Der Verantwortliche haftet für seine Auf-tragsverarbeiter und deren Mitarbeiter, wenn erst durch die vom Verantwortlichen übertragene Tätigkeit die Gelegenheit gegeben wurde, auf die Rechtsgüter der betroffenen Person einzuwirken.

LG Köln 07.01.2025, 14 O 472/23. Die Klägerin fordert von der Betreiberin eines Musikstreamingdienstes Schaden-ersatz aufgrund einer Verletzung des Schutzes personenbezogener Daten, bei dem durch einen Cyberangriff auf einen Unterauftragsverarbeiter viele Nutzer-daten abgerufen und in der Folge veröffentlicht wurden. Die Klägerin argumentiert, ihr sei dadurch ein wesentlicher Kontrollverlust entstanden; ihr stehe immaterieller Schaden zu.

Die Betreiberin bestreitet, dass die Klägerin von dem Vorfall betroffen ist. Sie habe ferner alle notwendigen Maßnahmen zum Schutz der Daten gesetzt. Die Auftragsverarbeitung sei bereits vor dem Vorfall beendet worden. Es sei ihr versichert worden, dass alle Nutzerdaten gelöscht wurden.

Vorhalt muss konkretisiert sein.

Die an Art 32 Abs 1 EU-DSGVO angelehnte Formulierung der „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist für sich betrachtet zu unbestimmt.

Auftragsverarbeiterexzess als Ausweg.

Missachtet der Auftragsverarbeiter eine recht-mäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür. Eine Haftungsfreistellung wäre nur denkbar, wenn eigene Sorgfaltspflichten gewahrt und der Auftragsdatenverarbeiter selbst unredlich gehandelt und überlassene Daten deshalb nicht gelöscht hat, um sie selbst später weiter zu veräußern oder für eigenen Zwecke zu verarbeiten (Auftragsverarbeiterexzess).

Beweispflicht des Kontrollverlusts.

Die Verantwortliche muss nachweisen, dass der Kontrollverlust bereits durch anderweitige, frühere Datenschutzvorfälle eingetreten ist.