Nils Bergert
Elisa Härder
Ines Heck
Manuel Hemm
Selina Hohe
Peter Huhn
Domenic Ipta
Kathrin Klein
Dr. Alexander Lang
Julian Pfeil
Magdalena Püschel
Thomas Rotzal
Susanna Schäfer
Valeria Schmidt
Christian Stadler
Alexander Stegmann
Jörg Steinbock
Bad Kissingen 
Bamberg 
Gerbrunn 
Gotha 
Kürnach 
München 
Randersacker 
Rottendorf 
Würzburg Fehlender Auftragsverarbeitungsvertrag begründet Schadensersatzanspruch
Bei der Auftragsverarbeitung handelt es sich um eine spezifische Form der Aufgabenübertragung bei der Verarbeitung personenbezogener Daten. Der Verantwortliche (im Sinne der Definition des Artikels 4 Nummer 7 DSGVO) lagert dabei in der Regel Teilprozesse, die er sonst selbst vornehmen müsste und bei denen personenbezogene Daten verarbeitet werden, an einen externen Dienstleister (= Auftragsverarbeiter im Sinne der Definition des Artikels 4 Nr. 8 DSGVO) aus („Outsourcing“).
Was tun, wenn es in der (datenschutzrechtlichen) Verkettung zu Problemen kommt?
Ein Beispiel aus der Praxis stellte sich so dar, dass urplötzlich persönliche Daten im Darknet aufgetaucht sind, welche einem Streaming-Anbieter anvertraut worden sind. Der Grund: Ein Subunternehmer des Dienstes hatte keine ausreichenden Maßnahmen zum Datenschutz getroffen. Was anfangs wie ein technisches Problem wirkt, entpuppt sich schnell als rechtliches Desaster: Es fehlte ein wesentlicher Vertrag zwischen den beteiligten Parteien.
Dieser tatsächliche Fall, der vor dem Landgericht Lübeck (LG Lübeck) verhandelt wurde, verdeutlicht, wie entscheidend es ist, Datenschutz entlang der gesamten Verarbeitungskette zu gewährleisten.
Urteil des LG Lübeck zum Fehlen des Auftragsverarbeitungsvertrags (AVV)
Zur Veranschaulichung beziehen wir uns auf das Urteil des LG Lübeck vom 04. Oktober 2024 (Az. 15 O 216/23), dass die Wichtigkeit von Auftragsverarbeitungsverträgen unterstreicht. In diesem Fall führte das Fehlen eines solchen Vertrags zu einer unzulässigen Datenübermittlung und begründete einen Schadenersatzanspruch gemäß Art. 82 DSGVO gegen den Auftraggeber der Auftragsverarbeitung. Dabei spielte es keine Rolle, dass die Daten nicht beim Auftraggeber gespeichert waren und das Datenleck aufgrund unzureichender technischer Sicherheitsvorkehrungen beim Auftragnehmer auftrat – das Fehlen des Vertrags zur Auftragsverarbeitung war in diesem Fall entscheidend.
Das Gericht entschied, dass alleine das Fehlen des Auftragsverarbeitungsvertrags einen Verstoß gegen Art. 28 DSGVO darstellt, wodurch die Datenübermittlung an den Auftragsverarbeiter bereits unrechtmäßig war. Aufgrund dieser unrechtmäßigen Übermittlung konnte sich der Auftraggeber nicht gemäß Art. 82 Abs. 3 DSGVO von der Haftung befreien. Er war daher verpflichtet, für die Schadenersatzforderung einer betroffenen Person aufzukommen.
Wichtige rechtliche Aspekte
Im vorliegenden Fall ist aus rechtlicher Sicht hervorzuheben, dass der Unterauftragnehmer eine Tochtergesellschaft innerhalb eines Konzerns war. Das Gericht betonte, dass datenschutzrechtliche Verpflichtungen nicht automatisch auf Tochtergesellschaften innerhalb eines Konzerns übergehen. Dieses Urteil ist jedoch auch auf Fälle anwendbar, in denen der Auftragnehmer nicht Teil einer Unternehmensgruppe ist. Es verdeutlicht, wie wichtig die Vereinbarung eines Auftragsverarbeitungsvertrags ist – insbesondere im Hinblick auf Haftungsfragen.
Zusätzlich sollten Auftraggeber, selbst wenn ein Auftragsverarbeitungsvertrag besteht und der Auftragnehmer zur Löschung der Daten verpflichtet ist, nicht davon ausgehen, dass sie keine Verantwortung für die tatsächliche Durchführung der Löschung tragen. Auftraggeber sollten sich, soweit möglich, den Nachweis über die Durchführung der Löschung erbringen lassen. Über die Risiken, die bei fehlender Kontrolle bestehen, verweisen wir in diesem Zusammenhang auf das Urteil des OLG Dresden vom 15.10.2024 – Az.: 4 U 940/24:
„Dem datenschutzrechtlich Verantwortlichen obliegt gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrags eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten. Auf einen Exzess kann er sich nicht berufen, wenn er dieser Kontrollpflicht nicht genügt.“
Folgen für die Praxis / Unternehmer
Das Urteil des LG Lübeck hat weitreichende Auswirkungen auf Unternehmen, die personenbezogene Daten verarbeiten lassen. Wir empfehlen Unternehmen, die folgenden Punkte zu prüfen und umzusetzen:
- Prüfung und Aktualisierung bestehender Auftragsverarbeitungsverträge: Unternehmen sollten ihre bestehenden Verträge auf Vollständigkeit und Konformität mit Art. 28 DSGVO überprüfen, insbesondere im Hinblick auf die Beauftragung von Unterauftragsverarbeitern.
- Schulung von Beschäftigten: Alle Unternehmen müssen sicherstellen, dass ihre Beschäftigten die Anforderungen an Auftragsverarbeitungsverträge und den Datenschutz kennen und in der Lage sind, diese korrekt umzusetzen.
- Technische und organisatorische Maßnahmen (TOM): Es genügt nicht, lediglich TOM gemäß Art. 32 DSGVO zu implementieren. Ihre Wirksamkeit muss regelmäßig überprüft und auf den neusten Stand der Technik gebracht werden – insbesondere hinsichtlich des Schutzes personenbezogener Daten vor unberechtigtem Zugriff, unberechtigtem Abfließen sowie der Löschung nach Vertragsende.
- Dokumentation: Unternehmen müssen eine umfassende Dokumentation der Datenflüsse, Auftragsverarbeitungsverträge und Kontrollmaßnahmen sicherstellen, um die Einhaltung der DSGVO nachweisen zu können (Art. 5 Abs. 2 DSGVO).
- Datenschutzmanagement: Eine regelmäßige Analyse der Risiken bei der Beauftragung von (Unter-)Auftragsverarbeitern sollte Teil des Datenschutzmanagements sein.
- Einbindung der Datenschutzbeauftragten (DSB): Unternehmen sollten ihre Datenschutzbeauftragten frühzeitig in alle relevanten Prozesse rund um die Auftragsverarbeitung einbeziehen. Diese sollten regelmäßig die Verträge auf die Erfüllung der DSGVO überprüfen und bei der Auswahl von Auftragsverarbeitern sowie bei der Risikobewertung unterstützen.
Entgegenstehende Ansicht des EuGHs
Interessant dürfte in diesem Kontext sein, ob der EuGH die Auffassung des LG Lübeck teilt. Nach der Rechtsprechung des EuGHs sind die Anforderungen an die Rechtmäßigkeit einer Verarbeitung, wie etwa die Übermittlung von Daten, primär in den Art. 5 und Art. 6 DSGVO festgelegt. In mehreren Urteilen, insbesondere in der Entscheidung C-60/22, betonte der EuGH, dass jede Verarbeitung personenbezogener Daten mit den Grundsätzen aus Art. 5 Abs. 1 DSGVO sowie den Bedingungen des Art. 6 DSGVO zur Rechtmäßigkeit der Verarbeitung übereinstimmen muss. Der EuGH stellte klar, dass die Rechtmäßigkeit der Verarbeitung bei der Nutzung eines Dienstleisters nicht nur durch das Vorliegen eines Auftragsverarbeitungsvertrags garantiert werden kann, sondern dass dieser auch mit den Grundsätzen wie Zweckbindung und Datenminimierung übereinstimmen muss.
Der EuGH stellte jedoch auch fest, dass das Fehlen eines Auftragsverarbeitungsvertrags nicht automatisch zu einer unrechtmäßigen Verarbeitung und damit zu einem Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO führt. Wenn außer dem fehlenden Auftragsverarbeitungsvertrag keine weiteren Verstöße festgestellt werden, dann handelt es sich lediglich um einen fehlenden Vertrag zur Auftragsverarbeitung, was einen Verstoß gegen Art. 28 DSGVO darstellt, aber nicht zwangsläufig gegen die grundlegenden Prinzipien des Art. 5 DSGVO.
Das LG Lübeck hingegen stellte fest, dass das Fehlen eines Auftragsverarbeitungsvertrags zu einer unzulässigen Datenübermittlung an den Dienstleister geführt hat. Diese Einschätzung könnte im Widerspruch zu der EuGH-Rechtsprechung stehen.
Letztlich ist diese Unterscheidung jedoch vielleicht nicht ganz so entscheidend: Ob nun ein Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO oder gegen Art. 28 DSGVO vorliegt – beides kann zu einem Bußgeld führen und wird die Exkulpation bei geltend gemachten Schadenersatzansprüchen nicht unbedingt erleichtern.
Wir helfen weiter!
Hervorzuheben ist, dass das Urteil des LG Lübeck die zentrale Bedeutung von Auftragsverarbeitungsverträge unterstreicht. Unternehmen müssen sicherstellen, dass sie alle datenschutzrechtlichen Anforderungen streng einhalten, um Haftungsrisiken zu vermeiden. Eine gründliche Prüfung der internen Prozesse, insbesondere bei der Zusammenarbeit mit Unterauftragsverarbeitern und der ordnungsgemäßen Löschung personenbezogener Daten, ist unerlässlich. Nur so können die datenschutzrechtlichen Vorgaben eingehalten und Schadensersatzansprüche vermieden werden.
Aus diesem Grund bieten wir unseren Mandanten die Bestellung als externen Datenschutzbeauftragten an. Hierzu können Sie sich per E-Mail unter info@steinbock-partner.de oder telefonisch vertrauensvoll an uns wenden. Gerne beraten und unterstützen wir Sie auf Ihrem Weg.
