Fehlender Auftragsverarbeitungsvertrag begründet Schadenersatzanspruch

/von

Bereits mehrfach waren interessante Aspekte der Auftragsverarbeitung gemäß Art. 28 DSGVO Gegenstand unserer Artikel – so beispielsweise hier: Auftragsverarbeitung – Kontrolle der (Unter)-Auftragnehmer oder hier: Auftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift?

„Was tun, wenn die Kette reißt?“ Eine Geschichte aus der Praxis

Stellen Sie sich vor, Sie nutzen einen beliebten Streaming-Dienst. Alles läuft reibungslos – bis zu dem Tag, an dem Ihre persönlichen Daten plötzlich im Darknet auftauchen. Der Grund? Ein Unterauftragnehmer des Dienstes hatte keine ausreichenden Datenschutzvorkehrungen getroffen. Was zunächst wie ein technisches Problem aussieht, kann sich bald als rechtliche Katastrophe herausstellen: Es fehlte ein entscheidender Vertrag zwischen den beteiligten Parteien.

Dieser reale Fall, der vor dem Landgericht Lübeck (LG Lübeck) verhandelt wurde, zeigt, wie wichtig es ist, Datenschutz entlang der gesamten Verarbeitungskette sicherzustellen. Doch was bedeutet das konkret für Unternehmen und Nutzer?

Urteil des LG Lübeck

Zur Erläuterung greifen wir auf ein interessantes Urteil des LG Lübeck vom 04. Oktober 2024 (Az. 15 O 216/23) zurück, das die Bedeutung von Auftragsverarbeitungsverträgen verdeutlicht. In diesem Fall führte das Fehlen eines solchen Vertrags zu einer unzulässigen Datenübermittlung und begründete einen Schadenersatzanspruch nach Art. 82 DSGVO gegen den Auftraggeber der Auftragsverarbeitung. Dass die Daten gar nicht beim Auftraggeber gespeichert waren, sondern das Datenleck aufgrund von unzureichenden technischen Sicherheitsmaßahmen beim Auftragnehmer auftrat, war aufgrund des fehlenden Vertrags zur Auftragsverarbeitung unerheblich.

Was war genau passiert?

Ein Datenleck bei einem Auftragsverarbeiter einer Musik-Streaming-Plattform führte zur Veröffentlichung von Nutzerdaten im Darknet. Datenschutzrechtlich ist das eine durchaus interessante Konstellation, denn bei Auftragsverarbeitungsverhältnissen bleibt der Auftraggeber der datenschutzrechtlich Verantwortliche gemäß Art. 4 Nr. 7 DSGVO. Er ist damit zunächst gemäß Art. 82 Abs. 1 DSGVO neben dem Auftragsverarbeiter Adressat von möglichen Schadenersatzansprüchen betroffener Personen, die aufgrund der Veröffentlichung einen Schaden erlitten haben. Gemäß Art. 82 Abs. 3 DSGVO wird er jedoch von dieser Haftung befreit, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Auf diese Regelung hatte sich der Auftraggeber berufen wollen. Die offengelegten Daten stammten bereits aus dem Jahr 2019 und hätten, nachdem das Vertragsverhältnis zwischenzeitlich endete, durch den Auftragnehmer bereits gelöscht werden müssen. Ein Nutzer der Plattform machte Schadenersatzansprüche geltend, da er durch die Veröffentlichung der Daten Risiken wie Identitätsdiebstahl oder Phishing befürchtete.

Eigentlich hatte der Auftraggeber also gute Argumente dafür, dass er tatsächlich nicht verantwortlich für das entstandene Datenleck war. Allerdings bestand zwischen den Parteien kein Vertrag zur Auftragsverarbeitung, der die Rechte und Pflichten der jeweiligen Partei geregelt hätte. Das Gericht entschied, dass das Fehlen dieses Auftragsverarbeitungsvertrags einen Verstoß gegen Art. 28 DSGVO darstellt, wodurch bereits die Datenübermittlung an den Auftragsverarbeiter unrechtmäßig war. Aufgrund der unrechtmäßigen Übermittlung konnte sich der Auftraggeber auch nicht gemäß Art. 82 Abs. 3 DSGVO exkulpieren; er musste also auch für die Schadenersatzforderung einer betroffenen Person geradestehen. Dieser wurde ein Schadenersatz von EUR 350,- zugesprochen, da der Schaden in Form von Sorgen und Ängsten vor einem möglichen Missbrauch der Daten anerkannt wurde. Die geringe Menge der betroffenen Daten (Spitzname, E-Mail-Adresse, Geschlecht) wurde bei der Festsetzung der Höhe des Schadens berücksichtigt.

Wichtige rechtliche Aspekte:

Im vorliegenden Fall war der Unterauftragnehmer eine Tochtergesellschaft in einem Konzern. Das Gericht betonte, dass datenschutzrechtliche Verpflichtungen innerhalb eines Konzerns nicht automatisch auf Tochtergesellschaften übergehen. Das Urteil lässt sich aber auch auf Konstellationen übertragen, bei denen der Auftragnehmer nicht Teil einer Unternehmensgruppe ist. Das Urteil zeigt daher, wie wichtig, insbesondere auch aus Haftungsgründen, die Vereinbarung eines Vertrags zur Auftragsverarbeitung ist.

Darüber hinaus sollten Auftraggeber, auch wenn ein Auftragsverarbeitungsvertrag besteht und der Auftragnehmer durch diesen zur Löschung verpflichtet ist, nicht davon ausgehen, dass sie für die tatsächliche Durchführung der Löschung keine Verantwortung tragen. Die Durchführung dieser Löschung sollten sich Auftraggeber, soweit dies möglich ist, nachweisen lassen. Über die Risiken, die bei fehlender Kontrolle bestehen, hatten wir im Zusammenhang mit einem Urteil des OLG Dresden (Az.: 4 U 940/24) hier berichtet.

Folgen für die Praxis:

Das Urteil hat weitreichende Konsequenzen für Unternehmen, die personenbezogene Daten verarbeiten lassen. Wir empfehlen Unternehmen, folgende Punkte zu prüfen und umzusetzen.

  1. Prüfung bestehender Auftragsverarbeitungsverträge: Unternehmen sollten ihre Verträge auf Vollständigkeit und Konformität mit Art. 28 DSGVO überprüfen, insbesondere im Hinblick auf die Beauftragung von Unterauftragsverarbeitern.
  2. Schulung von Beschäftigten: Alle Unternehmen müssen sicherstellen, dass die Beschäftigten die Anforderungen an Auftragsverarbeitungsverträge kennen und korrekt umsetzen können.
  3. Technische und organisatorische Maßnahmen (TOM): Es reicht nicht aus, „nur“ TOM gemäß Art. 32 DSGVO zu implementieren. Deren Wirksamkeit muss regelmäßig überprüft werden, insbesondere in Bezug auf die Sicherung personenbezogener Daten gegen unberechtigten Zugriff und unberechtigtes Abfließen sowie und in Bezug auf die Löschung nach Vertragsende.
  4. Dokumentation: Alle Unternehmen müssen eine umfassende Dokumentation der Datenflüsse, Auftragsverarbeitungsverträge und Kontrollmaßnahmen sicherstellen, um die Einhaltung der DSGVO nachweisen zu können (Art. 5 Abs. 2 DSGVO).
  5. Datenschutzmanagement: Eine regelmäßige Analyse der Risiken bei der Beauftragung von (Unter-)Auftragsverarbeitern sollte Bestandteil des Datenschutzmanagement sein.
  6. Einbindung der Datenschutzbeauftragten (DSB): Unternehmen sollten die Datenschutzbeauftragten frühzeitig in alle relevanten Prozesse rund um die Auftragsverarbeitung einbeziehen. Die Datenschutzbeauftragten sollten regelmäßig die Verträge auf die Erfüllung und die Einhaltung der DSGVO prüfen und bei der Auswahl von Auftragsverarbeitern sowie bei der Risikobewertung unterstützend tätig werden. Zudem sollten sie die ordnungsgemäße Löschung personenbezogener Daten nach Vertragsende stichprobenartig kontrollieren und bei Bedarf beratend tätig werden, um datenschutzrechtliche Risiken zu minimieren.

Die Perspektive des Europäischen Gerichtshof (EuGH): Vertragsverpflichtungen und Rechtmäßigkeit der Verarbeitung

Eine interessante Frage in diesem Zusammenhang ist, ob der EuGH die Auffassung des LG Lübeck teilt. Nach Rechtsprechung des EuGH sind die Anforderungen an die Rechtmäßigkeit einer Verarbeitung, etwa die Übermittlung von Daten, primär in den Art. 5 DSGVO und Art. 6 DSGVO festgelegt. Der EuGH betonte in mehreren Urteilen, insbesondere in der Entscheidung C-60/22, dass jede Verarbeitung personenbezogener Daten mit den Grundsätzen des Art. 5 Abs. 1 DSGVO sowie den Bedingungen des Art. 6 DSGVO zur Rechtmäßigkeit der Verarbeitung übereinstimmen muss. Der EuGH stellte klar, dass die Rechtmäßigkeit der Verarbeitung bei Einsatz eines Dienstleisters nicht nur durch das Vorliegen eines Auftragsverarbeitungsvertrags garantiert werden kann, sondern dessen Einhaltung auch stets durch die Einhaltung der Grundsätze wie Zweckbindung und Datenminimierung unterstützt werden muss. In diesem Zusammenhang hat der EuGH aber auch festgestellt, dass das Fehlen eines Vertrags zur Auftragsverarbeitung nicht automatisch zu einer unrechtmäßigen Verarbeitung und damit zu einem Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO führt. Wenn außer dem fehlenden Auftragsverarbeitungsvertrag, sonst keine Verstöße festzustellen sind, dann ist es eben auch nur genau das: ein fehlender Vertrag zur Auftragsverarbeitung und damit ein Verstoß gegen Art. 28 DSGVO.

Das LG Lübeck wiederum stellte zumindest für diesen Fall fest, dass das Fehlen des Auftragsverarbeitungsvertrags zu einer rechtswidrigen Datenübermittlung an den Dienstleister geführt hat. Dies könnte im Widerspruch zu der vorgenannten Entscheidung des EuGH stehen. Letztlich ist diese Unterscheidung aber vielleicht aber auch gar nicht so wichtig: Ob Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO oder gegen Art. 28 DSGVO – beides kann ein Bußgeld nach sich ziehen und wird die Exkulpation bei geltend gemachten Schadenersatzansprüchen nicht erleichtern.

Fazit

Das Urteil des LG Lübeck verdeutlicht die zentrale Bedeutung guter Auftragsverarbeitungsverträge. Unternehmen müssen alle datenschutzrechtlichen Anforderungen strikt einhalten, um Haftungsrisiken zu vermeiden. Eine sorgfältige Prüfung der internen Prozesse, vor allem bei der Zusammenarbeit mit Unterauftragsverarbeitern bis hin zur Löschung der verarbeiteten personenbezogenen Daten, ist unerlässlich, um die datenschutzrechtlichen Vorgaben zu erfüllen und Schadensersatzansprüche zu verhindern.