• 1060 Wien, Mariahilfer Straße 35/28
  • (+43) 664 416 18 81
  • contact@rekono.io

© 2025 rekono.io – sammeln, wissen, lehren, lösen

Entscheidung des Tages vom 10.10.2024

Fehlender Sub-Auftragsverarbeitervertrag schafft Haftung

Germany. LG Lübeck. Im Streit steht ein Datenleck bei der Streaming-Plattform Deezer. Der Kläger, ein Nutzer dieser Plattform, forderte Schadenersatz aufgrund der Veröffentlichung seiner personenbezogenen Daten im Darknet, nachdem diese im Zuge eines Hackerangriffs bei Deezer erbeutet worden waren.

Genauer betrachtet soll Deezer, als Verantwortlicher, personenbezogene Daten dadurch unzureichend geschützt haben, dass die Übermittlung vom Auftragsverarbeiter an einen Sub-Auftragsverarbeiter, ohne Sub-Auftragsverarbeitervereinbarung erfolgt ist. Nach Ansicht des Klägers wäre der Datenverlust vermeidbar gewesen, wenn Deezer ausreichende technische und organisatorische Maßnahmen zur Datensicherheit in der gesamten Verarbeitungskette getroffen hätte. Deezer wendete ein, alle erforderlichen Maßnahmen gesetzt zu haben. Ferner sei die Zusammenarbeit mit dem Auftragsverarbeiter und damit auch mit dem Sub-Auftragsverarbeiter zum Zeitpunkt des Hackerangriffs bereits beendet gewesen und hätten die entsprechenden Daten bereits gelöscht gewesen sein sollen.

Durch die Veröffentlichung der Daten im Darknet sei der Kläger verschiedenen Risiken ausgesetzt. Er befürchte Identitätsdiebstahl, Phishing und anderen Formen des Datenmissbrauchs. Das habe erhebliche Ängste und Sorgen bei ihm ausgelöst. Hierfür begehrte er insbesondere immateriellen Schadensersatz von zumindest EUR 3.000. Zudem sollte Deezer Auskunft darüber erteilen, welche Daten zu welchem Zeitpunkt vom Auftragsverarbeiter verarbeitet wurden.

Am Ende wurden es EUR 350 Schadenersatz. Dies unter anderem aufgrund der folgenden Erwägungen:

  • Fehlt es zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter an einem Auftragsverarbeitervertrag und gibt der Verantwortliche dennoch personenbezogene Daten an den Unterauftragsverarbeiter heraus, so ist diese Übermittlung der Daten rechtswidrig und stellt einen Verstoß gegen die EU-DSGVO dar, der bei Vorliegen der weiteren Voraussetzungen des Art 82 EU-DSGVO Schadenersatzansprüche begründen kann.
  • Hierfür ist nicht zwingend vorausgesetzt, dass der Verantwortliche selbst an dem letztlich schadensauslösenden Vorgang direkt mitgewirkt hat. Vielmehr genügt es, wenn er im Sinne einer conditio sine qua non an der Vorgangsreihe beteiligt war, die letztlich die schädigende Handlung ermöglicht hat.
  • Erfolgte die Herausgabe von personenbezogenen Daten in fahrlässiger Weise, haftet damit der Verantwortliche auch dann, wenn er an dem unmittelbar schadensauslösenden Vorgang nicht selbst mitgewirkt hat.
  • Eine Exkulpation setzt voraus, dass dem Verantwortlichen auch der Entlastungsbeweis für den eigenen Verursachungsbeitrag gelingt, mit dem er in der Verarbeitungskette noch beteiligt war.
  • Hat die Verantwortliche es unterlassen, die entsprechenden Auftragsverarbeiterverträge zu schließen bzw deren Abschluss durch Auftragsverarbeiter zu gewährleisten, besteht die sekundäre Darlegungslast, dass dennoch und entgegen des entsprechenden Anscheins durchgängig ein den Vorgaben der EU-DSGVO hinreichendes Schutzniveau aufrechterhalten wurde.
  • Für eine Unterbrechung der Kausalität muss die Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter zumindest nach den eigenen Maßstäben ordnungsgemäß beendet worden sein und hat der Verantwortliche zumindest nach eigenen Maßstäben nicht mehr damit zu rechnen, dass noch schutzbedürftige Daten in der Verarbeitungskette vorhanden sind.

Erhalten Sie die Entscheidung des Tages täglich und kostenlos mit Quellenzitat, Direktlink zur Entscheidung und den Rekono-Leitsätzen per E-Mail.

Zur Rekono EdTplus jetzt kostenlos anmelden
Letzte Entscheidung des Tages
Nächste Entscheidung des Tages
DatenschutzinformationAGB & LizenzKontaktImpressum