Datenschutzverstöße können für Unternehmen teuer werden – besonders, wenn es um unbefugte Zugriffe auf personenbezogene Daten geht. Doch wer haftet, wenn die Fehler nicht im eigenen Betrieb, sondern bei einem beauftragten Dienstleister passieren? Mit dieser Frage hat sich das Oberlandesgericht Stuttgart (OLG Stuttgart, Hinweisbeschluss, Az.: 4 U 49/24) befasst. ECC-Clubmitglied Rechtsanwalt Rolf Becker aus Alfter erläutert die Entscheidung und ihre Konsequenzen für Unternehmen.
Fehlkonfiguration bei Dienstleister – Unternehmen verklagt
Im verhandelten Fall war es durch eine Fehlkonfiguration bei einem externen IT-Dienstleister zur unbefugten Veröffentlichung sensibler Kundendaten gekommen. Ein Kunde klagte gegen das beauftragende Unternehmen und argumentierte, dieses habe nicht ausreichend Vorkehrungen getroffen, um den Datenmissbrauch zu verhindern. Bemängelt wurden unter anderem fehlende Verschlüsselungen und unzureichende Sicherheitsmaßnahmen zur Datentrennung.
Das beklagte Unternehmen wies die Vorwürfe zurück und betonte, es habe alle nach Art. 32 DSGVO erforderlichen Maßnahmen getroffen. Zudem sei der Dienstleister vertraglich verpflichtet gewesen, für angemessene Sicherheitsmaßnahmen zu sorgen. Die fehlerhafte Konfiguration sei allein auf ein Versäumnis des Dienstleisters zurückzuführen.
Gericht: Unternehmen durfte auf Dienstleister vertrauen
Das OLG Stuttgart stellte in seinem Hinweisbeschluss klar, dass das beklagte Unternehmen sich auf die Zusicherungen des Dienstleisters verlassen durfte. Insbesondere habe es nach der vertraglichen Bestätigung einer erfolgten Datenlöschung keinen Anlass gehabt, diese nochmals zu überprüfen.
Besonders relevant war die Frage, ob das Unternehmen für das Fehlverhalten des Dienstleisters haften muss. Die Richter stellten fest, dass nach Art. 28 Abs. 10 DSGVO in bestimmten Fällen der Auftragsverarbeiter selbst als Verantwortlicher gilt. Dies sei insbesondere dann der Fall, wenn dieser über den vereinbarten Auftrag hinausgehe und personenbezogene Daten auf eigene Weise oder für eigene Zwecke verarbeite. In einer solchen Situation könne das Unternehmen nicht für den Verstoß des Dienstleisters haftbar gemacht werden.
Bedeutung für Unternehmen: Datenschutz-Verträge sind entscheidend
Das OLG Stuttgart hat mit seiner Entscheidung klargestellt, dass Unternehmen nicht automatisch für Datenschutzverstöße ihrer Dienstleister haften. Entscheidend ist, dass sie ihre Sorgfaltspflichten umfassend wahrnehmen und dies nachvollziehbar dokumentieren. Dazu gehört, dass der Dienstleister mit Blick auf Datenschutz und IT-Sicherheit sorgfältig ausgewählt wird. Zudem müssen die vertraglichen Regelungen zur Auftragsverarbeitung nach Art. 28 DSGVO klar und verbindlich gestaltet sein. Unternehmen sollten außerdem sicherstellen, dass die vereinbarten Sicherheitsvorgaben regelmäßig überprüft werden. Ebenso ist es erforderlich, dass datenschutzrelevante Maßnahmen vom Dienstleister schriftlich bestätigt werden, um eine rechtssichere Nachweisbarkeit zu gewährleisten.
Fazit
Unternehmen sollten sich auf sorgfältig gestaltete Auftragsverarbeitungsverträge und dokumentierte Sicherheitsmaßnahmen verlassen können. Die Entscheidung des OLG Stuttgart zeigt, dass eine vollständige Übertragung der Verantwortung an externe Dienstleister zwar riskant ist, aber unter bestimmten Umständen eine Entlastung von der Haftung möglich macht. Wer die DSGVO-Vorgaben ernst nimmt und nachweislich einhält, kann sich gegen ungerechtfertigte Schadensersatzforderungen erfolgreich verteidigen.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker war bis Ende 2023 Partner und Mitbegründer der Rechtsanwaltssozietät Wienke & Becker – Köln, die mit Ablauf des Jahres 2023 beendet wurde. Er ist Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht, insbesondere im Fernabsatz. Als Mitglied im ECC-Club kommentiert Rechtsanwalt Becker für das ECC Köln regelmäßig aktuelle Urteile zum Onlinehandel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
Rechtsanwalt Becker auf X (ehemals Twitter): https://x.com/rolfbecker
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!