rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligung eugh bußgeld löschung von daten auftragsverarbeitung

Urteil des OLG Dresden: Warum der Datenschutz auch beim Abschied nicht vergessen werden darf

/von

Ein aktuelles Urteil des Oberlandesgerichts (OLG) Dresden (Az.: 4 U 940/24) erinnert uns daran, dass Datenschutz mehr ist als nur der Schutz der Daten im laufenden Betrieb. Es geht um das ganze Paket – vom Anfang einer Zusammenarbeit mit Dienstleistern, insbesondere Auftragsverarbeitern, bis zu deren Ende. Das Gericht hat klargestellt, dass Unternehmen auch nach dem Ende eines Vertrags mit einem Dienstleister dafür sorgen müssen, dass alle personenbezogenen Daten beim Dienstleister gelöscht werden. Und das nicht nur als reine Formalität, sondern durch eine klare, schriftliche Bestätigung.

Worum geht es im Urteil?

Im Mittelpunkt steht eine Frage, die nahezu jedes Unternehmen betrifft: Wie sorgt man dafür, dass Daten sicher gelöscht werden, wenn die Zusammenarbeit mit einem Dienstleister oder Auftragsverarbeiter endet? Das OLG Dresden sagt klar: Eine einfache Ankündigung oder ein nettes „Wir haben das gemacht“ vom Auftragsverarbeiter reicht nicht aus. Es braucht eine formelle Bescheinigung, mit der bestätigt wird, dass wirklich alle Daten gelöscht wurden. Das Urteil stellt klar, dass die Verantwortung für die Daten auch beim Abschied nicht einfach erlischt – ein verantwortungsvoller Umgang bis zum Schluss ist Pflicht.

Das Gericht stützt sich auf die Vorgaben der DSGVO, insbesondere auf Art. 28 Abs. 3 lit. g DSGVO, der den Auftragsverarbeiter verpflichtet, nach Beendigung des Auftrags sämtliche personenbezogenen Daten zurückgeben oder zu löschen. Dies geht über die bloße Vertragsbeendigung hinaus und verlangt eine dokumentierte Bestätigung als Nachweis der Löschung, um die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO zu wahren.

Die zentralen Punkte des Urteils

Das Urteil bringt einige wichtige Aspekte auf den Punkt, die für Unternehmen von Bedeutung sind:

  1. Verantwortung über das Vertragsende hinaus: Der Auftraggeber muss sicherstellen, dass am Ende der Zusammenarbeit alle personenbezogenen Daten gelöscht wurden. Eine mündliche Zusicherung oder ein schnelles E-Mail-Update reichen hier nicht – eine detaillierte, nachvollziehbare Löschbescheinigung muss vorgelegt werden.
  2. Haftung und Risiken: Falls personenbezogene Daten beim Dienstleister verbleiben und es zu einem Datenschutzverstoß kommt, bleibt der Auftraggeber gegebenenfalls selbst haftbar. Die Verantwortung endet also nicht automatisch mit dem Vertrag, sondern bleibt bestehen, bis der Auftraggeber zumindest alles in seiner Macht stehende, getan hat, um die Löschung beim Auftragsverarbeiter zu bewirken. Die Haftung ergibt sich aus Art. 82 DSGVO, der die Verantwortlichen und Auftragsverarbeiter gemeinsam in die Pflicht nimmt, bei Verstößen gegen die Datenschutzvorschriften Schadenersatz zu leisten.
  3. Ein strukturierter Offboarding-Prozess: Das Urteil macht deutlich, wie wichtig es ist, schon bei Vertragsabschluss klare Regeln für das Offboarding zu setzen. Vereinbarungen zur Datenlöschung und zur Vorlage einer Löschbescheinigung sollten fester Bestandteil des Vertrags mit Auftragsverarbeitern (AVV) sein. So gibt es beim Abschied keine Unsicherheiten und keine bösen Überraschungen. Diese Regelungen sollten auch im Rahmen des Auftragsverarbeitungsvertrags festgehalten werden, der gemäß Art. 28 Abs. 3 DSGVO die Rechte und Pflichten beider Parteien im Hinblick auf die Verarbeitung personenbezogener Daten regelt.
  4. Regelmäßige Kontrolle und Protokollierung: Gerade bei umfangreichen oder sensiblen Daten sollte der gesamte Offboarding-Prozess protokolliert werden. Ein aussagekräftiges Protokoll sorgt nicht nur für Transparenz, sondern bietet auch eine solide Grundlage, sollte es später Fragen oder Kontrollen geben. Dies steht im Einklang mit der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, die Unternehmen dazu verpflichtet, ihre Einhaltung der Datenschutzvorschriften jederzeit nachweisen zu können.

Ein sicherer Offboarding-Prozess – Wie Unternehmen das Urteil umsetzen können

Das Urteil zeigt, wie Unternehmen ein strukturiertes Offboarding sicherstellen können. Hier einige Tipps zur praktischen Umsetzung:

  1. Löschung im Vertrag regeln: Schon im AVV sollte klar festgelegt werden, dass der Auftragsverarbeiter nach Vertragsende alle personenbezogenen Daten löschen muss und darüber eine schriftliche Bestätigung ausstellt. Diese Regelung sorgt für klare Verhältnisse und stellt sicher, dass beiden Seiten die Erwartungen und Pflichten kennen. Die Regelungen müssen gemäß Art. 28 Abs. 3 DSGVO ausdrücklich die Rückgabe oder Löschung der Daten nach Vertragsbeendigung vorsehen.
  2. Anforderungen an die Löschbescheinigung: Die Bescheinigung sollte nicht nur pauschal sagen, dass die Daten gelöscht wurden, sondern möglichst konkret aufzeigen, was, wann und wie gelöscht wurde, gegebenenfalls auch durch wen. So bleibt keine Unsicherheit und das Unternehmen hat einen aussagekräftigen Nachweis. Diese Vorgehensweise entspricht den Anforderungen des Art. 5 Abs. 2 DSGVO, der Unternehmen zur Rechenschaftspflicht verpflichtet und verlangt, dass die Einhaltung der Datenschutzprinzipien nachweisbar ist.
  3. Kontrollen und stichprobenartige Überprüfungen: Besonders bei sensiblen Daten kann eine zusätzliche Kontrolle sinnvoll sein. Regelmäßige Stichproben oder – bei Verdachtsmomenten – eine umfassende Prüfung können dabei helfen, sicherzustellen, dass die Daten tatsächlich vollständig gelöscht wurden. Dies entspricht der Verpflichtung zur Datensicherheit gemäß Art. 32 DSGVO, wonach Unternehmen geeignete Maßnahmen ergreifen müssen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
  4. Dokumentation des Offboarding-Prozesses: Halten Sie jeden Schritt des Offboarding-Prozesses fest – von der Anforderung der Löschbescheinigung bis hin zur Protokollierung aller Kontrollen. So sind sie im Bedarfsfall auf der sicheren Seite und haben alle nötigen Nachweise zur Hand. Die Dokumentation unterstützt auch die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO und kann im Falle einer Kontrolle durch die Aufsichtsbehörde für den Datenschutz von entscheidender Bedeutung sein.

Grenzen der Kontrolle

Zur oben unter Ziff. 2 erwähnten Löschbescheinigung: In der Beratungspraxis erleben wir es immer wieder, dass nicht nur eine Bestätigung der Löschung verlangt wird, sondern ein konkreter Nachweis, was gelöscht wurde. Das ist sicher richtig, allerdings schießen hierbei viele Auftraggeber aus unserer Sicht klar über das Ziel hinaus. Wenn Daten gelöscht werden, darf keinesfalls eine Kopie der Daten als Löschnachweis angelegt werden. Die Löschung zeichnet sich ja gerade dadurch aus, dass danach nichts mehr da ist. Bestätigung und Nachweis werden also immer nur auf einer abstrakten Ebene erfolgen müssen. Sinngemäß könnte also bestätigt werden, dass zu einem bestimmten Zeitpunkt eine bestimmte Anzahl von Dateien mit einem Gesamtvolumen von X Gigabyte gelöscht wurden. Oder, dass der Datensatz mit der ID 1234 gelöscht wurde. Jede detailliertere Aussage, und hier kann schon die Angabe der Dateinamen der gelöschten Dateien ausreichen, wäre eher ein Nachweis, dass eben nicht alles gelöscht wurde, sondern der Auftragsverarbeiter immer noch über einen Teil der Informationen verfügt.

Fazit

Das Urteil des OLG Dresden zeigt, wie wichtig es ist, den Datenschutz als durchgängigen Prozess zu verstehen – vom Beginn bis zum Ende einer Zusammenarbeit. Ein gut durchdachtes Offboarding, das eine detaillierte Löschbestätigung umfasst und lückenlos dokumentiert ist, bringt Klarheit und Sicherheit. Es schützt Unternehmen vor möglichen Bußgeldern und stärkt das Vertrauen bei Kund*innen und Geschäftspartner*innen.

Wer beim Datenschutz den Überblick behält und auf saubere Prozesse setzt, zeigt Verantwortung und Professionalität. Dieses Urteil kann als Aufforderung an die Unternehmen angesehen werden, den Umgang mit personenbezogenen Daten bis zum letzten Schritt zu durchdenken und sicherzustellen, dass sie ihrer Verpflichtung zu einem lückenlosen (ausreichenden) Datenschutz nachkommen – ein positiver Schritt für den Datenschutz und ein Plus für die Unternehmensreputation.