Kontrollpflicht über die Löschung der beim Auftragsverarbeiter angefallenen personen-bezogenen Daten
Eine aus meiner Sicht interessante und beachtenswerte Entscheidung kommt aus Dresden (OLG Dresden, Urteil vom 15. Oktober 2024 – 4 U 940/24 -).
Die ersten beiden Leitsätze lauten:
1. Dem datenschutzrechtlich Verantwortlichen obliegt gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrags eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten.
2. Auf einen Exzess kann er sich nicht berufen, wenn er dieser Kontrollpflicht nicht genügt.
In dem Urteil ging es um eine Schadenersatzforderung im Rahmen einer Verarbeitung, bei der ein Auftragsverarbeiter beteiligt war. Im Aussenverhältnis haften grundsätzlich bei Parteien gegenüber von einer Datenschutzverletzung Betroffenen. Die Haftung der Verantwortlichen ergab sich hier daraus, dass die Beklagte gegen die ihr obliegende Pflicht zur sorgfältigen Überwachung des von ihr beauftragten externen Auftragsdatenverarbeiters verstoßen, Art. 28, 32 DSGVO.
Art 28 Abs. 1 DS-GVO regelt zwar unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen.
„Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DS-GVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm (“arbeitet [..] nur mit”). Abs. 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. “
De facto ist die Pflicht zur Überwachung nach Ansicht des Gerichts als Dauerpflicht ohne konkrete zeitliche Vorgaben zu verstehen, was eben nicht nur den laufenden Betrieb betrifft, sondern auch nach Beendigung der Vertragsbeziehung gilt.
Auftragsverarbeiter sei grundsätzlich nach Vertragsende – als Ausfluss der allgemeinen Grundsätze der “Rechtmäßigkeit”, (Art. 5 Abs. 1 lit. a) DSGVO), der “Datenminimierung”(Art. 5 Abs. 1 lit. (c) DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 e) DSGVO) – verpflichtet, alle noch vorhandenen personenbezogenen Daten entweder zu löschen oder zurückzugeben. Dies ist vom Auftraggeber zu überwachen.
Die Anforderungen an den Auftraggeber hinsichtlich der Kontrolle dürfen zwar nicht überspannt werden, bleiben aber z.B. bei besonders sensiblen Daten oder sehr umfangreichen Daten bestehen, weswegen die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt.
Eine wirklich interessante Entscheidung. Es zeigt sich wie wichtig es ist, auf jeden Fall nach Vertragsende auf eine aussagekräftiges Löchkonzept zu bestehen.
Einen weiteren Satz aus der Entscheidung möchte ich noch zitieren, da häufiger mal die Frage aufkommt, ob man einen bestimmten Dienstleister den unbedingt kontrollieren müssen. Dagegen halten könnten man mit dem folgenden Zitat:
„Wählt ein Unternehmen z.B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-Ort- Kontrolle erforderlich wäre (Schaffland/Wiltfang aaO.).“ Die Fundstelle im Kommentar ist Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/ Bundesdatenschutzgesetz (BDSG), 8. EL 2024, Art. 28 EUV 2016/679, Rn. 61.
