In der Wirtschaft ist es längst Standard, dass die Verarbeitung von personenbezogenen Daten eines Unternehmens (Unternehmen A als Verantwortlicher) durch Dritte (Unternehmen B als Auftragsverarbeiter) übernommen wird. Hierbei handelt es sich z.B. um Cloudservices, Akten-Vernichter, Software- und IT-Dienstleister, Durchführung von Webekampagnen mit Kundendatendaten, E-Maildienste und vieles mehr.
Der Auftraggeber bleibt weiterhin für seine Daten verantwortlich und darf nur solche Auftragsverarbeiter wählen die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen entsprechend den Vorgaben der DSGVO durchgeführt werden.
Das erfolgt entsprechend Artikel 28 Abs. 3 DSGVO über einen Vertrag zur Auftragsdatenverarbeitung, der verpflichtend abzuschließen ist und die Einhaltung wesentlicher Punkte, wie in Art. 28 Abs. 3 DSGVO beschrieben enthält. Dieser Vertag wiederrum verschafft dem Auftraggeber dann das Privileg ohne weitere rechtliche Beschränkungen seine Daten durch ein Drittunternehmen verarbeiten zu lassen, wobei das Drittunternehmen rechtlich wie eine interne Stelle des Verantwortlichen behandelt wird.
Allerdings haftet der Auftraggeber auch weiterhin als Verantwortlicher neben dem Aufragnehmer für dessen Datenschutzverletzungen. Eine Ausnahme besteht nur dann, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Artikel 82 Abs. 3 DSGVO).
Was passiert nach Beendigung eines Auftragsverarbeitungsvertrages?
Haben Sie sich Gedanken gemacht was mit Ihren Daten nach Beendigung eines Auftrages passiert? Ich hoffe schon. Hierzu ist ein Fall interessant, der seitens des OLG Dresden, Urteil vom 15.10.2024 - 4 U 422/24 entschieden wurde. Hier verklagte ein Kunde die Beklagte als Verantwortliche auf Schadenersatz wegen Verstoßes gegen Vorschriften der DSGVO, welche sich bei Ihrem Auftragsverarbeiter ereignete. Die Klage wurde zwar abgewiesen, allerdings hat das Gericht einen zum Schadenersatz verpflichtenden Verstoß der Beklagten sehr wohl als gegeben angesehen und dem Grunde nach einen Schadenersatzanspruch bejaht. Was war passiert?
Im Zuge eines Hackerangriffs wurden bei einem Auftragsverarbeiter Kundendaten ihres Auftraggebers abgegriffen und im Darknet zum Verkauf angeboten. Dabei ist zu berücksichtigen, dass die Daten im Darknet im Jahr 2022 veröffentlicht wurden, das Auftragsverhältnis aber bereits Ende 2019 beendet war. Wohl bestätigte der Auftragsverarbeiter im Zuge der seinerzeitigen Beendigung dem Verantwortlichen, dass die Daten am „Folgetag gelöscht würden“. Die Tatsache, dass Daten aus dem Auftragsverhältnis mehr als 2 Jahre später ins Darknet gestellt wurden, legte neben anderen Tatsachen allerdings den starken Verdacht nahe, dass die Daten beim Auftragsverarbeiter gerade nicht nach Abschluss der Arbeiten ordnungsgemäß gelöscht wurden.
Was sollten Sie unbedingt berücksichtigen?
Als verantwortliches Unternehmen müssen Sie sich natürlich Gedanken machen, dass ihre personenbezogenen Daten (gilt außerhalb der DSGVO natürlich auch für wichtige Unternehmensdaten) nach Beendigung des Auftrages entweder ordnungsgemäß gelöscht oder zurückgegeben werden. Zudem ist das auch in dem zugrunde liegenden Auftragsverarbeitungsvertrag zwingend anzunehmen.
Artikel 32 Abs. 3 h) DSGVO besagt, dass der Auftragnehmer
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
Leider stellen wir immer mal wieder fest, dass das Thema Löschen bei manchen Auftragsverarbeitern nicht immer transparent ist und sich auch das verantwortliche Unternehmen hierzu nicht immer ausreichend Gedanken gemacht hat. Die Angelegenheit kann zusätzlich dadurch erschwert sein, dass noch verschiedene Unterauftragsverarbeiter mit in dem Prozess involviert sind, die entgegen der DSGVO nicht oder erst auf besondere Nachfrage angezeigt werden.
In derartigen Fällen ist Vorsicht geboten, denn es obliegt dem Auftraggeber als Verantwortlichen einen seriösen Anbieter auszuwählen, der auch in der Lage ist sämtliche ihrer Daten, egal wo sie sich befinden, DSGVO-konform zu löschen.
Können Sie sich auf die Löschung durch den Dienstleister verlassen?
Zunächst einmal besagt die DSGVO, dass Daten nach Wahl des Verantwortlichen zurückgegeben oder gelöscht werden müssen. Bedeutet, der Verantwortliche muss mit dem Dienstleister hierüber reden und ggf. eine Vereinbarung treffen. Wenn möglich, treffen die Parteien bereits vorab eine solche Vereinbarung zur konkreten Rückgabe oder zur Löschung der Daten einschließlich konkreter Fristen. Mindestens aber wird man im Auftragsverabeitungsvertrag einen entsprechenden Passus zur Löschung, wie in Artikel 32 Abs. 3 h) DSGVO beschrieben, aufgenommen haben.
Gar nichts tun ist keine Option und könnte neben einer Haftung des Verantwortlichen gegenüber den Betroffenen ein erhebliches Bußgeld auslösen, sofern der Auftragsverarbeiter noch über Daten verfügt, die er aufgrund der Beendigung des Vertragsverhältnisses gar nicht mehr haben dürfte. Spätestens mit Beendigung des Auftrages wird das Thema Löschung wieder relevant.
Reicht dies aus oder muss ich mir die Löschung auch bestätigen lassen?
Im Falle einer Löschung von Daten hat der Verantwortliche Kontroll- und Überprüfungspflichten und muss sich zumindest eindeutig bestätigen lassen, dass die personenbezogenen Daten DSGVO-konform gelöscht wurden.
In den Leitlinien des Europäischen Datenschutzausschusses (EDSA) 07/20202 v. 07.07.2021 heißt es hierzu: Der Auftragsverarbeiter sollte dem Verantwortlichen bestätigen, dass die Löschung innerhalb der vereinbarten Frist und in der vereinbarten Weise abgeschlossen wurde.
Im vorliegenden Fall des OLG Dresden wurde durch den Aufragnehmer lediglich mitgeteilt, dass die Daten am Folgetag gelöscht werden, was das Gericht zurecht nicht als ausreichend erachtet hat. Der Auftraggeber hätte den Auftragsdatenverarbeiter auffordern müssen, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt. Folgerichtig konnte sich der Auftraggeber auch nicht aus der Haftung befreien, denn eine Ausnahme besteht nur dann, wenn dieser nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Artikel 82 Abs. 3 DSGVO). Eine Verantwortung des Auftraggebers ließ sich nicht ausschließen, denn es hätte durchaus sein können, dass die Daten bei Anforderung einer aussagekräftigen Bestätigung nicht doch rechtzeitig vor dem Hackerangriff gelöscht worden wären.
Was ergibt sich daraus?
Das Thema löschen, ggf. auch Rückgabe von personenbezogenen Daten, ist ein sensibles Thema. Kein Unternehmen sollte sich der Gefahr aussetzen, dass sensible Daten Ihrer Mitarbeiter oder Ihrer Kunden ggf. noch Jahre nach einem Auftrag bei dem Auftragnehmer vorhanden sind und dabei auch Sicherheitsrisiken z.B. durch Hacker und Kriminellen ausgesetzt sind.
Beziehen Sie dieses Thema bei den Gesprächen über die Vergabe eines Auftragsverarbeitungsvertrages mit ein. Lassen Sie sich die Löschung rechtzeitig und eindeutig bestätigen, wann und mit welcher DSGVO-konformen Löschmethode die Daten aus dem beendeten Auftragsverhältnis gelöscht wurden.