Kontrolle von Auftragsverarbeitern
Die Zusammenarbeit mit Auftragsverarbeitern ist im Artikel 28 DSGVO geregelt und der Verantwortliche ist danach zu folgenden Maßnahmen verpflichtet:
- Zusammenarbeit ausschließlich mit Auftragsverarbeitern, die hinreichend Garantien bieten für:
- geeignete technische und organisatorische Maßnahmen
- Verarbeitung erfolgt im Einklang mit den Anforderungen dieser Verordnung
- Schutz der Rechte der betroffenen Person gewährleistet
- Verarbeitung beim Auftragsverarbeiter erfolgt gestützt auf einen Vertrag
Der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter beinhaltet mindestens die im Absatz 3 des Artikels genannten Punkte (Buchstaben a – h).
Im konkreten Gerichtsurteil des OLG Dresden (OLG Dresden, Urteil vom 15. Oktober 2024 – 4 U 940/24 –, juris) spielt Buchstabe g eine besondere Rolle:
nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
Bei diesem Fall verklagte ein Betroffener den Verantwortlichen auf Grund Kompromittierung seiner personenbezogenen Daten in Folge eines Hackerangriffs auf einen früheren Auftragsverarbeiter des Verantwortlichen.
Zum Zeitpunkt des Hackerangriffs wohl im Jahr 2022 bestand kein aktives Auftragsverhältnis mehr zwischen den Unternehmen (Ende der Vertragsbeziehung 11.2019).
Der Verantwortliche hatte vom Auftragsverarbeiter im Januar 2020 lediglich eine Nachricht erhalten wonach die Löschung der im Rahmen des Vertrages verarbeiteten personenbezogenen Daten bevorstehe ohne weitere Details.
Das Gericht sieht beim Verantwortlichen folgende Verletzungen seiner Sorgfaltspflichten gemäß Artikel 28 gegenüber von ihm eingesetzter Auftragsverarbeiter:
- Der Verantwortliche muss sich die erfolgte umfängliche Löschung der personenbezogenen Daten durch den Auftragsverarbeiter bestätigen lassen oder die Daten sind dem Verantwortlichen komplett zurückzugeben.
- Eine Absichtserklärung zur Löschung ist nicht ausreichend.
- Im Zweifelsfall muss der Verantwortliche eine Vor-Ort-Prüfung beim Auftragsverarbeiter vornehmen.
Fazit
Verantwortliche und Auftragsverarbeiter sind gut beraten in den Vereinbarungen zur Auftragsverarbeitung (AVV) bereits Regelungen zu treffen, die das Vorgehen bei Beendigung des Auftragsverarbeitungsverhältnisses klären.
Auftragsverarbeiter sollten ein Verfahren etablieren, in dem sie dem Verantwortlichen die fristgerechte und normkonforme Löschung der verarbeiteten personenbezogenen Daten bestätigen bzw. den Rücktransfer derselben an den Verantwortlichen protokollieren.
Verantwortliche dürfen sich nicht darauf verlassen, dass der Auftragsverarbeiter alle Daten, deren Verarbeitungsgrundlage mit Ende des Hauptvertrages nicht mehr gegeben ist ohne weiteres unverzüglich löschen, sondern sollten sich die Datenlöschung schriftlich bestätigen lassen, bzw. den Transfer der Daten vornehmen lassen.