Das Szenario \u201eDatenschutzvorfall\u201c versucht jedes Unternehmen zu vermeiden. Neben einem m\u00f6glichen pers\u00f6nlichen Schaden von betroffenen Personen steht zudem ein Bu\u00dfgeld oder der Verlust des guten Rufes im Raum.<\/p>\n
Selbst wenn Ihre Prozesse intern so gut aufgestellt sind, dass es nicht zu einem Datenschutzvorfall kommt, k\u00f6nnen gegebenenfalls Ihre Auftragsverarbeiter (Dienstleister) von Hackerangriffen betroffen sein. Auch in diesem Fall bleibt Ihr Unternehmen datenschutzrechtlich verantwortlich.<\/p>\n
Grunds\u00e4tzlich ist mit dem Dienstleister ein Auftragsverarbeitungsvertrag zu schlie\u00dfen, der ein striktes Weisungsgebot enth\u00e4lt und festlegt, dass dieser die Daten nicht f\u00fcr eigene Zwecke verwenden darf. Auf diese Pflicht zur vertraglichen Bindung haben wir Sie bereits h\u00e4ufiger hingewiesen.<\/p>\n
Ein Teil dieses Vertrages sieht auch vor, dass dem auftraggebenden Unternehmen Kontrollm\u00f6glichkeiten gegen\u00fcber dem Dienstleister zustehen.<\/p>\n
Im Oktober 2024 hat nun das Oberlandesgericht Dresden in einem Urteil (Aktenzeichen: 4 U 940\/24<\/strong>) die \u00dcberwachungs- und Kontrollpflichten des verantwortlichen Unternehmens gegen\u00fcber dem auftragnehmenden Dienstleister konkretisiert.<\/p>\n Im Mittelpunkt des Urteils stand ein Musikstreaming-Anbieter, der einen Dienstleister aus Israel beauftragt hatte. Bei Vertragsende im November 2019 k\u00fcndigte der Dienstleister an, s\u00e4mtliche gespeicherten Daten am Tag nach der Beendigung zu l\u00f6schen, wof\u00fcr eine schriftliche Best\u00e4tigung innerhalb von 21 Tagen vorgesehen war. Eine Best\u00e4tigung der tats\u00e4chlich durchgef\u00fchrten L\u00f6schung erteilte der Dienstleister jedoch nicht. Erst im Jahr 2023 wurde die durchgef\u00fchrte L\u00f6schung tats\u00e4chlich schriftlich mitgeteilt. In der Zwischenzeit war es beim Dienstleister zu einem Hackerangriff bekommen, der zu einem Datenleck f\u00fchrte. Ein Betroffener klagte auf Schadensersatz und machte geltend, dass der Musikstreaming-Dienst als Verantwortlicher seine Kontrollpflicht verletzt habe.<\/p>\n Das Gericht stellte in seinem Urteil klar, dass beauftragende Unternehmen eine umfassende Kontrolle ihrer Auftragsverarbeiter sicherstellen m\u00fcssen, insbesondere dann, wenn es um \u201egro\u00dfe Datenmengen oder besonders sensible Daten\u201c geht. In diesem Fall sei die blo\u00dfe Ank\u00fcndigung<\/strong> der L\u00f6schung durch den Auftragsverarbeiter nicht ausreichend gewesen. Insofern h\u00e4tte das verantwortliche Unternehmen seine \u00dcberwachungs- und Kontrollpflicht verletzt.<\/p>\n Falls personenbezogene Daten beim Dienstleister verbleiben und es zu einem Datenschutzversto\u00df kommt, bleibt der Verantwortliche gegebenenfalls selbst haftbar. Die Verantwortung endet also nicht automatisch mit dem Vertrag, sondern bleibt bestehen bis der Auftraggeber zumindest alles in seiner Macht Stehende getan hat, um die L\u00f6schung beim Auftragsverarbeiter zu bewirken.<\/p>\n Das verantwortliche Unternehmen muss sicherstellen, dass am Ende der Zusammenarbeit alle personenbezogenen Daten gel\u00f6scht wurden. Eine m\u00fcndliche Zusicherung oder ein schnelles E-Mail-Update reichen hier nicht \u2013 eine detaillierte, nachvollziehbare L\u00f6schbescheinigung muss vorgelegt werden.<\/p>\n Neben der Pflicht zur initialen sorgf\u00e4ltigen Auswahl des Auftragnehmers (Dienstleisters) trifft den Verantwortlichen somit auch die Verpflichtung zur sorgf\u00e4ltigen, laufenden \u00dcberwachung w\u00e4hrend des Vertragsverh\u00e4ltnisses.<\/p>\n Das Urteil macht deutlich, wie wichtig es ist, schon bei Vertragsabschluss klare Regeln f\u00fcr das Offboarding zu setzen. Vereinbarungen zur R\u00fcckgabe oder Datenl\u00f6schung und zur Vorlage einer L\u00f6schbescheinigung sollten fester Bestandteil des Vertrags mit Auftragsverarbeitern sein. So gibt es beim Abschied keine Unsicherheiten und keine b\u00f6sen \u00dcberraschungen.<\/p>\n Tipps zur praktischen Umsetzung:<\/p>\n Wenn Daten gel\u00f6scht werden, darf keinesfalls eine Kopie der Daten als L\u00f6schnachweis angelegt werden. Die L\u00f6schung zeichnet sich ja gerade dadurch aus, dass danach nichts mehr da ist. Best\u00e4tigung und Nachweis werden also immer nur auf einer abstrakten Ebene erfolgen m\u00fcssen. Sinngem\u00e4\u00df k\u00f6nnte also best\u00e4tigt werden, dass zu einem bestimmten Zeitpunkt eine bestimmte Anzahl von Dateien des zugeh\u00f6rigen Referenzkunden gel\u00f6scht wurde. Jede detailliertere Aussage, und hier kann schon die Angabe der Dateinamen der gel\u00f6schten Dateien ausreichen, w\u00e4re eher ein Nachweis, dass eben nicht alles gel\u00f6scht wurde, sondern der Auftragsverarbeiter immer noch \u00fcber einen Teil der Informationen verf\u00fcgt.<\/p>\n Unternehmen sollten nicht nur beim Vertragsabschluss und w\u00e4hrend der Vertragslaufzeit, sondern auch bei der Vertragsbeendigung ihre Kontrollma\u00dfnahmen reflektieren und optimieren, um bei Datenschutzvorf\u00e4llen beim Dienstleister die eigenen Unternehmensrisiken zu reduzieren.<\/p>\n Ein strukturierter Offboarding-Prozess mit m\u00f6glichst detaillierter L\u00f6schbest\u00e4tigung bringt Klarheit und Sicherheit f\u00fcr beide Vertragsparteien.<\/p>\n Denken Sie dabei nicht nur an zuk\u00fcnftige Dienstleister, sondern auch an diejenigen, die seit geraumer Zeit nicht mehr f\u00fcr Sie t\u00e4tig sind. Fordern Sie \u2013 sofern Sie die L\u00f6schung angewiesen haben \u2013 auch hier die schriftliche Best\u00e4tigung der durchgef\u00fchrten<\/strong> L\u00f6schung ein.<\/p>\n","protected":false},"excerpt":{"rendered":" Das Szenario \u201eDatenschutzvorfall\u201c versucht jedes Unternehmen zu vermeiden. Neben einem m\u00f6glichen pers\u00f6nlichen Schaden von betroffenen Personen steht zudem ein Bu\u00dfgeld oder der Verlust des guten Rufes im Raum. Selbst wenn Ihre Prozesse intern so gut aufgestellt sind, dass es nicht zu einem Datenschutzvorfall kommt, k\u00f6nnen gegebenenfalls Ihre Auftragsverarbeiter (Dienstleister) von Hackerangriffen betroffen sein. Auch in […]<\/p>\n","protected":false},"author":11,"featured_media":3276,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-3275","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3275","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=3275"}],"version-history":[{"count":1,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3275\/revisions"}],"predecessor-version":[{"id":3277,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/3275\/revisions\/3277"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/3276"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=3275"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=3275"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=3275"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wie Unternehmen das Urteil umsetzen k\u00f6nnen: sicherer Offboarding-Prozess<\/h3>\n
\n
\nGem\u00e4\u00df Art. 28 Abs. 3 lit. g) DSGVO muss der Auftragsverarbeitungsvertrag Regelungen zur R\u00fcckgabe oder L\u00f6schung der Daten nach Vertragsbeendigung vorsehen. Die Vereinbarung einer schriftlichen Best\u00e4tigung \u00fcber L\u00f6schungen sollte hier unbedingt mit aufgenommen werden. Insgesamt sollten die Regelungen so klar und eindeutig wie m\u00f6glich formuliert werden, damit beide Seiten die Erwartungen und Pflichten genau kennen und auch einfach umsetzen k\u00f6nnen.<\/li>\n
\nDie Bescheinigung sollte m\u00f6glichst konkret aufzeigen, wann und wie gel\u00f6scht wurde, gegebenenfalls auch durch wen. So hat das Unternehmen einen aussagekr\u00e4ftigen Nachweis.<\/li>\n
\nBesonders bei sensiblen Daten kann eine zus\u00e4tzliche Kontrolle sinnvoll sein. Regelm\u00e4\u00dfige Stichproben oder \u2013 bei Verdachtsmomenten \u2013 eine umfassende Pr\u00fcfung k\u00f6nnen dabei helfen, sicherzustellen, dass die Daten tats\u00e4chlich vollst\u00e4ndig gel\u00f6scht wurden.<\/li>\n
\nSchaffen Sie in Ihrem Unternehmen einen einheitlichen Prozess, der bei Vertragsende die Abwicklung von Dienstleistern definiert \u2013 von der Anforderung der L\u00f6schbescheinigung bis hin zur Protokollierung von Kontrollen. Im Bedarfsfall k\u00f6nnen Sie so Ihre Pflichterf\u00fcllung gegen\u00fcber einer Aufsichtsbeh\u00f6rde oder Betroffenen nachweisen.<\/li>\n<\/ol>\nUmfang der L\u00f6schbescheinigung<\/h3>\n
Fazit<\/h3>\n