Urteil des OLG Dresden: Warum der Datenschutz auch bei Vertragsende nicht vergessen werden darf

Das Szenario „Datenschutzvorfall“ versucht jedes Unternehmen zu vermeiden. Neben einem möglichen persönlichen Schaden von betroffenen Personen steht zudem ein Bußgeld oder der Verlust des guten Rufes im Raum.

Selbst wenn Ihre Prozesse intern so gut aufgestellt sind, dass es nicht zu einem Datenschutzvorfall kommt, können gegebenenfalls Ihre Auftragsverarbeiter (Dienstleister) von Hackerangriffen betroffen sein. Auch in diesem Fall bleibt Ihr Unternehmen datenschutzrechtlich verantwortlich.

Pflicht zur Prüfung von Auftragsverarbeitern umfasst den schriftlichen Nachweis der Löschung von Daten

Grundsätzlich ist mit dem Dienstleister ein Auftragsverarbeitungsvertrag zu schließen, der ein striktes Weisungsgebot enthält und festlegt, dass dieser die Daten nicht für eigene Zwecke verwenden darf. Auf diese Pflicht zur vertraglichen Bindung haben wir Sie bereits häufiger hingewiesen.

Ein Teil dieses Vertrages sieht auch vor, dass dem auftraggebenden Unternehmen Kontrollmöglichkeiten gegenüber dem Dienstleister zustehen.

Im Oktober 2024 hat nun das Oberlandesgericht Dresden in einem Urteil (Aktenzeichen: 4 U 940/24) die Überwachungs- und Kontrollpflichten des verantwortlichen Unternehmens gegenüber dem auftragnehmenden Dienstleister konkretisiert.

Im Mittelpunkt des Urteils stand ein Musikstreaming-Anbieter, der einen Dienstleister aus Israel beauftragt hatte. Bei Vertragsende im November 2019 kündigte der Dienstleister an, sämtliche gespeicherten Daten am Tag nach der Beendigung zu löschen, wofür eine schriftliche Bestätigung innerhalb von 21 Tagen vorgesehen war. Eine Bestätigung der tatsächlich durchgeführten Löschung erteilte der Dienstleister jedoch nicht. Erst im Jahr 2023 wurde die durchgeführte Löschung tatsächlich schriftlich mitgeteilt. In der Zwischenzeit war es beim Dienstleister zu einem Hackerangriff bekommen, der zu einem Datenleck führte. Ein Betroffener klagte auf Schadensersatz und machte geltend, dass der Musikstreaming-Dienst als Verantwortlicher seine Kontrollpflicht verletzt habe.

Das Gericht stellte in seinem Urteil klar, dass beauftragende Unternehmen eine umfassende Kontrolle ihrer Auftragsverarbeiter sicherstellen müssen, insbesondere dann, wenn es um „große Datenmengen oder besonders sensible Daten“ geht. In diesem Fall sei die bloße Ankündigung der Löschung durch den Auftragsverarbeiter nicht ausreichend gewesen. Insofern hätte das verantwortliche Unternehmen seine Überwachungs- und Kontrollpflicht verletzt.

Falls personenbezogene Daten beim Dienstleister verbleiben und es zu einem Datenschutzverstoß kommt, bleibt der Verantwortliche gegebenenfalls selbst haftbar. Die Verantwortung endet also nicht automatisch mit dem Vertrag, sondern bleibt bestehen bis der Auftraggeber zumindest alles in seiner Macht Stehende getan hat, um die Löschung beim Auftragsverarbeiter zu bewirken.

Das verantwortliche Unternehmen muss sicherstellen, dass am Ende der Zusammenarbeit alle personenbezogenen Daten gelöscht wurden. Eine mündliche Zusicherung oder ein schnelles E-Mail-Update reichen hier nicht – eine detaillierte, nachvollziehbare Löschbescheinigung muss vorgelegt werden.

Neben der Pflicht zur initialen sorgfältigen Auswahl des Auftragnehmers (Dienstleisters) trifft den Verantwortlichen somit auch die Verpflichtung zur sorgfältigen, laufenden Überwachung während des Vertragsverhältnisses.

Wie Unternehmen das Urteil umsetzen können: sicherer Offboarding-Prozess

Das Urteil macht deutlich, wie wichtig es ist, schon bei Vertragsabschluss klare Regeln für das Offboarding zu setzen. Vereinbarungen zur Rückgabe oder Datenlöschung und zur Vorlage einer Löschbescheinigung sollten fester Bestandteil des Vertrags mit Auftragsverarbeitern sein. So gibt es beim Abschied keine Unsicherheiten und keine bösen Überraschungen.

Tipps zur praktischen Umsetzung:

1. Löschung im Vertrag regeln:
   Gemäß Art. 28 Abs. 3 lit. g) DSGVO muss der Auftragsverarbeitungsvertrag Regelungen zur Rückgabe oder Löschung der Daten nach Vertragsbeendigung vorsehen. Die Vereinbarung einer schriftlichen Bestätigung über Löschungen sollte hier unbedingt mit aufgenommen werden. Insgesamt sollten die Regelungen so klar und eindeutig wie möglich formuliert werden, damit beide Seiten die Erwartungen und Pflichten genau kennen und auch einfach umsetzen können.
2. Löschbescheinigung anfordern:
   Die Bescheinigung sollte möglichst konkret aufzeigen, wann und wie gelöscht wurde, gegebenenfalls auch durch wen. So hat das Unternehmen einen aussagekräftigen Nachweis.
3. Kontrollen und stichprobenartige Überprüfungen:
   Besonders bei sensiblen Daten kann eine zusätzliche Kontrolle sinnvoll sein. Regelmäßige Stichproben oder – bei Verdachtsmomenten – eine umfassende Prüfung können dabei helfen, sicherzustellen, dass die Daten tatsächlich vollständig gelöscht wurden.
4. Dokumentation des Offboarding-Prozesses:
   Schaffen Sie in Ihrem Unternehmen einen einheitlichen Prozess, der bei Vertragsende die Abwicklung von Dienstleistern definiert – von der Anforderung der Löschbescheinigung bis hin zur Protokollierung von Kontrollen. Im Bedarfsfall können Sie so Ihre Pflichterfüllung gegenüber einer Aufsichtsbehörde oder Betroffenen nachweisen.

Umfang der Löschbescheinigung

Wenn Daten gelöscht werden, darf keinesfalls eine Kopie der Daten als Löschnachweis angelegt werden. Die Löschung zeichnet sich ja gerade dadurch aus, dass danach nichts mehr da ist. Bestätigung und Nachweis werden also immer nur auf einer abstrakten Ebene erfolgen müssen. Sinngemäß könnte also bestätigt werden, dass zu einem bestimmten Zeitpunkt eine bestimmte Anzahl von Dateien des zugehörigen Referenzkunden gelöscht wurde. Jede detailliertere Aussage, und hier kann schon die Angabe der Dateinamen der gelöschten Dateien ausreichen, wäre eher ein Nachweis, dass eben nicht alles gelöscht wurde, sondern der Auftragsverarbeiter immer noch über einen Teil der Informationen verfügt.

Fazit

Unternehmen sollten nicht nur beim Vertragsabschluss und während der Vertragslaufzeit, sondern auch bei der Vertragsbeendigung ihre Kontrollmaßnahmen reflektieren und optimieren, um bei Datenschutzvorfällen beim Dienstleister die eigenen Unternehmensrisiken zu reduzieren.

Ein strukturierter Offboarding-Prozess mit möglichst detaillierter Löschbestätigung bringt Klarheit und Sicherheit für beide Vertragsparteien.

Denken Sie dabei nicht nur an zukünftige Dienstleister, sondern auch an diejenigen, die seit geraumer Zeit nicht mehr für Sie tätig sind. Fordern Sie – sofern Sie die Löschung angewiesen haben – auch hier die schriftliche Bestätigung der durchgeführten Löschung ein.