeitung und -sicherung geltend machte.


Rechtliche Analyse

Kontrollpflicht des Verantwortlichen

Das Gericht stellte klar, dass der Verantwortliche gemäß Art. 28 DSGVO eine aktive Kontrollpflicht über die Datenverarbeitung durch seinen Auftragsverarbeiter trägt, insbesondere nach Vertragsende. Die bloße Zusicherung einer Datenlöschung durch den Auftragsverarbeiter reichte im vorliegenden Fall nicht aus. Die Beklagte hätte die tatsächliche Löschung überprüfen müssen, da ein Versäumnis dieser Pflicht die Datensicherheit gefährdet.

Immaterielle Schäden

Das OLG Dresden bekräftigte, dass der reine Empfang von Spam-Nachrichten ohne weitere negative Folgen keinen immateriellen Schaden im Sinne von Art. 82 DSGVO begründet. Dies verdeutlicht die restriktive Handhabung von Schadensersatzansprüchen im Datenschutzrecht, wenn konkrete Nachteile oder Beeinträchtigungen nicht nachgewiesen werden können.

Rolle der DSGVO bei Datenlecks

Das Urteil hob hervor, dass ein Verstoß gegen die DSGVO sowohl bei der Datensicherung als auch bei der Reaktion auf Datenlecks erhebliche rechtliche und finanzielle Folgen nach sich ziehen kann. Die verspätete und unvollständige Information der Betroffenen durch die Beklagte war ein weiterer Aspekt, der als unzureichend bewertet wurde.

OLG Dresden zur Datenschutzhaftung: Schadensersatz durch Auftragsverarbeiter und Kontrollpflichten - Rechtsanwalt Ferner

In der Praxis werden Auftragsverarbeitungen „mal schnell“ quasi als Pflichtprogramm nebenbei erledigt. Die vorliegende Entscheidung zeigt, dass man diese lästige Aufgabe ernst nehmen muss – die Pflichten müssen sauber umgesetzt werden, es drohen hohe Schadensersatzforderungen.


Fazit

Die Entscheidung des OLG Dresden unterstreicht die Notwendigkeit einer stringenten Kontrolle der Datenverarbeitung durch Auftragsverarbeiter und präzisiert die Grenzen der Entschädigungsansprüche bei Datenschutzverstößen. Verantwortliche Unternehmen sollten sicherstellen, dass ihre vertraglichen und faktischen Kontrollmaßnahmen den Vorgaben der DSGVO genügen, um Haftungsrisiken zu minimieren.

Die Entscheidung setzt klare Maßstäbe für die Praxis und fordert Unternehmen auf, nicht nur technische, sondern auch organisatorische Maßnahmen umfassend zu überprüfen und dokumentieren. Im Hinblick auf die restriktive Auslegung immaterieller Schäden könnte dies in zukünftigen Streitigkeiten eine Vorbildwirkung entfalten.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.