Ein aktuelles Urteil des Landgerichts Lübeck (Az. 15 O 216/23) zeigt: Selbst wenn ein Datenleck bei einem Unterauftragsverarbeiter auftritt, können Sie als Auftraggeber haftbar gemacht werden - selbst wenn Sie selbst keine direkten Fehler begangen haben.

Der Fall: Ein Datenleck mit weitreichenden Folgen

Im konkreten Fall ging es um einen Musik-Streamingdienst (nennen wir ihn "VERANTWORTLICHER"), der Kundendaten an einen externen Dienstleister ("AUFTRAGSVERARBEITER") weitergab. Dieser wiederum nutzte einen Subunternehmer ("UNTERAUFTRAGSVERARBEITER") in Israel für die Datenverarbeitung. Zwischen AUFTRAGSVERARBEITER und UNTERAUFTRAGSVERARBEITER bestand ein Konzernverhältnis. 2019 übermittelte der VERANTWORTLICHE personenbezogene Daten (Namen, E-Mails, Nutzernamen, Geburtsdaten etc.) auch an den UNTERAUFTRAGSVERARBEITER - ohne jedoch einen DSGVO-konformen Auftragsverarbeitungsvertrag (AVV) mit dem UNTERAUFTRAGSVERARBEITER abzuschließen.

Dann passierte, was passieren musste: Bei dem UNTERAUFTRAGSVERARBEITER kam es zu einem Datenleck. Hacker erbeuteten die Kundendaten und veröffentlichten sie im Darknet – teils zum Verkauf, teils sogar kostenlos. Ein betroffener Nutzer verklagte daraufhin den VERANTWORTLICHEN auf Schadensersatz. Seine Argumente:

1. Die Weitergabe der Daten an den UNTERAUFTRAGSVERARBEITER war rechtswidrig, weil kein Auftragsverarbeitungsvertrag vorlag.
2. Die Schutzmaßnahmen waren unzureichend.
3. Er leide unter Ängsten vor Identitätsdiebstahl und Phishing.

Der VERANTWORTLICHE versuchte sich herauszureden: Man habe ja gar nicht gewusst, ob der Kläger wirklich betroffen sei. Außerdem sei das Leck beim UNTERAUFTRAGSVERARBEITER passiert, nachdem die Zusammenarbeit bereits beendet war. Für Fehler des UNTERAUFTRAGSVERARBEITERS könne man nicht verantwortlich sein.

Das Gericht sah das anders – und traf klare Aussagen mit Signalwirkung für alle Unternehmen.

Auch wenn dem Kläger in diesem konkreten Fall lediglich ein Schadensersatz in Höhe von 300 € zugesprochen wurde, ist das Urteil bedeutungsvoll.

Die 3 wichtigsten Lehren aus dem Urteil

1. „Ich wusste von nichts“ zählt nicht - Verantwortliche müssen aktiv prüfen
   Der Kläger konnte konkret nachweisen, welche seiner Daten im Darknet veröffentlicht wurden. Das Gericht stellte klar: Ein Unternehmen kann sich nicht einfach mit „Nichtwissen“ herausreden. Wenn ein Kunde konkrete Vorwürfe macht, muss diesen nachgegangen werden - insbesondere, wenn eine Überprüfung technisch möglich ist.
2. Fehlender Vertrag mit Unterauftragsverarbeiter = Rechtswidrige Datenweitergabe
   Der wohl größte Fehler des Verantwortlichen: Es gab keinen gültigen Auftragsverarbeitungsvertrag mit dem Unterauftragsverarbeiter - weder zwischen dem Verantwortlichen und dem Unterauftragsverarbeiter noch zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter lag ein DSGVO-konformer Vertrag vor. Damit war die Datenweitergabe von Anfang an rechtswidrig.

   Interessant: Der Verantwortliche argumentierte, es sei „marktüblich“, dass Konzernmütter Verträge für Tochterfirmen abschließen. Das Gericht ließ das nicht gelten: Jede juristische Person muss eigenständig vertraglich gebunden sein.

   Zwischenfazit: Das Gericht hat geurteilt, dass es in der Verantwortung eines Verantwortlichen liegt, die gesamte Verarbeitungskette der Auftragsverarbeitungen auf deren Korrektheit zu prüfen. Dies bedeutet: Prüfen Sie nicht nur Ihre direkten Dienstleister, sondern auch deren Unterauftragsnehmer. Das wird zukünftig zu einem erhöhten Kontrollaufwand führen, denn dieser wird sich nicht nur auf die initiale Prüfung des Vorhandenseins eines solchen Vertrags beziehen sondern auch auf kontinuierliche Kontrollen hinsichtlich Änderungen. Dies deckt die DSGVO in ihren Statuten zwar grundsätzlich ab. Allerdings wird die Umsetzung zukünftig noch stärker zu kontrollieren sein.

3. Angst vor Datenmissbrauch reicht als „Schaden“ – auch ohne finanziellen Verlust
   Der Kläger hatte keine konkreten finanziellen Schäden erlitten. Doch das Gericht befand: Allein die Veröffentlichung seiner Daten im Darknet und die daraus resultierende Angst vor Missbrauch stellen einen „immateriellen Schaden“ dar.

   Hier bezieht sich das Gericht auf die inzwischen ständige Rechtsprechung des Europäischen Gerichtshofs (EuGH), der dies bereits mehrfach bestätigt hat:

   • Angst vor Phishing oder Identitätsdiebstahl ist ein ersatzfähiger Schaden.
   • Kontrollverlust über die eigenen Daten reicht ebenfalls aus.

   Damit ist klar, dass selbst „kleine“ Datenlecks teuer werden können, auch wenn sich die Schadenersatzzahlung im konkreten Fall auf 300 € beschränkt hat.

Was bedeutet das für Unternehmen?

1. Prüfen Sie Ihre Vertragskette
   Kennen Sie alle Subunternehmer? Fragen Sie bei Auftrag nach, wer tatsächlich Daten verarbeitet. Stellen Sie sicher, dass jede Stufe der Datenverarbeitung vertraglich abgesichert ist, auch wenn Sie mit Konzernunternehmen arbeiten.
2. Dokumentieren Sie
   
   • Löschungsbestätigungen einholen: Wenn Sie die Zusammenarbeit beenden, verlangen Sie schriftliche Bestätigungen, dass Daten gelöscht wurden.
   • Nicht nur die Beauftragung erfordert Dokumentation, sondern auch die Beendigung.
   • Dokumentieren Sie darüber hinaus am besten auch, wie die Auswahl von Subunternehmern vollzogen und überwacht wird.
3. Reagieren Sie schnell bei Datenlecks
   Auch wenn dieser Punkt nicht in direktem Zusammenhang mit der Auftragsverarbeitung steht: Wenn Daten gestohlen wurden, prüfen Sie, ob sie tatsächlich veröffentlicht wurden. Handeln Sie schnell. Es gilt in jedem Fall die 72-Stunden-Frist. Schnelles Handeln dürfte auf jeden Fall mögliche spätere Schadensersatzansprüche mindern.

Fazit

Die Verantwortung für die von Ihnen verarbeiteten personenbezogenen Daten endet nicht beim Auftragsverarbeiter als direkter Partner. Das Urteil zeigt: Verantwortliche haften für die gesamte Datenverarbeitungskette - auch wenn der Fehler bei einem Unterauftragsverarbeiter liegt.