Das Landgericht Köln hat am 7. Januar 2025 ein Urteil (Az.: 14 O 472/23) gefällt, das weitreichende Konsequenzen für Unternehmen auch in Mecklenburg-Vorpommern mit sich bringt. Im Zentrum des Falls steht ein Online-Musikstreamingdienst, der für die unbefugte Veröffentlichung personenbezogener Daten eines Nutzers verantwortlich gemacht wurde. Die Entscheidung verdeutlicht die hohen Anforderungen an Unternehmen bei der Verarbeitung und dem Schutz personenbezogener Daten und unterstreicht die Haftung für Datenschutzverstöße durch Auftragsverarbeiter gegen die Vorschriften der DSGVO.
Der Fall: Datenschutzverstöße durch Auftragsverarbeiter und deren unzureichende Kontrolle
Die Beklagte betreibt einen international tätigen Musikstreamingdienst mit mehreren Millionen Nutzern. Die Klägerin war Kundin dieses Dienstes und machte geltend, dass ihre personenbezogenen Daten durch einen Hackerangriff auf einen ehemaligen Auftragsverarbeiter des Unternehmens unbefugt ins Darknet gelangt seien. Der verantwortliche Dienstleister, mit dem eine Auftragsverarbeitungsvereinbarung bestand, hatte die Löschung der Daten nach Vertragsende zugesichert, aber nicht ordnungsgemäß umgesetzt. Dies wurde von der Beklagten nicht ausreichend überprüft.
Die Entscheidung des Gerichts
Das Landgericht Köln sprach der Klägerin einen immateriellen Schadensersatz in Höhe von 100 Euro zu und stellte fest, dass die Beklagte für zukünftige materielle und immaterielle Schäden aufgrund der unbefugten Veröffentlichung ihrer Daten haften muss. Das Gericht begründete seine Entscheidung damit, dass die Beklagte gegen ihre Kontrollpflichten gemäß Artikel 28 und 32 DSGVO verstoßen habe. Sie hätte sicherstellen müssen, dass der Auftragsverarbeiter die übermittelten Daten tatsächlich vollständig löscht.
Weitere Urteile zur Haftung für Datenschutzverstöße durch Auftragsverarbeiter
Dieses Urteil reiht sich ein in eine Reihe ähnlicher Urteile, die ebenfalls die Verantwortung von Unternehmen für die Handlungen ihrer Auftragsverarbeiter unterstreichen. So ging es zum Beispiel im Urteil 4 U 940/24 vom 15.10.2024 des OLG Dresden ebenfalls um einen Musikstreaming-Dienstleister, der ein externes Unternehmen in Israel mit der Verarbeitung von Nutzerdaten beauftragte. Der Vertrag endete am 1. Dezember 2019, und der Auftragsverarbeiter kündigte an, die Daten am Folgetag zu löschen. Eine schriftliche Bestätigung dieser Löschung erfolgte jedoch erst im Februar 2023, nachdem bekannt wurde, dass im November 2022 ein Hackerangriff auf den Auftragsverarbeiter stattegfunden hatte.
Ein betroffener Nutzer klagte daraufhin auf Schadensersatz, da er der Ansicht war, der Musikstreaming-Dienst habe seine Kontrollpflichten verletzt. Wie im Kölner Fall, entschied auch das OLG Dresden, dass der Verantwortliche gemäß Art. 82 DSGVO dem Grunde nach zum Schadensersatz verpflichtet sei. Das Gericht betonte, dass die Pflicht des Verantwortlichen nicht nur die sorgfältige Auswahl des Auftragsverarbeiters gemäß Art. 28 Abs. 1 DSGVO umfasst, sondern auch dessen kontinuierliche Überwachung. Im vorliegenden Fall hätte der Musikstreaming-Dienst sicherstellen müssen, dass der Auftragsverarbeiter die Daten nach Vertragsende tatsächlich gelöscht hat, beispielsweise durch Einholung einer aussagekräftigen Löschbestätigung.
Konsequenzen für Unternehmen
Dieses Urteil zeigt deutlich, dass Unternehmen in Städten wie Rostock, Stralsund oder Greifswald nicht nur bei der Auswahl ihrer Auftragsverarbeiter sorgfältig vorgehen, sondern auch deren Einhaltung der DSGVO kontinuierlich überprüfen müssen. Insbesondere sind folgende Maßnahmen für Verantwortliche essenziell:
- Sorgfältige Auswahl von Dienstleistern: Unternehmen dürfen nur solche Auftragsverarbeiter beauftragen, die nachweislich ein hohes Datenschutzniveau gewährleisten.
- Regelmäßige Kontrollmechanismen: Die Kontrolle der Auftragsverarbeiter darf nicht mit Vertragsabschluss enden. Es müssen regelmäßige Audits und Nachweise zur Datenlöschung eingefordert werden.
- Dokumentation und Nachweise: Die Einhaltung der DSGVO muss umfassend dokumentiert werden, insbesondere bei der Datenübertragung und -löschung.
- Reaktionsfähigkeit bei Datenschutzverletzungen: Unternehmen müssen auf Datenpannen schnell und transparent reagieren sowie betroffene Nutzer informieren.
Fazit: Höhere Anforderungen an Datenschutz in Unternehmen
Das Urteil des LG Köln betont die Verantwortung von Unternehmen im Umgang mit personenbezogenen Daten. Datenschutz darf nicht als bloße Formalität betrachtet werden, sondern erfordert ein aktives Risikomanagement. Unternehmen in Mecklenburg-Vorpommern sollten diese Entscheidung zum Anlass nehmen, ihre Datenschutzprozesse zu überprüfen und sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt werden, um Haftungsrisiken zu minimieren.