WISSENSWERTES | 27.05.2025
OLG Dresden zur DSGVO-Haftung nach Hacker-Angriff
Datenschutzrechtlich Verantwortliche dürfen sich nicht blind auf eine „vertrauensvolle Zusammenarbeit“ mit ihrem Dienstleister verlassen. Was bedeutet das für die Praxis?
Ausgangspunkt: Hackerangriff beim Auftragsverarbeiter
Das Oberlandesgericht Dresden hatte sich in seiner Entscheidung vom 15. Oktober 2024 (Az. 4 U 940/24), mit einem Sachverhalt zu befassen, der in der Praxis datenschutzrechtlicher Zusammenarbeit keine Seltenheit ist: Ein Unternehmen hatte die Verarbeitung personenbezogener Daten an einen externen Auftragsverarbeiter (Dienstleister) ausgelagert. Nach Beendigung des Vertragsverhältnisses versäumte er es jedoch, eine ordnungsgemäße und nachprüfbare Löschungsbestätigung einzuholen. Jahre später tauchten ebendiese Daten im Darknet auf – mutmaßlich infolge eines Hackerangriffs beim Dienstleister.
Ein betroffener Nutzer klagte nun u.a. auf Schadensersatz wegen eines immateriellen Schadens gemäß Art. 82 DSGVO. Das OLG Dresden erkannte zwar einen Datenschutzverstoß, wies die Klage jedoch zurück – auch weil der Kläger keinen konkreten Schaden nachweisen konnte. Bemerkenswert sind jedoch die deutlichen Ausführungen zur fortbestehenden Kontrollpflicht des Verantwortlichen gegenüber dem Auftragsverarbeiter – auch über das Vertragsende hinaus.
OLG Dresden: Kontrollpflicht endet nicht mit der Vertragslaufzeit
Das Gericht stellt unmissverständlich klar: Die datenschutzrechtliche Verantwortung des Verantwortlichen erlischt nicht mit dem Ablauf des Vertrags mit einem Dienstleister. Vielmehr besteht auch nach Vertragsbeendigung eine aktive Pflicht, die Einhaltung der datenschutz-rechtlichen Vorgaben zu überwachen – insbesondere im Hinblick auf die vollständige Löschung der übermittelten personenbezogenen Daten. Art. 28 Abs. 3 DSGVO, der die einzelnen Vorgaben für Auftragsverarbeitungsverträge normiert, wird in diesem Zusammenhang nicht als bloßer Formalismus verstanden, sondern als Grundlage einer anhaltenden Rechenschaftspflicht.
Konkret kritisiert das OLG, dass die Verantwortliche keine schriftliche und hinreichend präzise Bestätigung der Datenlöschung innerhalb der vertraglich vereinbarten Frist (21 Tage) eingeholt hat – und auch auf späteres Nachfassen, geschweige denn eine Vor-Ort-Kontrolle, verzichtet wurde. Die Argumentation, man sei auf die Angaben des Dienstleisters angewiesen gewesen, ließ das Gericht nicht gelten. Wer Daten überträgt, muss den korrekten Umgang damit auch nachträglich nachvollziehbar prüfen – andernfalls haftet er.
Kontrollpflicht als Daueraufgabe – mit risikobasiertem Maßstab
Die Kontrollpflicht nach Art. 28 DSGVO endet nicht mit Vertragsschluss – sie lebt fort, und zwar abhängig vom Risiko. Werden große Datenmengen oder sensible Informationen verarbeitet, steigen die Anforderungen. Das Gericht stützt dies sowohl auf Art. 28 als auch auf die allgemeine Rechenschaftspflicht des Verantwortlichen – und bezieht ausdrücklich Erwägungsgrund 74 der DSGVO mit ein.
Vor-Ort-Kontrollen nicht zwingend – aber Untätigkeit ist keine Option
Erfreulich pragmatisch: Das OLG verlangt keine systematischen Vor-Ort-Kontrollen, wenn ein etablierter IT-Dienstleister beauftragt ist. Vertrauen ist also erlaubt – aber nur, wenn es dokumentiert und überprüfbar ist.
Vertragliche Schriftform? Dann muss sie auch eingehalten werden.
Im entschiedenen Fall lag eine Vereinbarung vor, dass eine Löschbestätigung schriftlich zu erfolgen habe. Eine einfache E-Mail ohne konkrete Details zur Löschung genügte danach nicht – weder dem Vertrag noch der DSGVO.
Kein Schaden ohne spürbare Folgen – auch bei “echten” Datenschutzverstößen
Das OLG betont nochmals: Ein DSGVO-Verstoß ist noch kein Freibrief für immateriellen Schadensersatz. Auch der Kontrollverlust über E-Mail-Adresse und IP-Adresse reicht nicht aus – soweit sich daraus keine belegbaren negativen Folgen ergeben.
Praxistipps für Unternehmen:
* Verträge mit Auftragsverarbeitern prüfen – insbesondere was Kontrollrechte nach Ver-tragsende betrifft
* Löschbestätigungen einfordern – schriftlich, fristgerecht und mit konkretem Bezug auf alle gespeicherten Daten
* Kontrollpflichten dokumentieren – damit man im Fall der Fälle belegen kann, dass man nicht nur delegiert, sondern auch überprüft hat
* Kommunikation mit Dienstleistern aufbewahren – gerade bei Beendigungen, Migra-tionen oder Systemabschaltungen
Fazit
Das OLG Dresden sendet ein wichtiges Signal an alle datenverarbeitenden Unternehmen: Verantwortlichkeit ist nicht allumfassend delegierbar. Auch wenn der Server längst in Tel Aviv oder sonst wo auf der Welt steht – die datenschutzrechtliche Verantwortung bleibt in Deutsch-land. Wer kontrolliert, kann nicht alles verhindern. Aber zumindest Haftung vermeiden.