Das OLG Dresden, 4 U 422/24, entscheidet: Den datenschutzrechtlich Verantwortlichen treffen Kontrollpflichten gegenüber dem Auftragsverarbeiter, auch nach Vertragsende. Das OLG Stuttgart, 4 U 49/24, sieht das anders. Welche Konsequenzen in der Datenschutz-Compliance ergeben sich?
OLG Dresden – der Fall
Der Kunde eines Musikstreaminganbieters erhob Klage u. a. auf Zahlung von Schadenersatz. Er begründet dies damit, dass seine Daten, E-Mail-Adresse, Geburtsdaten, geografische Standorte, IP-Adressen, Namen, gesprochene Sprachen und Benutzernamen im Darknet haben abgerufen werden können. Dem Anbieter wirft er vor, dieser oder sein Dienstleister habe seine Daten nicht ausreichend gegen Cyberangriffe gesichert.
Mit Urteil vom 15.10.2024 stellt das Gericht fest, dass unbekannte Dritte die Daten des Klägers mittels Cyberangriff auf einen Dienstleister des Streaminganbieters im Jahr 2022 erbeuteten. Der Dienstleister hatte unzulässigerweise Daten in eine Testumgebung überführt, von wo sie entwendet wurden. Ob der Cyberangriff schlussendlich von außen durch Dritte oder von innen durch Mitarbeiter des Dienstleisters durchgeführt wurde, konnte nicht aufgeklärt werden.
Der Streaminganbieter hatte im Jahr 2016 diesen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt. Der Vertrag endete zum 01.12.2019. Am 30.11.2019 teilte der Dienstleister per E-Mail gegenüber dem Streaminganbieter mit, dass seine Daten am Folgetag gelöscht werden würden. Der Cyberangriff fand also lange nach Vertragsende statt.
Ab Ende 2022 boten die Täter oder weitere Dritte im Darknet Datenbestände des Streaminganbieters zum Kauf an. Dieser machte daraufhin der zuständigen Datenschutzbehörde in Frankreich Meldung über einen Datenschutzvorfall. Erst jetzt wurde der Dienstleister aufgefordert, die Löschung der Daten zu bestätigen. Dass die Daten tatsächlich gelöscht wurden, bestätigte der Dienstleister mit E-Mail vom 22.02.2023.
Das Gericht entschied, dass der Streaminganbieter seine Kontrollpflichten als verantwortliche Stelle verletzte habe. Diese Kontrollpflichten setzten sich auch nach Vertragsende fort und beträfen insbesondere die Löschung von Daten zum Vertragsende. Aus diesem Grund bestehe eine Schadenersatzpflicht dem Grunde nach gegenüber dem Kläger.
Der Kläger erhielt allerdings Steine statt Brot. Seine Klage wurde trotz der festgestellten Pflichtverletzung des Anbieters abgewiesen mit dem Argument, dass der schlichte Kontrollverlust über eigene Daten, wie er hier durch die Veröffentlichung im Darknet erfolgte, nicht ausreicht, um einen immateriellen Schaden im Sinne von Art. 82 DSGVO darzustellen.
Das Urteil ist, wie üblich, anonymisiert. Viel spricht dafür, dass das Urteil den Cyberangriff auf den Dienstleister des Streaminganbieters Deezer aus Frankreich behandelt.
OLG Stuttgart – der Fall
Einen identischen Fall hat das OLG Stuttgart zu entscheiden. Alles spricht dafür, dass derselbe Cyberangriff Gegenstand des Verfahrens ist wie vor dem OLG Dresden.
Abweichend von der Entscheidung des OLG Dresden sieht das Gericht in seinem Beschluss vom 15.10.2024 keinen Verstoß gegen nachvertragliche Kontrollpflichten. Grundsätzlich habe die verantwortliche Stelle darauf vertrauen dürfen, dass die Daten durch den Dienstleister gelöscht werden, wenn dieser die Löschung ankündigt. Dadurch, dass die Löschung entgegen der Ankündigung und entgegen dem Wortlaut des Vertrags nicht erfolgte, sei die Nichtlöschung, die letztlich den Cyberangriff ermöglichte, der verantwortlichen Stelle nicht zuzurechnen. Vielmehr handele es sich um einen Exzess des Dienstleisters, für den der Verantwortliche nicht hafte.
Die Rechtslage der Auftragsverarbeitung
Daten durch Dritte verarbeiten zu lassen („Auftragsverarbeitung“) ist üblich und durch die DSGVO ausdrücklich vorgesehen. Voraussetzung sind nach Art. 28 DSGVO der Abschluss eines gesonderten Vertrags über die Auftragsverarbeitung und die sorgfältige Auswahl des Auftragsverarbeiters. Daneben besteht die Pflicht, den Auftragsverarbeiter ordnungsgemäß zu überwachen. Obwohl nicht ausdrücklich in Art. 28 DSGVO geregelt, ergibt sich diese Überwachungspflicht nach allgemeiner Meinung aus dem Zusammenhang.
Gegenüber Betroffenen haftet ein Verantwortlicher aufgrund von Verstößen gegen die DSGVO auf Schadenersatz. Dabei ist es unerheblich, ob der Verantwortliche den Verstoß selbst begeht. Ausreichend für die Haftung ist eine Beteiligung am Verarbeitungsvorgang, der DSGVO-widrig begangen wird. Jeder Datenschutzverstoß eines Auftragsverarbeiters wird dem Verantwortlichen damit unmittelbar zugerechnet. Aus dieser Haftung kann sich der Verantwortliche nur befreien, wenn er nachweisen kann, dass ihn keinerlei Verschulden trifft, er mithin die ihn treffenden Sorgfaltspflichten vollständig erfüllt hat.
Diese Sorgfaltspflichten des Verantwortlichen beziehen sich dabei nicht auf die Durchführung der technischen und organisatorischen Maßnahmen („TOMs“) der Datenverarbeitung selbst. Es ist gerade Wesen der Auftragsverarbeitung, dass die Datenverarbeitung dem Auftragsverarbeiter obliegt. Bestandteil dieser Datenverarbeitung ist auch die Absicherung der Daten. Der Auftragsverarbeiter verfügt über die Sachkunde der Datenverarbeitung und in der Regel auch der Datensicherheit. Die Aufgabenteilung ergibt deshalb Sinn und erhöht im Ergebnis das Niveau der Datensicherheit.
Diese grundsätzlich richtige Aufteilung technischer Aufgaben führt allerdings nicht bereits zu einer Haftungsbefreiung des Verantwortlichen bei Fehlern des Auftragsverarbeiters. Die Pflichten des Verantwortlichen zur sorgfältigen Auswahl und Überwachung des Auftragsverarbeiters führen dazu, dass die durch den Auftragsverarbeiter dokumentierten TOMs durch den Verantwortlichen auf Angemessenheit zu überprüfen sind. Diese Überprüfung hat stattzufinden erstmals bei der Auswahl und nach der Beauftragung regelmäßig. Daneben besteht die grundsätzliche Pflicht, auch die tatsächliche Umsetzung der TOMs durch den Auftragsverarbeiter zu überprüfen.
In den Verfahren, die den beiden Oberlandesgerichten zur Entscheidung vorliegen bzw. vorlagen, sicherte der Auftragsverarbeiter die Daten des Streaminganbieters nicht ausreichend gegen Cyberangriffe. Diese Feststellung ergibt sich primär aus dem Umstand, dass der Angriff erfolgreich durchgeführt werden konnte. Die Besonderheit ergibt sich daraus, dass der Cyberangriff stattfand, lange nachdem das Vertragsverhältnis zwischen Verantwortlichem und Auftragsverarbeiter beendet wurde. Das OLG Dresden prüfte allerdings nicht eine Kontrollpflicht des Verantwortlichen zum Zeitpunkt des Cyberangriffs, sondern zum Zeitpunkt der Vertragsbeendigung. Nach Feststellung des Gerichts nahm der Verantwortliche die Ankündigung durch den Auftragsverarbeiter entgegen, dass die Daten einen Tag nach Vertragsende gelöscht werden. Dies Löschung wurde, davon geht jedenfalls das Gericht aus, nicht durchgeführt. Diese Nichtlöschung sah das Gericht als kausal für den Erfolg des Cyberangriffs an.
An genau diesem Punkt erhebt das Gericht den Vorwurf der nicht ausreichenden Kontrolle: Der Verantwortliche hätte sich nicht mit der Löschungsankündigung zufriedengeben dürfen. Vielmehr hätte es ihr oblegen, sich die tatsächliche Durchführung der Löschung der Daten bestätigen zu lassen samt Vorlage eines Löschprotokolls. Lebensnah führt das Gericht dazu aus: „Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde – auch um das eigene Haftungsrisiko zu minimieren.“
Die Ankündigung einer Handlung für die Zukunft ist damit nicht gleichzusetzen mit der Bestätigung der tatsächlichen Vornahme einer Handlung in der Vergangenheit.
Das OLG Stuttgart hingegen vertritt in der identischen Konstellation die Auffassung, es handele sich um einen sog. Aufgabenexzess des Auftragsverarbeiters. Ein solcher liegt nach überwiegender Ansicht vor, wenn der Auftragsverarbeiter sich selbst zum Verantwortlichen aufschwingt und Daten, verbotenerweise, für eigene Zwecke verarbeitet oder in einer Art verarbeitet, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche dem zugestimmt hätte.
Ein Exzess führt jedoch dann nicht zu einer Haftungsbefreiung, wenn der Verantwortliche seinerseits nicht seine Sorgfaltspflichten erfüllt. Eine solche Pflichtverletzung sah das OLG Stuttgart jedoch nicht. Vielmehr habe wegen der bestehenden vertraglichen Verpflichtung zur Löschung der Daten in Verbindung mit der Ankündigung der Löschung kein Anlass mehr bestanden, den Dienstleister noch zu überwachen; der Verantwortliche habe auf die tatsächlich erfolgte Löschung vertrauen dürfen.
Die Rechtslage des Schadenersatzes
Das Ende einer langen Auseinandersetzung in Rechtsprechung und Literatur ist das Urteil des BGH vom 18.11.2024 (wir berichteten). Streitig war, ob der bloße Verlust über die Herrschaft der eigenen personenbezogenen Daten den Betroffenen einen Schadenersatzanspruch gewährt. Der BGH entschied, dass ein solcher Kontrollverlust ausreicht, um einen Schadenersatzanspruch zu erhalten.
Das OLG Dresden verneinte einen solchen Schadenersatzanspruch. Dies dürfte jedoch weniger einer abweichenden Rechtsansicht geschuldet sein als dem Umstand, dass das Urteil des OLG Dresden zeitlich vor der Klärung durch den BGH erging.
Weiteres Verfahren
Das OLG Dresden hat die Revision zugelassen. Das bedeutet, dass es dem Kläger freisteht, sein Glück in dritter Instanz vor dem BGH zu suchen. Aller Voraussicht nach wird dieser das Verfahren an das OLG Dresden zurückverweisen, welches einen Schadenersatzanspruch zuerkennen wird.
Das OLG Stuttgart hat noch gar keine Entscheidung getroffen. Vielmehr hat es einen sog. Hinweisbeschluss erlassen, der der Vorbereitung der Zurückweisung einer Berufung im Beschlusswege dient: Das OLG Stuttgart hat zu entscheiden über eine Berufung gegen ein Urteil des Landgerichts Tübingen. Eine Berufung kann zurückgewiesen werden ohne mündliche Verhandlung, wenn sie keine Aussicht auf Erfolg hat und die Sicherung einer einheitlichen Rechtsprechung ein Urteil nicht erfordert. Dieses Vorhaben wird das Gericht wohl aufgeben müssen. Kurioserweise datieren sowohl das Urteil des OLG Dresden als auch der Beschluss des OLG Stuttgart auf den gleichen Tag. Das OLG Stuttgart kannte also das Urteil des OLG Dresden nicht. Beide Gerichte vertreten jedoch miteinander unvereinbare Rechtsansichten. Genau dies widerspricht der Sicherung einer einheitlichen Rechtsprechung. Ob sich das OLG Stuttgart dessen bewusst ist, wird der weitere Verfahrensfortgang dort zeigen.
Compliance-Bedeutung
Grundsätzlich befindet sich eine datenverarbeitende Stelle in einer doppelt schwierigen Compliance-Situation. Der Haftungsmaßstab der DSGVO ist streng; einfachste Fahrlässigkeit genügt, um auf Schadenersatz zu haften. Überdies besteht eine Beweislastumkehr: Nicht der Betroffene muss das Verschulden des Verantwortlichen beweisen, sondern dieser muss sein Nichtverschulden beweisen.
So streng sich das Urteil des OLG Dresden liest, insbesondere vor dem Hintergrund des Hinweisbeschlusses des OLG Stuttgart, so wenig Neues enthält es. Insbesondere werden die Kontrollpflichten nicht verschärft. Das OLG Dresden verfolgt auch bei den Kontrollpflichten den risikobasierten Ansatz. Ausdrücklich stellt es fest, dass Vertrauen in die Integrität und Kompetenz von großen und als seriös bewährten Anbietern vorhanden sein darf. Vor-Ort-Besuche zur Kontrolle werden ausdrücklich als praxisfremd bezeichnet und nur für besondere Fälle als angemessen betrachtet.
Für die Compliance bei der Datenverarbeitung ändert sich deshalb nichts. Auftragsverarbeiter müssen sorgfältig ausgewählt und überwacht werden. Je größer und sensibler die Datenmengen sind, desto höher sind die Sorgfaltsanforderungen. Maßnahmen, die wenig Aufwand erfordern, sollten stets als zwingend angesehen werden. So ist auch das Urteil des OLG Dresden zu verstehen: Das Einfordern einer Löschbestätigung bedeutet einen nur geringen Aufwand für den Verantwortlichen, kann aber eine große Wirkung haben.
Quellen
Urteil des OLG Dresden vom 15.10.2024 – 4 U 422/24
Beschluss des OLG Stuttgart vom 15.10.2024 – 4 U 49/24 (n. öffentlich abrufbar)