Ausgangssituation
Kein digitales Geschäftsmodell kommt ohne sogenannte Auftragsverarbeiter aus. Auftragsverarbeiter übernehmen unterschiedliche Leistungen wie etwa Hosting und verarbeiten hierbei auch personenbezogene Daten. Verantwortlich für die Datenverarbeitung bleibt allerdings der Auftraggeber, da die Datenverarbeitung durch den Auftragsverarbeiter rein weisungsgebunden erfolgt und dieser nur „verlängerter Arm“ des verantwortlichen Unternehmens ist.
Das verantwortliche Unternehmen und der Auftragsverarbeiter schließen hierzu einen sogenannten Vertrag zur Auftragsverarbeitung ab. Regelmäßig ist ein solcher eine Anlage zu dem eigentlichen Hauptvertrag. Der Vertrag zur Auftragsverarbeitung muss entsprechend der gesetzlichen Vorgaben auch eine Regelung enthalten, dass nach Abschluss der Verarbeitungsleistungen, vorbehaltlich von Aufbewahrungspflichten, alle personenbezogenen Daten entweder zu löschen oder zurückzugeben sind.
Entscheidung des BGH
Ein Unternehmen setzte einen Auftragsverarbeiter ein und beendete die Zusammenarbeit. Der Auftragsverarbeiter teilte mit, dass personenbezogene Daten bzgl. „your site and all the data on the site“ gelöscht werden. Die Löschung unterblieb und personenbezogene Daten wurden im Darknet veröffentlicht.
Der BGH (Urteil vom 11.11.2025 – VI ZR 396/24) hat entschieden, dass das Unternehmen trotz der Mitteilung des Auftragsverarbeiters für den immateriellen Schaden einzustehen hat, der dem Kläger entstanden ist. Denn das verantwortliche Unternehmen hätte nach den Umständen des Einzelfalls das Erforderliche dazu beizutragen müssen, dass sichergestellt ist, dass die personenbezogenen Daten tatsächlich gelöscht werden. Im vorliegenden Fall hat sich das Unternehmen nur mit der Ankündigung der Löschung begnügt und nicht nachgehakt, ob es tatsächlich zur Löschung kam.
Praxistipp
Neben der klaren Festlegung entsprechender Löschpflichten im Vertrag zur Auftragsverarbeitung sollten verantwortliche Unternehmen nachhaken und sich zumindest explizit bestätigen lassen, dass Auftragsverarbeiter tatsächlich über keine personenbezogenen Daten aus dem Auftragsverhältnis mehr verfügen. Was im Einzelfall gegebenenfalls erforderlich ist, bestimmt sich nach der Art der Verarbeitung.
Nur durch entsprechende Kontrolle der Auftragsverarbeiter kann vermieden werden, dass es Jahre nach Ende der vertraglichen Beziehungen zu einer Haftung kommt.