Mit Urteil vom 15.10.2024 hat das OLG Dresden eine bemerkenswerte Entscheidung zur Konkretisierung der Verpflichtungen des Verantwortlichen gegenüber dem Auftragsverarbeiter getroffen. Die Grundsätze der Haftung auf Schadensersatz nebst Exkulpationsmöglichkeiten werden beleuchtet. Die Einzelheiten können der Entscheidung über folgenden Link entnommen werden: LINK

Daraus ergeben sich im Wesentlichen für den Verantwortlichen folgende Verpflichtungen:

1. Auswahlpflicht (§ 28 Abs. 1 DSGVO)

• Der Verantwortliche darf nur Auftragsverarbeiter einsetzen, die hinreichende Garantien für die Einhaltung der DSGVO bieten.
• Die Auswahl muss sorgfältig erfolgen, insbesondere wenn große Datenmengen oder sensible Daten betroffen sind.

2. Vertragsabschlusspflicht (§ 28 Abs. 3 DSGVO)

• Der Verantwortliche muss mit dem Auftragsverarbeiter einen schriftlichen Vertrag (Auftragsverarbeitungsvertrag, AVV) abschließen.
• Der Vertrag muss die DSGVO-Anforderungen konkretisieren, insbesondere die Löschungspflichten nach Vertragsende.

3. Kontrollpflicht (§ 28 Abs. 3, 9 DSGVO)

• Der Verantwortliche muss regelmäßig überprüfen, ob der Auftragsverarbeiter die vereinbarten Datenschutzmaßnahmen einhält.
• Dies umfasst auch die Kontrolle der Löschung personenbezogener Daten nach Vertragsende.
• Eine bloße Ankündigung der Löschung durch den Auftragsverarbeiter reicht nicht – der Verantwortliche muss eine schriftliche Bestätigung der tatsächlichen Löschung einholen.
• Falls eine solche Bestätigung nicht erfolgt, muss der Verantwortliche nachhaken und ggf. eine Vor-Ort-Kontrolle durchführen.

4. Weisungspflicht (§ 28 Abs. 3 lit. a DSGVO)

• Der Verantwortliche muss dem Auftragsverarbeiter klare Weisungen zur Datenverarbeitung geben.
• Die Daten dürfen nur nach schriftlichen Anweisungen des Verantwortlichen verarbeitet werden.

5. Pflicht zur technischen und organisatorischen Sicherheit (§ 32 DSGVO)

• Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten ergreift.
• Diese Maßnahmen müssen dem Stand der Technik entsprechen.

6. Pflicht zur Überprüfung der Unterauftragsvergabe (§ 28 Abs. 2 DSGVO)

• Falls der Auftragsverarbeiter Unterauftragnehmer einsetzt, muss der Verantwortliche sicherstellen, dass diese ebenfalls den Datenschutzvorgaben entsprechen.
• Der Verantwortliche muss in den Vertrag ein Kontrollrecht über Unterauftragnehmer aufnehmen.

7. Rechenschaftspflicht (§ 5 Abs. 2 DSGVO)

• Der Verantwortliche muss nachweisen können, dass er seinen Kontroll- und Überwachungspflichten nachgekommen ist.
• Das bedeutet Dokumentation der Prüfungen, Anfragen und Löschungsbestätigungen.

8. Verantwortung für Datenschutzverstöße des Auftragsverarbeiters (§ 82 DSGVO)

• Falls ein Auftragsverarbeiter Daten verliert oder missbraucht, haftet grundsätzlich auch der Verantwortliche.
• Eine Entlastung nach Art. 82 Abs. 3 DSGVO ist nur möglich, wenn der Verantwortliche nachweisen kann, dass ihn keinerlei Verschulden trifft.

Fazit:

Der Verantwortliche trägt eine aktive Überwachungsverantwortung für den Datenschutz beim Auftragsverarbeiter. Er darf sich nicht auf bloße Zusicherungen verlassen, sondern muss regelmäßig prüfen, nachweisen und nachhaken, insbesondere bei der Löschung von Daten nach Vertragsende.