Unternehmen haften nicht nur für den Datenschutz in ihrem eigenen Bereich, sondern auch für die Handlungen ihrer Auftragsverarbeiter. Zwei kürzlich ergangene Urteile klären die Haftung von Verantwortlichen für Datenschutzverstöße ihrer Dienstleister. Die Entscheidungen machen deutlich, dass Unternehmen nicht nur sorgfältig auswählen, sondern auch die Einhaltung der DSGVO durch ihre Auftragsverarbeiter regelmäßig überwachen müssen. Dieser Blogbeitrag zeigt auf, welche Pflichten sich hieraus für Unternehmen ergeben und welche Maßnahmen sie ergreifen sollten, um rechtliche Risiken zu vermeiden und Datenschutzvorgaben effektiv umzusetzen.
Auf einen Blick
- Urteil des OLG Dresden vom 17.09.2024 (Az.: 4 U 506/24)
In diesem Urteil wurde bestätigt, dass ein Verantwortlicher grundsätzlich für Verstöße seines Auftragsverarbeiters haftet, wenn dieser gegen Datenschutzvorgaben verstößt. Das Gericht betonte, dass Unternehmen nicht nur sorgfältig auswählen, sondern auch regelmäßig die Einhaltung der Datenschutzvorgaben durch den Auftragsverarbeiter kontrollieren müssen.
- Urteil des OLG Dresden vom 15.10.2024 (Az.: 4 U 940/24)
Hier wurde die Haftung der Unternehmen für Fehler des Auftragsverarbeiters bestätigt. Das Gericht entschied, dass ein bloßes Vertrauen auf Zusagen des Auftragsverarbeiters (hier: zur Löschung von Daten) nicht ausreicht. Es ist notwendig, sich eine Bestätigung über die tatsächliche Durchführung solcher Maßnahmen einzuholen. Obwohl in diesem konkreten Fall kein Schadensersatz zugesprochen wurde, da kein konkreter Schaden nachweisbar war, unterstrich das Gericht die Pflicht zur sorgfältigen Überwachung.
Welche Pflichten ergeben sich für Unternehmen?
Die Urteile verdeutlichen folgende zentrale Pflichten im operativen Geschäft:
- Unternehmen müssen nachweisen können, dass die eingesetzten Auftragsverarbeiter hinreichende Garantien bieten, um den Anforderungen der DSGVO gerecht zu werden (Art. 28 Abs. 1 DSGVO).
- Es reicht nicht aus, sich auf einmalige Zusicherungen zu verlassen. Unternehmen müssen regelmäßig überprüfen, ob der Auftragsverarbeiter die vereinbarten Datenschutzmaßnahmen einhält – insbesondere bei sensiblen Daten oder umfangreichen Datenverarbeitungen.
- Unternehmen müssen stets schriftliche Bestätigungen über durchgeführte Maßnahmen wie Datenlöschungen einholen. Eine bloße Ankündigung reicht nicht aus; es muss eine tatsächliche Bestätigung vorliegen.
- Unternehmen müssen alle Kontrollen und Maßnahmen zur Überwachung Ihrer Auftragsverarbeiter dokumentieren, um im Falle eines Verstoßes nachweisen zu können, dass sie Ihre Pflichten erfüllt haben.
Fazit für Verantwortliche
Um den Anforderungen der DSGVO gerecht zu werden und Haftungsrisiken zu minimieren, empfehlen wir:
- Bestimmen Sie das Risiko, die die Auftragsverarbeiter mit sich bringen kann!
- Legen Sie die Prüfhäufigkeit und -tiefe der Auftragsverarbeiter fest!
- Führen Sie regelmäßige Audits der aktiven Auftragsverarbeiter durch!
- Überprüfen und ggf. optimieren Sie die Auftragsverarbeitungsvereinbarung!
- Sofern sinnvoll, fordern Sie Löschbestätigungen und legen diese zentral ab, um der Nachweispflicht nachzukommen
Diese Maßnahmen helfen nicht nur dabei, rechtliche Risiken zu minimieren, sondern tragen auch dazu bei, das Vertrauen der Geschäftspartner und Beschäftigten in den verantwortungsvollen Umgang mit ihren Daten zu stärken.
JETZT Kontakt aufnehmen!
Die Kontrolle von Auftragsverarbeitern erfordert Fachwissen, präzise Planung und einen langen Atem. Wir unterstützen Sie bei der Risikobewertung und der regelmäßigen Überprüfung Ihrer Auftragsverarbeiter. So erfüllen Sie in diesem Bereich die gesetzlichen Vorgaben.
Kontaktieren Sie uns für eine unverbindliche Beratung – wir helfen Ihnen gerne!