Die Auslagerung von Leistungen ist im Bereich des Datenschutzrechts kein ungewöhnlicher Prozess. Rein datenschutzrechtlich betrachtet handelt es sich in vielen Fällen um eine sogenannte Auftragsverarbeitung. In der Datenschutzorganisation wird vielfach ein Prozess implementiert, der zumindest den Abschluss von Auftragsverarbeitungsverträgen bei Beauftragung der Dienstleister vorsieht. In vielen Fällen ist an dieser Stelle allerdings „Schluss“, will heißen Unternehmen ruhen sich – aus unterschiedlichen Gründen – auf diesem IST-Stand aus, eine laufende Überprüfung des Dienstleisters erfolgt nicht oder nur äußert selten.

Wie wir in der Vergangenheit gesehen haben, kann in der Auftragsverarbeitung jedoch durchaus die Frage nach Verantwortung auftreten. Unzureichende Prüfungen können außerdem Haftungsfragen aufwerfen, wie kürzlich in einem Urteil des Oberlandesgerichts Dresden (OLG Dresden, Urt. v. 15.10.2024 – Az.: 4 U 940/24) bekannt geworden ist. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung sollen im heutigen Beitrag näher betrachtet werden.

Verantwortlicher und Auftragsverarbeiter

Das Gesetz grenzt beiden Rollen (Verantwortlicher und Auftragsverarbeiter) in Art. 4 Nr. 7 und 8 DS-GVO voneinander ab und formt in Art. 28 DS-GVO genauer aus, wie das Rechtsverhältnis und auch die zugrunde liegenden Auftragsverarbeitungsverträge ausgestaltet sein müssen. In Art. 28 Abs. 1 DS-GVO wir folgendes normiert: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Nach Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO besteht weiter folgende Pflicht: „Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

Nun zum Urteil des OLG Dresden

Kurz zum Sachverhalt: Die Beklagte setzte in der Vergangenheit (Vertragsende datierte auf den 1.12.2019) einen Auftragsverarbeiter ein, dessen Hauptsitz in Israel lokalisiert ist. Mit Schreiben vom 30.11.2019 kündigte der Auftragsverarbeiter an, die Daten aus dem vorangegangenen Vertragsverhältnis zu löschen. Eine endgültige Bestätigung der Löschung erfolgt anschließend erst mit Schreiben vom 22.2.2023. Zwischenzeitlich war bekannt geworden, dass unbekannte Cyberkriminelle seit dem 6.11.2022 im sogenannten Darknet Daten von Nutzern der Beklagten zum Verkauf angeboten hatten. Die Beklagte wurde in der Folge von einer betroffenen Person auf Schadenersatz aus Art. 82 DS-GVO in Anspruch genommen.

Zunächst stellt das OLG dar, dass eine Haftung des Verantwortlichen gegeben ist: „Der Verantwortliche haftet auch, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen ausführt und dadurch ein Schaden entsteht. Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür […]. Zwar besteht in diesem Fall auch eine Haftung des Auftragsdatenverarbeiters. Der Verantwortliche kann den Betroffenen aber nicht auf dessen vorrangige Inanspruchnahme verweisen, weil dies einem „wirksamen Schadensersatz“ im Sinne des Art. 82 Abs. 4 DSGVO (vgl. auch Erwägungsgrund 146 S. 6) entgegenstünde.“

Anschließend befasst sich das Gericht mit der oben zitierten Pflicht aus Art. 28 Abs. 1 DS-GVO: „Dies führt aber nicht nur zu einer Pflicht zur sorgfältigen Auswahl, sondern auch zu einer Pflicht zur sorgfältigen Überwachung des Auftragsverarbeiters durch den Verantwortlichen. Diese Pflicht zur Überwachung des Auftragsverarbeiters – im Anschluss an dessen Auswahl – ist in Art. 28 Abs. 1 DSGVO zwar nicht ausdrücklich geregelt, ergibt sich jedoch aus der Formulierung der Norm („arbeitet […] nur mit“)“ und weiter: „Absatz 3 lit h) setzt eine solche Kontrollpflicht voraus, was auch die ordnungsgemäße Datenlöschung betrifft“ deshalb „[…] ist die Pflicht zur Überwachung daher auch ohne konkrete zeitliche Vorgaben als Dauerpflicht zu verstehen“.

Wie weit reicht nun die Kontrollpflicht?

Das OLG kommt anschließend zu dem Ergebnis, dass Art. 28 DS-GVO eine fortwährende Kontrollpflicht impliziert: „Infolgedessen war die Beklagte auch nach Vertragsbeendigung zu einer Überwachung ihres Auftragsdatenverarbeiters dahingehend angehalten, dass dieser die ihm zur Verfügung gestellten Daten tatsächlich löscht und hierüber eine aussagekräftige Bescheinigung ausstellt.“ Dies gilt allen voran dann, wenn eine große Menge an Daten oder besonders sensible Daten verarbeitet werden: „Gesteigerte Anforderungen ergeben sich indes, soweit z. B. große Datenmengen oder besonders sensible Daten gehostet werden sollen […] Diese gesteigerten Kontrollpflichten gelten auch außerhalb der Verarbeitung personenbezogener Daten nach Art. 9, 10 DSGVO.“

Allerdings holt das OLG das weit gespannte Netz wieder etwas zurück: „Die Anforderungen an Auswahl und Überwachung dürfen dabei in der Praxis zwar nicht überspannt werden. Wählt ein Unternehmen z. B. einen führenden und am Markt als zuverlässig bekannten IT-Dienstleister aus, so darf es grundsätzlich auf dessen Fachwissen und Zuverlässigkeit vertrauen, ohne dass etwa eine – vollkommen praxisfremde – Vor-Ort-Kontrolle erforderlich wäre.“

Im vorliegenden Fall war daher ein Sorgfaltsverstoß des Unternehmens anzunehmen, dass nach Beendigung der Vertragsbeziehung keine Überwachung bzw. Kontrolle des externen Auftragsverarbeiters durchgeführt hatte. Der Verantwortlich darf sich nicht auf die bloße Ankündigung seines Auftragnehmers verlassen die Daten zu löschen. Vielmehr muss eine Kontrolle erfolgen (z. B. durch Einholen einer Bestätigung der Löschung), dass die Maßnahme tatsächlich erfolgt, ist:

„Die bloße Ankündigung einer Maßnahme ist jedoch nicht gleichwertig zu einer Bestätigung über deren Ausführung. Es ist allgemein bekannt, dass gleich ob in kleinen oder großen Unternehmen anstehende Vorgänge aufgeschoben und in der Folge auch vergessen werden können. Indem die Bestätigung der tatsächlichen Durchführung einer vertraglich festgelegten Aufgabe eingefordert wird, minimiert der Verantwortliche das Risiko, dass es beim Auftragsverarbeiter bei der bloßen Ankündigung eines Tätigwerdens bleibt und sorgt zugleich dafür, dass der Auftragsverarbeiter in seiner eigenen Sphäre überprüft, ob die vertraglich übernommene Verpflichtung tatsächlich gewissenhaft erfüllt wurde – auch um das eigene Haftungsrisiko zu minimieren.“

Fazit

Zusammenfassend lässt sich festhalten, dass das OLG Dresden einen recht strengen Maßstab an die Kontrollpflichten nach Art. 28 Abs. 1, Abs. 3 DS-GVO an den Verantwortlichen gegenüber dem eingesetzten Auftragsverarbeiter anlegt. Die Kontrollpflicht besteht gerade nicht nur vor der Beauftragung, sondern wird insbesondere während der laufenden Vertragsbeziehung und nach deren Ende fortgeführt.

P.S. Das OLG lehnte den Schadenersatzanspruch aus Art. 82 DS-GVO letztendlich dennoch ab, da die betroffenen personenbezogenen Daten (E-Mail-Adresse, IP-Adresse, Nutzer-ID) zwar einen Personenbezug aufwiesen, aber nicht als sensible Daten im Sinne der DS-GVO einzustufen seien und darüber hinaus keine konkrete Gefahr, die zu einem Missbrauch der Daten führt, durch die Klägerin dargelegt werden konnte. Insbesondere bei Daten, die den persönlichen Lebensbereich betreffen, besteht die Gefahr einer Rufschädigung oder Diskriminierung. Ebenso geht der Verlust der Kontrolle von Daten über Vermögenswerte, Bankverbindungen und Berufsgeheimnisse mit dem Risiko eines materiellen Schadens einher.  Dies sei vorliegend jedoch gerade nicht der Fall.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die nationale und internationale Berichterstattung war in den vergangenen Wochen „gut gefüllt“ vom vermeintlich größten IT-Ausfall aller Zeiten – die Rede ist vom Vorfall Crowdstrike. Im nachfolgenden Beitrag wollen wir kurz den Vorfall näher beleuchten und anschließend der Frage nachgehen, welche Bedeutung derartige Konstellationen für die Informationssicherheit und den Datenschutz haben können.

Was war eigentlich passiert?

Am 19. Juli 2024 kam es durch ein fehlerhaftes Update des Sicherheitsanbieters Crowdstrike weltweit zu Millionen von Störungen und Ausfällen bei Microsoft-Systemen. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, d.h. Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens.

Ursache für die Ausfälle ist offenbar ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Die IT-Sicherheitslösung von Crowdstrike wird von zahlreichen weiteren IT-Diensten genutzt, die in der Folge ausgefallen sind. Weitere Schilderungen und Informationen wurden durch das BSI zur Verfügung gestellt. Cyberkriminelle nutzen die Vorfälle für unterschiedliche Formen von Phishing, Scam oder Fake-Webseiten aus. Berichten zufolge gibt es jedoch auch zahlreiche Organisationen, die vom Vorfall nicht betroffen waren, obwohl die mutmaßlichen Gründe hierfür nicht unbedingt ein sicheres Gefühl vermitteln.

Ebenso haben sich Claudia Plattner, Präsidentin des BSI, und Manuel Atug, Gründer und Sprecher der Arbeitsgruppe Kritische Infrastrukturen, zu den IT-Ausfällen geäußert. Crowdstrike selbst veröffentlichte im Anschluss zeitnah eine Ursachenanalyse. Der Digitalverband Bitkom und das BSI haben in der Folge eine Umfrage veröffentlicht, die darauf abzielt in welcher Form Unternehmen von dem Vorfall betroffen waren und ob Notfallpläne zur Verfügung standen und welche Maßnahmen ergriffen wurden.

Eine rechtliche Einordnung

Als Folge des Vorfalls werden nunmehr viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. In Betracht gezogen werden neben vertraglichen Ansprüchen auch das Produkthaftungs- sowie das Datenschutzrecht. Einer der Streitpunkte sind hier insbesondere die AGB von Crowdstrike. Eine mögliche Darstellung zur Sachlage gibt es hier. Offene Fragen gibt es außerdem hinsichtlich der Verantwortlichkeit von Microsoft und einer möglichen Überprüfungspflicht gegenüber des eingesetzten Unterauftragsverarbeiters Crowdstrike.

An dieser Stelle möchten wir mit der Betrachtung tiefer einsteigen. Es soll im Kern weder um mögliche Haftungsansprüche noch um eine vertiefte Auseinandersetzung mit dem Fall Crowdstrike gehen. Vielmehr wollen wir der Frage nach den grundsätzlichen bestehenden Verantwortlichkeiten aus dem Recht der Informationssicherheit und insbesondere dem Datenschutzrecht nachgehen.

Zur Ausgangssituation: Eine umfassende und übergreifende Pflicht zur Herstellung von Informationssicherheit besteht nicht. Ebenso wenig erschöpft sich das Recht der Informationssicherheit in einer einzigen Rechtsquelle. Mit Blick auf die aktuelle Normenlandschaft wird jedoch klar, dass in der Informationssicherheit umfassende Pflichten bestehen. Diese folgen zum Beispiel aus dem Gesellschaftsrecht, dem Datenschutzrecht, branchen- und sektorspezifischen Vorgaben usw. Für Beauftragung von Dienstleistern gibt es aus Organisationssicht ebenfalls eine Reihe von Gründen. Hierzu gehören allen voran die steigende Komplexität von Prozesse und den dazugehörigen Anwendungen sowie die rasant voranschreitende Technologieentwicklung und nicht zu vergessen die kontinuierlichen wachsenden rechtlichen Anforderungen an die Informationssicherheit.

Insbesondere im Bereich der Cybersicherheit bzw. IT-Sicherheit wächst das Bedürfnis aufgrund der aktuellen Bedrohungslage sich mit externen Fachdienstleistern vermeintlich sicher aufzustellen. Organisationen hegen dabei ein großes Interesse an der Erfüllung von Informationssicherheitspflichten durch die jeweiligen Vertragspartner, um so unter anderem mögliche Haftungsrisiken zu steuern.

Insofern Organisationen entsprechenden Pflichten unterliegen, werden sie bei der Inanspruchnahme von Dienstleistern bestrebt sein, den jeweilig beauftragten Vertragspartner auf die Einhaltung der bestehenden Informationssicherheitspflichten zu verpflichten und diese mithin „in der Kette“ weiterzugeben beziehungsweise durchzureichen. Hierbei ist jedoch zu berücksichtigen, dass die auslagernden Organisationen auch bei der Erfüllung der Informationssicherheitsvorgaben durch ihre Auftragnehmer nicht gänzlich von den bestehenden Pflichten entbunden werden. Die grundlegende Verantwortung kann gerade nicht entlang der Kette weitegereicht werden. Es verbleiben insoweit mindestens Überprüfungs- und zuweilen auch Nachweispflichten. Mit der Erforderlichkeit zur Prüfung von Dienstleistern aus Sicht der Informationssicherheit haben sich mein Kollege Max Just und ich uns in unserem Beitrag zum 20. Deutschen IT-Sicherheitskongress bereits vertieft auseinandergesetzt. Interessierte können hier jederzeit nachlasen.

Schwenken wir nun zum Datenschutzrecht: Im Rahmen einer Auftragsverarbeitung kann sich eine Prüfpflicht bereits aus Art. 28 Abs. 1 DS-GVO (Geeignetheit des Auftragsverarbeiters) und einem bestehenden Haftungsrisiko des Verantwortlichen ergeben. Weiter ergeben sich für die Auftragsverarbeiter nach Art. 28 Abs. 2 und Abs. 4 DS-GVO Pflichten zur Überprüfung und Beaufsichtigung der eingesetzten Unterauftragnehmer. Ebenso ist Art. 32 DS-GVO mit seiner Verpflichtung für eine angemessene Sicherheit der Verarbeitung zu sorgen, heranzuziehen. Diese Verpflichtung adressiert Verantwortliche sowie auch Auftragsverarbeiter.

Mit Blick auf das Datenschutzrecht gibt es hier ein anschauliches Interview zwischen netzpolitik.org und Dr. Stefan Brink, dem ehemaligen Landesdatenschutzbeauftragten von Baden-Württemberg, in dem mögliche datenschutzrechtliche Folgen betrachtet werden. Es wird aber deutlich hervorgehoben: „Datenschutzrechtlich kann sich Microsoft gegenüber seinen Kunden jedenfalls nicht darauf berufen, dass die Datenverarbeitungspanne nicht von ihnen, sondern von einem Sub-Unternehmer zu verantworten wäre. Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten. […] Wirtschaftlich mag sich das Risiko von Datenverarbeitungen verschieben lassen, datenschutzrechtlich bleibt der „Verantwortliche“, also der Vertragspartner des Endkunden, immer in der Haftung.“ Eine Entlastung von Rechtsverstößen der Dienstleister sei daher ausgeschlossen.

Fazit

Was bleibt? „Aus den Augen aus dem Sinn“ gilt in der Informationssicherheit gerade nicht. Es ist unumgänglich, dass Organisationen auch bei Auslagerung von Prozessen oder Leistungen dennoch für die Einhaltung der Vorgaben der Informationssicherheit und damit auch des Datenschutzes verantwortlich bleiben. Vorfälle wie bei Crowdstrike müssen Organisationen einmal mehr vor Augen führen, dass ein „Durchreichen“ von Verantwortlichkeit nicht vollständig auf externe Auftragnehmer bzw. Dienstleister möglich ist.  

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.