Hintergrund des Falls zur Auftragsverarbeitung
Geklagt wurde auf Schadensersatz nach Art. 82 DSGVO, weil der betroffene Nutzer durch das Datenleck einen immateriellen Schaden erlitt. Der BGH musste beurteilen, welche Pflichten Verantwortliche auch nach Ende eines Auftragsverarbeitungsverhältnisses haben und wann ein immaterieller Schaden im Sinne der DSGVO anzunehmen ist.
Kernaussagen der Entscheidung
Verantwortliche bleiben auch nach Vertragsende in der Pflicht
Gemäß der Entscheidung hat der Verantwortliche die Schutzpflichten gegenüber betroffenen Personen nicht mit dem Vertragsende beendet. Er ist weiterhin dafür verantwortlich, dass:
- personenbezogene Daten beim Auftragsverarbeiter tatsächlich gelöscht oder zurückgegeben werden,
- dies zuverlässig kontrolliert wird,
- und keine betroffenen Daten unrechtmäßig beim Dienstleister verbleiben.
Das heißt: Nur eine vereinbarte Löschungspflicht im Vertrag genügt nicht, wenn diese nicht aktiv überprüft und umgesetzt wird.
Keine Abwälzung der Verantwortung
Der BGH stellt klar, dass Verantwortliche ihre datenschutzrechtlichen Pflichten nicht einfach auf den Auftragsverarbeiter übertragen können. Auch wenn ein externer Dienstleister die unmittelbare Verarbeitung übernimmt, bleibt die aufsichts- und kontrollverantwortliche Rolle beim Verantwortlichen.
Das betrifft insbesondere:
- die Überwachung des Lösch- oder Rückgabeverhaltens,
- die Dokumentation der Maßnahmen,
- und – falls erforderlich – das Einfordern von Nachweisen über die tatsächliche Datenlöschung.
Immaterieller Schaden kann bejaht werden
Ein zentrales Element der Entscheidung betrifft die Voraussetzungen für Schadensersatzansprüche nach Art. 82 DSGVO:
- Immaterieller Schaden kann angenommen werden, wenn personenbezogene Daten unzureichend gelöscht werden und später – etwa durch einen Datenleck-Vorfall – missbräuchlich genutzt oder verbreitet werden.
- Entscheidend ist nicht, dass es zu materiellen wirtschaftlichen Folgen kommt; der Verlust der Kontrolle über die eigenen Daten allein kann bereits als Schaden angesehen werden.
Damit bestätigt der BGH, dass ein Datenleck – insbesondere mit Veröffentlichung im Internet oder Darknet – ein legitimer Fall für immateriellen Schaden ist, der zu Schadensersatz berechtigen kann.
Praktische Bedeutung für Unternehmen
Verantwortliche müssen handeln – auch nach Beendigung der Auftragsverarbeitung
Die Entscheidung macht deutlich: Unternehmen dürfen sich nicht darauf verlassen, dass nach Vertragsende automatisch datenschutzrechtliche Anforderungen erfüllt sind. Insbesondere gilt:
- Verantwortliche müssen dokumentieren, dass Daten tatsächlich gelöscht oder ordnungsgemäß zurückgegeben wurden.
- Verträge allein reichen nicht; es sind praktikable Kontroll- und Nachweisprozesse erforderlich.
Damit wird die Rolle des Verantwortlichen gestärkt, der auch nach Vertragslaufzeit weiterhin für die sichere Beendigung des Datenzugriffs verantwortlich ist.
Technische und organisatorische Maßnahmen (TOMs)
Zur Einhaltung der DSGVO-Pflichten gehört auch, dass Verantwortliche sicherstellen, dass technische und organisatorische Maßnahmen (TOMs) vorhanden sind, um die sichere Löschung zu verifizieren. Dies betrifft:
- Zugriffsprotokollierung,
- Nachweis über Löschprozesse,
- und Sicherstellung, dass keine Datenkopien (z. B. Backups) unkontrolliert verbleiben.
Verträge mit Auftragsverarbeitern müssen angepasst werden
Insbesondere sollten folgende Aspekte vertraglich klar geregelt und praktikabel umsetzbar sein:
- Fristen und Nachweise für Datenlöschung oder Rückgabe,
- Dokumentationspflichten des Dienstleisters,
- Ermöglichung auditiver Überprüfungen,
- und Regelungen zur Haftung bei Nichtlöschung oder Datenverlust.