Liebe Leser und Datenschutz-Interessierte,
wir möchten Sie heute über ein aktuelles Urteil des Landgerichts Köln (Az: 28 O 328/21) informieren. Der Sachverhalt, der dem Urteil zugrunde liegt, ist äußerst praxisrelevant und zeigt die teils enormen datenschutzrechtlichen Haftungsrisiken beim Einsatz von Dienstleistern auf.
1. Auftragsverarbeiter DSGVO-konform – Was war passiert?
Bei einem Unternehmen fand ein unberechtigter Zugriff von Dritten (Hacker) auf eine Datenbank des Unternehmens statt, in der Daten von Nutzern gespeichert waren. Das Brisante dabei war, dass dieser Zugriff mittels der echten Zugangsdaten erfolgte. Diese waren infolge eines Cyber-Angriffs auf eine andere Firma erlangt worden. Diese Firma war für das Unternehmen als IT-Dienstleister tätig und hatte die Zugangsdaten damals zu Support- und Wartungszwecken erhalten.
Das Besondere an dem Fall ist aber, dass der IT-Dienstleister bereits seit mehreren Jahren nicht mehr für das Unternehmen tätig war und die zur Verfügung gestellten Zugangsdaten ganz offensichtlich über mehrere Jahre nicht geändert oder vom Dienstleister nicht gelöscht wurden. Mit der Argumentation des Verantwortlichen vor Gericht, es hätte davon ausgehen dürfen, dass die Zugangsdaten seitens des IT-Dienstleisters dauerhaft und vollständig gelöscht werden würden, kam er nicht weiter.
2. Verstoß des Auftragsverarbeiters gegen Datensicherheitsvorgaben – Verurteilung!
Das Landgericht verurteilte den Verantwortlichen zur Zahlungen von Schadenersatz in Höhe von 1200,00 € pro Betroffenem wegen des Verstoßes gegen Art. 32 DSGVO (Datensicherheit) und Art. 5 DSGVO. Mit seinem Verhalten habe der Verantwortliche in eklatantem Maße gegen seine Pflicht zur Gewährleistung eines angemessenen Schutzes der Daten sowie gegen seine Pflicht zur Überprüfung der Löschung beim IT-Dienstleister verstoßen (Art. 28 Abs. 3 lit. h DSGVO).
Aus dem Urteil wird zwar nicht ersichtlich, wie viele Personen von dem unberechtigten Zugriff betroffen waren. Deutlich wird allerdings, dass die relativ hohe Summe pro Person ein Unternehmen durchaus schon in finanzielle Bedrängnis bringen kann. Bei „nur“ 500 Betroffenen wäre beispielsweise ein Schadenersatz i.H.v. 600.000,00 € zu zahlen.
3. Conclusio – Datenschutzprüfungen des Auftragsverarbeiters wichtig!
Datenschutz muss immer in der gesamten „Lieferkette“ mitbedacht werden. Hierfür bedarf es strukturierter Prozesse im Unternehmen. Es muss sichergestellt werden, dass alle Zugangsdaten, die herausgeben werden, spätestens nach Auftragsbeendigung entzogen/geändert werden. Geht es um weitere Daten und Dokumente, die der Dienstleister erhalten hat, so muss der Verantwortliche mindestens eine Löschungsbestätigung bei dem Dienstleister bzgl. dieser Daten anfordern.
Ebenso hat der Verantwortliche die Pflicht, seine Auftragsverarbeiter in regelmäßigen Abständen zu überprüfen und zu überwachen. Gerne unterstützen wir Sie hierbei!
Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy
