… „ besser „UIMCommunic@tion: praxisnah gut informiert“

Haftung beim Outsourcing

Rechtskonform

Datenschutz-Verstöße durch Dienstleister: Wer haftet?

Gerichtsurteil zeigt: Auftragsverarbeitung erfordert aktive Kontrolle durch Unternehmen

Die steigenden Anforderungen an Unternehmen werden im Bereich der Auftragsverarbeitung immer bedeutsamer. Die jüngste Stellungnahme des Europäischen Datenschutzausschusses (EDSA) sowie aktuelle Urteile zeigen: Auftraggeber müssen sich ihrer Pflichten im Rahmen des Outsourcings bewusst sein und diese aktiv umsetzen. Viele Unternehmen unterschätzen die Verantwortung, die sie bei der Verarbeitung personenbezogener Daten durch externe Dienstleister tragen. Die reine Weitergabe von Daten an einen Auftragsverarbeiter entbindet nicht von der Verantwortung – Kontrolle und Dokumentation sind essenziell.

Was ist also zu tun, um der eigenen Verantwortung gerecht zu werden?

Die Verantwortlichkeit ist klar zugewiesen. Konkret: Der EDSA betont, dass Auftraggeber (im Sinne des DSGVO „Verantwortlicher“) auch bei langen Verarbeitungsketten die zentrale Rolle behalten. Unternehmen müssen daher sicherstellen, dass die Identität und Tätigkeiten aller Auftrags-, aber auch aller Unterauftragsverarbeiter bzw. Sub-Dienstleister dokumentiert sind und diese nur mit ausreichenden Garantien eingesetzt werden. Die Verantwortung für deren Auswahl, Überprüfung und Kontrolle liegt beim ursprünglichen Verantwortlichen. Eine Freizeichnung ist nicht möglich.

Auch deutsche Gerichte bestätigen diese strengen Anforderungen beim Outsourcing.

So entschied das Oberlandesgericht (OLG) Dresden in einem Fall, dass Unternehmen auch dann haftbar bleiben, wenn ein externer Dienstleister gegen Datenschutzvorgaben verstößt. Konkret ging es um einen Cyberangriff auf einen Auftragsverarbeiter, bei dem personenbezogene Daten des Unternehmens entwendet wurden. Das Gericht stellte klar: Die bloße Erteilung von Weisungen reicht nicht aus – Unternehmen müssen die Umsetzung aktiv überwachen. Im vorliegenden Fall fehlte eine ausdrückliche Bestätigung der Datenlöschung durch den Dienstleister, weshalb das Unternehmen gegen seine Kontrollpflichten verstieß.

Die bedeutet für den Auftraggeber im Rahmen der Haftung:

Verträge mit Auftragsverarbeitern (die sog. AVV) allein genügen nicht. Die tatsächliche Einhaltung der Datenschutzpflichten muss überwacht und dokumentiert werden. Je nach Kritikalität der Datenverarbeitung kann dies mittels Selbstauskunftsbogen, mittels Remote-Befragung oder durch ein Vor-Ort-Audit nachgewiesen werden. Eine solche Überprüfung sollte vor der Beauftragung sowie regelmäßig durchgeführt werden. Auch der Zeitraum der regelmäßigen Überprüfung sollte sich von der Kritikalität der Datenverarbeitung richten und intern dokumentiert werden.

Unternehmen müssen verstehen, dass Datenschutz keine einmalige Aufgabe ist, sondern ein kontinuierlicher Prozess. Wer seine Pflichten kennt und umsetzt, minimiert Risiken und schützt sowohl sein Unternehmen als auch die betroffenen Personen.

Mehr beiträge

Digitale Souveränität

US-Dienste im Griff von Trump-Behörden? Warum digitale Souveränität für Unternehmen so wichtig ist Nicht erst seit der zweiten Präsidentschaft von Donald Trump rücken Ressourcen, Bodenschätze

Weiterlesen »

Löschung von Langzeit-Backups

Im Fokus des europäischen Datenschutzausschusses: Das Recht auf Löschung Der Europäische Datenschutzausschuss (EDSA) hat für 2025 eine EU-weit koordinierte Aktion angekündigt, die sich auf die

Weiterlesen »

Ihr Ansprechpartner

Dr. Jörn Vossbein

Dr. Jörn Voßbein

Telefon: 0202 / 9467726-200

Newsletter:

Der Informationsservice der UIMC-Gruppe

Hierin werden wir über aktuelle und interessante Themen berichten und Ihnen Tipps geben, wie Sie bestimmten Risiken entgegenwirken können. Ferner werden wir Sie über interessante Veranstaltungen, nicht nur UIMC-eigene, und sonstige Termine informieren.
Wenn Sie diesen Service auch nutzen möchten, um regelmäßig aktuelle Informationen proaktiv zu erhalten, dann können Sie den UIMCommunication-Info-Brief auch abonnieren.

Tipps und Infos, die zu Ihnen kommen

Tipps und Infos, die zu Ihnen kommen

Info-Brief:

Der Informationsservice der UIMC-Gruppe

Hierin werden wir über aktuelle und interessante Themen berichten und Ihnen Tipps geben, wie Sie bestimmten Risiken entgegenwirken können. Ferner werden wir Sie über interessante Veranstaltungen, nicht nur UIMC-eigene, und sonstige Termine informieren.
Wenn Sie diesen Service auch nutzen möchten, um regelmäßig aktuelle Informationen proaktiv zu erhalten, dann können Sie den UIMCommunication-Info-Brief auch abonnieren.