SeminarBot
Online-Weiterbildung
Präsenz-Weiterbildung
Produkte
Themen
Dashöfer

OLG Stuttgart: Haftungsgrenzen bei Datenschutzverstößen durch Dritte

30.01.2025  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Haftet man datenschutzrechtlich für Fehler von Unternehmen mit, die man beauftragt hat? Kann man für Schäden verantwortlich gemacht werden, die durch unbefugte Zugriffe auf personenbezogene Daten entstehen, wenn diese Zugriffe durch Dritte verursacht wurden?

Rechtsanwalt Rolf Becker aus Alfter erläutert eine wichtige Einschätzung des Oberlandesgerichts Stuttgart (OLG Stuttgart, Hinweisbeschluss, Az.: 4 U 49/24). Die liefert wertvolle Hinweise zur rechtssicheren Gestaltung interner Prozesse.

Datenschutzverstoß mit ungeklärter Verantwortlichkeit

Im zugrunde liegenden Fall klagte eine Privatperson gegen ein Unternehmen, das personenbezogene Daten verarbeitete. Der Kläger warf dem Unternehmen vor, nicht ausreichende technische und organisatorische Maßnahmen ergriffen zu haben, um unbefugte Zugriffe Dritter auf seine Daten zu verhindern. Konkret ging es um die Veröffentlichung sensibler Informationen. Die waren durch eine Fehlkonfiguration bei einem Dienstleister dort öffentlich zugänglich geworden und konnten heruntergeladen werden. Der Kläger reklamierte fehlende Verschlüsselungen, Datentrennungen und fehlende technische Sicherheitsvorkehrungen gegen einen Download.

Das Unternehmen selbst bestritt jegliche Verantwortung. Es argumentierte, dass es die Anforderungen der Datenschutz-Grundverordnung (DSGVO), insbesondere Art. 32, der die notwendigen technischen und organisatorischen Maßnahmen regelt, erfüllt habe. Der Verstoß sei eindeutig auf das schuldhafte Handeln eines Dritten zurückzuführen, für das keine Haftung des Unternehmens bestehe. Der Kläger hatte selbst erklärt, es habe eine Fehlkonfiguration beim Dienstleister gegeben. Das verklagte Unternehmen trug vor, es habe den Dienstleister vertraglich verpflichtet, angemessene Sicherheitsvorkehrungen zu treffen, Verschlüsselungen vorzunehmen, die Daten zu trennen und ein Angriffserkennungssystem zu implementieren.

Vertragswidrige Bestätigung

Das beklagte Unternehmen hatte im Vertrag mit dem Dienstleister aufgenommen, dass bei Vertragsbeendigung die Löschung der im Auftrag verarbeiteten Daten mitzuteilen sei. Der Dienstleister hatte dann tatsächlich die Löschung der Daten per Mail für den nächsten Tag angekündigt und sodann die Löschung bestätigt. Tatsächlich erfolgte aber keine Löschung mit den bekannten Konsequenzen.

Der Kläger forderte Schadensersatz vom Unternehmen gemäß Art. 82 DSGVO. Nach dieser Vorschrift hat jede Person Anspruch auf Ersatz des materiellen oder immateriellen Schadens, der ihr aufgrund eines Verstoßes gegen die DSGVO entsteht es sei denn, der Verantwortliche oder Auftragsverarbeiter weist nach, dass ihn kein Verschulden trifft.

OLG Stuttgart: Grenzen der Haftung bei Verantwortungsbereichen Dritter

Das OLG Stuttgart erstellte einen Hinweisbeschluss. Damit wird eine Entscheidung vorbereitet bzw. den Parteien Gelegenheit gegeben, ggf. die Berufung zurückzunehmen. Die Richter wiesen darauf hin, dass das beklagte Unternehmen nach der Löschungsankündigung und Bestätigung keinen Anlass hatte, die Einhaltung noch weiter zu kontrollieren. Vielmehr habe das Unternehmen auf die Einhaltung der Bestätigung vertrauen dürfen.

Aufgabenexzess des Auftragsverarbeiters

Die Richter erklärten, dass der geltend gemachte Schaden hier nicht auf ein Verschulden des beklagten Unternehmens zurückzuführen sei. Bei einem sog. Aufgabenexzess gelte nach Art. 28 Abs. 10 DSGVO der Auftragsverarbeiter als Verantwortlicher.

Art. 28 Abs. 10 DSGVO: Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Im Beschluss heißt es dazu:

Das Verhalten des Dienstleisters kann ihr insoweit nicht zugerechnet und zur Last gelegt werden. Dies entspricht auch der ratio legis aus Art. 28 Abs. 10 DSGVO, wonach beim sogenannten Aufgabenexzess der Auftragsverarbeiter als Verantwortlicher gilt. Die Haftung des Verantwortlichen für das Verhalten eines Auftragsverarbeiters kann sich danach nicht auf Fälle erstrecken, in denen der Auftragsverarbeiter personenbezogene Daten für eigene Zwecke verarbeitet hat oder diese Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung vereinbar ist, wie sie vom Verantwortlichen festgelegt wurden, oder die Daten auf eine Weise verarbeitet werden, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche dem zugestimmt hätte (EuGH BeckRS BeckRS 2023, 34702 Rn. 85 – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos).

Praktische Konsequenzen für Unternehmen

Die Richter machen klar, dass Unternehmen für Verstöße, die eindeutig von Dritten begangen werden, in der Regel nicht haftbar gemacht werden können. Der Beschluss unterstreicht jedoch auch, wie wichtig es für Unternehmen ist, ihre Schutzmaßnahmen gemäß Art. 32 DSGVO konsequent umzusetzen und dem Auftragsverarbeiter entsprechende Pflichten aufzuerlegen und die Umsetzung zu überwachen. Hier brachte also ein ausführlicher Auftragsverarbeitungsvertrag die Rettung, zumal dort auch die weitere Kommunikation vorgesehen war.

Fazit

Das OLG Stuttgart hat mit seinen Ausführungen klargestellt, dass die Haftung nach Art. 82 DSGVO klare Grenzen hat. Unternehmen müssen sich auf ihre Sorgfaltspflichten konzentrieren und diese nachweisen können, um sich gegen unberechtigte Schadensersatzansprüche zu verteidigen. Dazu dienen bei Auftragsverarbeitung vor allem die Verträge mit entsprechenden Inhalten. Gleichzeitig sollte die Entscheidung als Ansporn dienen, Datenschutzprozesse zu optimieren und die Sicherheitsarchitektur zu stärken.

Bild: Sora Shimazaki (Pexels, Pexels Lizenz)

nach oben

Social Media

Themen

Produkte

Impressum Kontakt Presse AGB Datenschutz Wir über uns

Copyright 1996-2025 BNC S.R.O. & VERLAG DASHÖFER GMBH
Die Nutzung für Text- und DataMining im Sinne von § 44b Urheberrechtsgesetz (UrhG) ist vorbehalten.
FAQ