Kontrollpflicht und Haftung bei Auftragsverarbeitern
Das Oberlandesgericht Dresden hat am 15. Oktober 2024 (4 U 422/24 / Oberlandesgericht Dresden / 15.10.2024) entschieden, dass Verantwortliche nach Beendigung eines Verarbeitungsvertrages eine Kontrollpflicht zur Löschung personenbezogener Daten haben. Ein Verantwortlicher kann sich bei Nichteinhaltung dieser Pflicht nicht auf einen „Exzess“ des Auftragsverarbeiters berufen.
Kernpunkte des Urteils
- Kontrollpflicht nach Vertragsende: Verantwortliche müssen sicherstellen, dass der Auftragsverarbeiter personenbezogene Daten nach Beendigung des Vertrags löscht und dies bestätigen lässt.
- Haftungsumfang: Verantwortliche bleiben haftbar, wenn sie die Einhaltung von Löschfristen und Sicherheitsmaßnahmen beim Auftragsverarbeiter nicht ausreichend überwachen.
- Immaterieller Schaden durch Spam: Der Empfang von Spam-Nachrichten allein begründet keinen immateriellen Schadenersatzanspruch nach Art. 82 DSGVO.
Hintergrund des Falls
Ein Datenleck beim Auftragsverarbeiter eines Musikstreaming-Dienstes führte zur Offenlegung von Kundendaten. Der Kläger machte Schadensersatz geltend, da die Sicherheits- und Kontrollpflichten durch den Verantwortlichen angeblich verletzt wurden.
Praxisrelevanz
Datenschutzbeauftragte und Verantwortliche sollten sicherstellen, dass:
- Löschungsnachweise nach Beendigung von Verarbeitungsverträgen eingefordert und dokumentiert werden,
- regelmäßige Überprüfungen und klare Sicherheitsanforderungen im Vertragsverhältnis festgelegt sind,
- Ansprüche auf Schadensersatz bei Datenschutzverletzungen sorgfältig dokumentiert und begründet werden.
(Foto: xyz+ stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Leitfaden zur Interessenabwägung nach DS-GVO
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am seinen ausführlichen Fragenkatalog zur Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DS-GVO bereitgestellt. Dieses praxisorientierte Dokument dient Verantwortlichen in Behörden, Unternehmen und Organisationen als strukturierter Leitfaden für die Legitimate Interests Assessment (LIA), also die systematische Prüfung und Dokumentation, ob eine Verarbeitung personenbezogener Daten auf
Mehr erfahren -
Gutachten: Datenschutz‑Defizite bei PayPal
Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise kritisiert die DS-GVO‑Praxis von PayPal. Demnach erhebt und verarbeitet der Zahlungsdienstleister weit über die reine Zahlungsabwicklung hinausgehende Daten – darunter Transaktions-, Identifikations-, Geräte- und abgeleitete Profildaten – auch für Werbe- und Marketingzwecke. Sensible Daten werden teilweise ohne hinreichende Schutzmaßnahmen verarbeitet. Zentrale Schwachstellen betreffen Transparenz und Einwilligung: Nutzer werden unzureichend
Mehr erfahren -
BSI‑Analyse: Sicherheitslage bei Passwortmanagern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen. Wesentliche Befunde
Mehr erfahren
