Datenschutzrecht

OLG Dresden: Verantwortlicher muss Auftragsverarbeiter nach Art. 28 DSGVO dauerhaft auf Einhaltung der rechtlichen Regelungen überwachen, unter anderem auch, ob nach Abschluss der Datenverarbeitung personenbezogene Daten gelöscht wurden

Veröffentlicht von

So unter anderem das Gericht in seinem Urteil vom 10. September 2024 (Az.: 4 U 683/24) im Rahmen eines Rechtsstreits rund um verschiedene Ansprüche um ein „Datenleck“ bei einem Musicstreamingdiensteanbieter. Das Gericht sieht eine sich aus Art. 28 DSGVO ergebende umfassende Handlungspflicht. Es führt unter anderem in den Entscheidungsgründen aus:

„…Art 28 Abs. 1 DSGVO regelt unmittelbar nur die Anforderungen an die Auswahl des Auftragsverarbeiters durch den Verantwortlichen. Dieser darf nur solche Auftragnehmer als Auftragsverarbeiter beauftragen, „die hinreichende Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen“ im Einklang mit der DSGVO durchgeführt werden. Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“). Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft. Zugleich enthält er eine Verpflichtung der Vertragsparteien, die Details zu den Prüfrechten auszugestalten und hierdurch eine effektive Kontrolle durch den Verantwortlichen sicherzustellen (Schaffland/Wiltfang, Datenschutz-Grundverordnung (DS-GVO)/ Bundesdatenschutzgesetz (BDSG), 8. Ergänzungslieferung 2024, Art. 28 EUV 2016/679, Rn. 61). De facto ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen (vgl. Plath in: Plath, DSGVO/BDSG/TTDSG, 4. Auflage 2023, Rz. 17 mwN). Durch diese vertragliche Ausgestaltung werden aber nicht nur die Pflichten des Auftragsdatenverarbeiters, sondern auch die korrespondierenden Prüfpflichten des Unternehmers konkretisiert…“

Hinweis des Autors:

In dem Urteil vom 17. September 2024 (Az.: 4 U 506/24) hat das Gericht diese Ansicht ebenfalls vertreten. Ebenso in dem Urteil vom 15. Oktober 2024 (Az.: 4 U 940/24) Dem Autor ist zum Zeitpunkt der Erstellung des Beitrages nicht bekannt, ob das