Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Auftragsverarbeitung : Vertragsende aktiv managen – Schadensersatzansprüche vermeiden

Bei der Vergabe eines Auftrags erfährt ein Dienstleister viel Aufmerksamkeit seitens des potenziellen Auftraggebers. Insbesondere bei Auftragsverarbeitern wird teilweise umfangreich geprüft. So spektakulär wie eine Auftragsvergabe abläuft, so schweigsam und leise endet ein Auftrag. Die letzte Rechnung wird bezahlt und der Dienstleister verschwindet aus dem Bewusstsein seines ehemaligen Auftraggebers.

Dr. Niels LepperhoffDatenschutzPraxis
Lesezeit 4 Min.

Umso überraschter reagiert der ehemalige Auftraggeber, sobald er herausfindet, dass seine Daten im Darknet zum Verkauf angeboten werden. Daten, die sein Auftragsverarbeiter vor Jahren hätte löschen sollen. Welche Verantwortung trägt der Auftraggeber in einer solchen Situation?

Pflicht zur Kontrolle

Das Oberlandesgericht (OLG) Dresden sieht den Auftraggeber in der Pflicht, nach Ende einer Auftragsverarbeitung eine Bestätigung der tatsächlich erfolgten Löschung zu verlangen.[1] Die Bestätigung ist zeitnah zum Vertragsende zu verlangen. Bestätigt der Auftragsverarbeiter nicht die tatsächlich durchgeführte Löschung, ist nach Ansicht des OLG Dresden der Auftraggeber zu einer Vor-Ort-Kontrolle verpflichtet. Eine Bestätigung der Löschabsicht reicht demnach nicht aus.

In seinen Ausführungen macht das Gericht deutlich, dass es von einer grundsätzlichen Plicht des Auftraggebers, den Auftragsverarbeiter zu kontrollieren, ausgeht. Diese Pflicht erschöpft sich nicht in einer Anforderung einer Löschbestätigung, sondern umfasst alle Bereiche der Auftragsverarbeitung während der Laufzeit der Auftragsverarbeitung.

Verursacht der Auftragsverarbeiter durch einen Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO) einen Schaden, kann die geschädigte Person Schadensersatz nicht nur vom Auftragsverarbeiter, sondern auch vom Auftraggeber verlangen. Nach Ansicht des Gerichts führt eine unterlassene Kontrolle, die bei Durchführung den Verstoß aufgedeckt und damit das Schadensereignis verhindert hätte, regelmäßig zu einer Haftung des Auftraggebers.

Die Schwelle, ab wann aus einem Gefühl ein immaterieller Schäden wird, ist niedrig. Der Bundesgerichtshof (BGH) sieht bereits einen kurzzeitigen Verlust der Kontrolle über eigene personenbezogene Daten als immateriellen Schaden an.[2] Ob die Daten missbräuchlich verwendet wurden oder nicht, ist unerheblich. Ebenfalls unerheblich ist, ob weitere spürbare Folgen für die geschädigte Person entstanden sind. Als Schadenshöhe geht der BGH von 100 Euro aus.

Eine Fachkraft mit Kapuzenpullover sitzt in einem schwach beleuchteten Raum vor mehreren Computerbildschirmen, auf denen komplexe Gehaltsabrechnungs- und Personalverwaltungscodes zu sehen sind. Im Hintergrund schimmern blaue digitale Datenströme, die eine moderne und zukunftsorientierte Arbeitsumgebung schaffen.

Praxisempfehlung für Auftraggeber

Um als Auftraggeber im Schadensfall „bessere Karten zu haben“, empfiehlt es sich, einen Prozess zur regelmäßigen Kontrolle von 2 BGH, Pressemitteilung zum Urteil vom 18.11.2024 – VI ZR 10/24 Auftragsverarbeitern zu etablieren. Denkbare Kontrollmethoden reichen von der Prüfung angeforderter Prüfberichte, die der Auftragsverarbeiter selbst erstellt hat oder erstellen ließ, über Prüfungen mittels versandter Fragebogen bis hin zu Inaugenscheinnahme vor Ort. Als Inspirationsquelle kann die aufsichtsbehördlich genehmigte Vorgehensweise aus der Verhaltensregel Trusted Data Processor dienen.[3]

Weiterhin empfiehlt es sich für Auftraggeber, einen Prozess zu etablieren, der sicherstellt, dass der Auftragsverarbeiter bei Vertragsende explizit zur Rückgabe der Daten oder zu ihrer Löschung aufgefordert wird. Es sollte zeitnah eine Bestätigung der erfolgten Löschung angefordert und diese geprüft werden.

Praxisempfehlung für Auftragsverarbeiter

Entgegen der landläufigen Meinung sind Daten des Auftraggebers kein Rohstoff, sondern eine Gefahrenquelle. Gefahrenquellen sind der Ausgangspunkt potenzieller Schadensersatzansprüche. Deshalb empfiehlt es sich, die eigenen Prozesse darauf auszurichten, die Daten des Auftraggebers möglichst schnell zurückzugeben oder zu löschen. Dazu gehört auch, bei Vertragsende proaktiv den Auftraggeber zur Entscheidung über die Rückgabe oder Löschung zu motivieren und diese zeitnah in Abstimmung mit dem Auftraggeber umzusetzen. Gemäß Art. 28 Abs. 3 lit. g) DS-GVO liegt die Entscheidung beim Auftraggeber und kann nicht vom Auftragsverarbeiter vorgegeben oder getroffen werden.

Eine Ursache von unterlassenen Löschungen ist, dass Auftragsverarbeiter Daten des Auftraggebers in Testsysteme kopieren, um diese zu eigenen Testzwecken zu nutzen. Sobald ein Auftragsverarbeiter Daten für eigene Zwecke nutzt, dazu zählt grundsätzlich auch die Testung von Software, verlässt er die Rolle als Auftragsverarbeiter und wird Verantwortlicher (Art. 28 Abs. 10 DS-GVO). In diesem Moment erlischt die Privilegierung der Auftragsverarbeitung, d. h. der ehemalige Auftragsverarbeiter bräuchte beispielsweise eine Rechtsgrundlage für die Verarbeitung, die regelmäßig nicht vorliegen dürfte, und müsste die betroffenen Personen innerhalb eines Monats informieren. Er hat zudem den Vertrag mit dem Auftraggeber gebrochen.

Faktisch geht mit der Nutzung von Daten des Auftraggebers zu eigenen Zwecken immer ein Verstoß gegen zahlreiche Vorgaben der DS-GVO einher. Kommt es beispielsweise zu einem immateriellen oder materiellen Schaden bei den betroffenen Personen wegen eines unberechtigten Zugriffs, sind bereits zwei Voraussetzungen für einen Schadensersatzanspruch erfüll: Verstoß gegen die DS-GVO und Existenz eines immateriellen oder materiellen Schadens. Wenn der Geschädigte die Kausalität zwischen Verstoß und Schaden belegen kann, hat er einen Schadensersatzanspruch.

Es empfiehlt sich deshalb, durch interne Abläufe, technische Sicherungen und organisatorische Vorgaben sicherzustellen, dass Daten der Auftraggeber nicht für eigene Zwecke wie z. B. Softwaretests genutzt werden.

Eine Fachkraft für Entgeltabrechnung und Personalbetreuung in einem eleganten dunklen Anzug füllte sorgfältig ein wichtiges Dokument aus, das auf einer spiegelnden Oberfläche liegt. Der Fokus der Aufnahme liegt dabei auf der präzisen Handbewegung und dem hochwertigen Schreibgerät, während der Hintergrund dezent verschwommen ist.

Fazit

Das Instrument der Auftragsverarbeitung fördert eine digitale Arbeitsteilung durch einen relativ einfachen Einsatz von Dienstleistern. Mit dem Privileg der Auftragsverarbeitung geht für Auftraggeber eine umfangreichere Verantwortung und Haftung einher. Auftraggeber sind zur Kontrolle ihrer Auftragsverarbeiter während der Dauer der Auftragsverarbeitung verpflichtet. Dazu zählt auch die Kontrolle der erfolgten Rückgabe oder Löschung der Daten des Auftraggebers spätestens bei Vertragsende.

Auftragsverarbeiter sollten Daten des Auftraggebers als Gefahrenquelle betrachten und diese schnellstmöglich zurückgeben oder löschen. Weiterhin sollte sichergestellt werden, dass Daten des Auftraggebers nicht für eigene Zwecke, wie z. B. Softwaretests verwendet werden.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

[1] OLG Dresden, Urteil vom 15.10.2024, Az.: 4 U 940/24

[2] BGH, Pressemitteilung zum Urteil vom 18.11.2024 – VI ZR 10/24

[3] Kapitel 4.3, URL: www.verhaltensregel.eu/verhaltensregel/.

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.