Datenschutz-Verstöße durch Dienstleister: Wer haftet?
Gerichtsurteil zeigt: Auftragsverarbeitung erfordert aktive Kontrolle durch Unternehmen
Die steigenden Anforderungen an Unternehmen werden im Bereich der Auftragsverarbeitung immer bedeutsamer. Die jüngste Stellungnahme des Europäischen Datenschutzausschusses (EDSA) sowie aktuelle Urteile zeigen: Auftraggeber müssen sich ihrer Pflichten im Rahmen des Outsourcings bewusst sein und diese aktiv umsetzen. Viele Unternehmen unterschätzen die Verantwortung, die sie bei der Verarbeitung personenbezogener Daten durch externe Dienstleister tragen. Die reine Weitergabe von Daten an einen Auftragsverarbeiter entbindet nicht von der Verantwortung – Kontrolle und Dokumentation sind essenziell.
Was ist also zu tun, um der eigenen Verantwortung gerecht zu werden?
Die Verantwortlichkeit ist klar zugewiesen. Konkret: Der EDSA betont, dass Auftraggeber (im Sinne des DSGVO „Verantwortlicher“) auch bei langen Verarbeitungsketten die zentrale Rolle behalten. Unternehmen müssen daher sicherstellen, dass die Identität und Tätigkeiten aller Auftrags-, aber auch aller Unterauftragsverarbeiter bzw. Sub-Dienstleister dokumentiert sind und diese nur mit ausreichenden Garantien eingesetzt werden. Die Verantwortung für deren Auswahl, Überprüfung und Kontrolle liegt beim ursprünglichen Verantwortlichen. Eine Freizeichnung ist nicht möglich.
Auch deutsche Gerichte bestätigen diese strengen Anforderungen beim Outsourcing.
So entschied das Oberlandesgericht (OLG) Dresden in einem Fall, dass Unternehmen auch dann haftbar bleiben, wenn ein externer Dienstleister gegen Datenschutzvorgaben verstößt. Konkret ging es um einen Cyberangriff auf einen Auftragsverarbeiter, bei dem personenbezogene Daten des Unternehmens entwendet wurden. Das Gericht stellte klar: Die bloße Erteilung von Weisungen reicht nicht aus – Unternehmen müssen die Umsetzung aktiv überwachen. Im vorliegenden Fall fehlte eine ausdrückliche Bestätigung der Datenlöschung durch den Dienstleister, weshalb das Unternehmen gegen seine Kontrollpflichten verstieß.
Die bedeutet für den Auftraggeber im Rahmen der Haftung:
Verträge mit Auftragsverarbeitern (die sog. AVV) allein genügen nicht. Die tatsächliche Einhaltung der Datenschutzpflichten muss überwacht und dokumentiert werden. Je nach Kritikalität der Datenverarbeitung kann dies mittels Selbstauskunftsbogen, mittels Remote-Befragung oder durch ein Vor-Ort-Audit nachgewiesen werden. Eine solche Überprüfung sollte vor der Beauftragung sowie regelmäßig durchgeführt werden. Auch der Zeitraum der regelmäßigen Überprüfung sollte sich von der Kritikalität der Datenverarbeitung richten und intern dokumentiert werden.
Unternehmen müssen verstehen, dass Datenschutz keine einmalige Aufgabe ist, sondern ein kontinuierlicher Prozess. Wer seine Pflichten kennt und umsetzt, minimiert Risiken und schützt sowohl sein Unternehmen als auch die betroffenen Personen.