News

Kategorie: Datenschutz

Anspruch auf Schadenersatz wegen fehlender AVV

Es ist völlig klar, dass in der immer komplexeren und digitaleren Arbeitswelt nicht jede Art von Datenverarbeitung im Unternehmen selbst durchgeführt werden kann. Viele Unternehmen nutzen deswegen spezialisierte Dienstleister oder Softwareprogramme z. B. für die Durchführung der Gehaltsabrechnung, Zeiterfassungsprogramme, Kundenmanagementsysteme etc.

 

Auftragsverarbeitungsvertrag ist abzuschließen

Datenschutzrechtlich ist diese Art der „Ausgliederung“ auch dann unproblematisch, wenn mit dem Dienstleister oder dem Anbieter der Software as a Service (SaaS) ein Vertrag über diese bei der „Ausgliederung“ stattfindende Datenverarbeitung, auch Auftragsverarbeitungsvertrag (AVV) genannt, abgeschlossen wird. Der Abschluss eines solchen Vertrages, in dem die gegenseitigen Rechte und Pflichten für die Datenverarbeitung geregelt werden, wird ausdrücklich in der DSGVO gefordert. Das Fehlen eines AVV kann also zu einem Bußgeld durch die Aufsichtsbehörden führen.

 

Schadensersatzanspruch zugesprochen

Nun hat das Landgericht Lübeck Anfang Oktober 2024 in einem Urteil auch einem Nutzer einer Streaming Plattform einen Schadensersatzanspruch iHv. 350,- € gegen den Anbieter der Streaming Plattform zugesprochen. Grund für den Anspruch war die Tatsache, dass die Streaming Plattform auf der Grundlage eines AVV einen externen Dienstleister für Kundenverwaltungsdienste nutzte, und deswegen seine  Kundendaten an diesen Dienstleister weitergab. Dieser Dienstleister wiederum hatte – ohne entsprechenden AVV- einen Unterauftragnehmer eingeschaltet. Bei dem Unterauftragnehmer gab es einen Datenzugriff, von dem auch die Daten des Klägers betroffen waren, und daraufhin im sogenannten Darknet veröffentlicht wurden.

 

Und wenn der Subunternehmer außerhalb der EU sitzt?

Zwar hatte die Streaming Plattform für die Nutzung des Kundenverwaltungsdienstes einen AVV geschlossen, in dem auch geregelt war, dass bei der Nutzung von Unterauftragnehmern die Vorgaben der DSGVO einzuhalten sind. Zu den Vorgaben der DSGVO gehört auch, bei weiteren Unterauftragnehmern mit diesen einen AVV abzuschließen. Wenn die Unterauftragnehmer im Ausland sitzen, welches nicht Teil der EU ist, ist der Abschluss eines Vertrages mit den sogenannten Standardvertragsklauseln erforderlich. Aber die Plattform hatte nicht ausreichend geprüft, ob der von ihm eingesetzte Kundenverwaltungsdienst auch die erforderlichen Verträge mit seinen Unterauftragnehmern geschlossen hatte. Und da der  von dem Datenzugriff betroffenen Unterauftragnehmer keinen AVV geschlossen hatte, stellte die Übertragung der Daten vom Kundenverwaltungsdienst auf diesen Unterauftragnehmer ohne AVV eine rechtswidrige Übertragung von Daten dar.

 

Prüfung der vertraglichen Pflichten fehlte 

Dieser Verstoß gegen die Vorgaben der DSGVO wurde vom Landgericht Lübeck auch dem Betreiber der Streaming Plattform zugerechnet, womit der Schadensersatzanspruch begründet wurde. Das Gericht urteilte, dass die Übertragung der Kundendaten an den Kundenverwaltungsdienst fahrlässig war, weil die Prüfung der vertraglichen Pflichten für die Unterauftragnehmer fehlte. Schließlich sah der AVV zwischen der Streaming Plattform und seinem Kundenverwaltungsdienst vor, dass dem Anbieter der Streaming Plattform Kopien der mit den Unterauftragnehmern geschlossenen Vereinbarungen vorzulegen seien. Eine Überprüfung der Verträge und der darin getroffenen Regeln wäre also jederzeit möglich gewesen.

Aus diesem Urteil ergibt sich, wie wichtig der Abschluss von AVV und die Prüfung der Einhaltung der dort getroffenen Regeln nicht nur zur Vermeidung von Bußgeldern durch die Aufsichtsbehörden ist. In die gleiche Richtung geht auch ein weiteres Urteil des OLG Dresden vom 15.10.2024, welches besagt, dass eine für Datenverarbeitung verantwortliche Stelle jede Kette der Datenverarbeitung kennen muss. Dazu gehört auch die Kenntnis der Verarbeitungstätigkeiten bei Auftragsverarbeitern und deren Unterauftragnehmern.

 

Als verantwortliche Stelle muss die gesamte Kette der Auftragsverarbeitenden kennen

Wie sieht es mit Ihrer Liste von Auftragsverarbeitern aus? Liegen Ihnen alle Verträge vor? Haben Sie einen entsprechenden Prozess etabliert, um die Einhaltung der vertraglichen Regeln zu überprüfen?

Hier ist es wichtig, auch einen Blick darauf zu werfen, in welchem Land etwaige Unterauftragnehmer Ihres Datenverarbeiters sitzen. Haben alle ihren Sitz in der EU? Ansonsten könnte der Abschluss der sogenannten Standardvertragsklauseln (SCC) erforderlich sein. Bei sogenannten unsicheren Drittländern, also einer Datenübertragung in die Länder, für die in Punkto Datensicherheit kein Angemessenheitsbeschluss der EU besteht, ist zusätzlich die Durchführung eines Transfer Impact Assessments (TIA) erforderlich. 

Haben Sie noch Fragen zu den datenschutzrechtlichen Erfordernissen und den von Ihnen abzuschließenden AVV? Unsere Berater stehen Ihnen gerne zur Prüfung der von Ihnen abzuschließenden AVV und zur Beantwortung Ihrer Fragen zur Verfügung.

 

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne Teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download