Das Oberlandesgericht Dresden hat ein spannendes Urteil gefällt, das für alle im Marketing von Bedeutung ist. Ein Nutzer des Streaming-Dienstes Deezer klagte auf Schadensersatz, weil seine Daten durch ein Datenleck öffentlich wurden und er daraufhin Spam-Mails erhielt. Die Klage wurde abgewiesen – und damit wird ein wichtiger Punkt klar: Der bloße Erhalt von Spam-Mails nach einem Datenleck reicht nicht aus, um einen Schadensersatzanspruch gemäß DSGVO geltend zu machen.
Der Auftragsverarbeiter im Fokus
Ein zentraler Aspekt des Urteils betrifft die Rolle des Auftragsverarbeiters. Deezer hatte einen externen Dienstleister beauftragt, der seine Pflichten im Zusammenhang mit der Löschung von Daten nach Vertragsende nicht korrekt erfüllte. Nach Vertragsbeendigung teilte der Dienstleister zunächst mit, die Daten würden am Folgetag gelöscht werden. Tatsächlich bestätigte er aber erst Jahre später, dass die Daten entfernt wurden. Während dieser Zeit wurden die Daten offenbar kompromittiert und gelangten durch einen Hacking-Angriff ins Darknet.
Das Gericht stellte klar, dass der Verantwortliche – in diesem Fall Deezer – auch nach Vertragsende eine umfassende Pflicht zur Kontrolle des Auftragsverarbeiters hat. Diese Kontrollpflicht umfasst insbesondere die ordnungsgemäße Löschung aller gespeicherten personenbezogenen Daten. Es reicht also nicht aus, sich auf die bloße Ankündigung eines Dienstleisters zu verlassen. Deezer hätte sicherstellen müssen, dass der Dienstleister tatsächlich die Löschung vornimmt und eine entsprechende Bestätigung einholt. Dabei wird auch betont, dass eine einfache Löschungsankündigung nicht genügt. Eine ausführliche, schriftliche Bestätigung mit detaillierter Auflistung der gelöschten Daten ist erforderlich, um den Anforderungen der DSGVO gerecht zu werden.
Das Gericht betonte zudem, dass der Verantwortliche nicht nur die Auswahl eines geeigneten Auftragsverarbeiters sorgfältig treffen muss, sondern auch während und nach der Vertragslaufzeit eine fortlaufende Überwachung sicherstellen muss. Das umfasst insbesondere auch die Pflicht, eine ausdrückliche Bestätigung über die Löschung der Daten innerhalb eines festgelegten Zeitraums einzufordern. Die Anforderungen an diese Kontrollpflichten steigen, wenn besonders viele oder sensible Daten verarbeitet werden, wie es hier der Fall war.
Deezer hat diese Kontrollpflichten laut Urteil in mehreren Punkten verletzt: Es erfolgte keine rechtzeitige Nachfrage zur Bestätigung der Datenlöschung, und es wurde auch keine Vor-Ort-Kontrolle durchgeführt, die nach dem Vertrag möglich gewesen wäre. Damit trägt Deezer letztlich die Verantwortung für den Datenschutzverstoß des Dienstleisters, weil keine ausreichenden Maßnahmen zur Kontrolle des Löschvorgangs getroffen wurden.
Warum musste Deezer dennoch keinen Schadensersatz zahlen?
Obwohl das Gericht feststellte, dass Deezer gegen seine Pflichten zur Überwachung des Auftragsverarbeiters verstoßen hat, wurde die Klage des betroffenen Nutzers dennoch abgewiesen. Der Grund dafür liegt in der fehlenden Nachweisbarkeit eines tatsächlich erlittenen Schadens.
Nach Art. 82 DSGVO ist für einen Schadensersatzanspruch nicht nur ein Verstoß erforderlich, sondern auch ein konkreter, nachweisbarer Schaden. Das Gericht urteilte, dass der bloße Erhalt von Spam-Mails nach einem Datenleck keinen immateriellen Schaden darstellt, der eine Entschädigung rechtfertigt. Der Kläger konnte nicht nachweisen, dass ihm durch die veröffentlichten Daten ein tatsächlicher und spürbarer emotionaler oder materieller Nachteil entstanden ist.
Der Europäische Gerichtshof hat in früheren Urteilen klargestellt, dass ein Schaden tatsächlich eingetreten und sicher nachweisbar sein muss. Ein reines Unwohlsein oder die abstrakte Sorge um die zukünftige Nutzung der eigenen Daten genügt nicht. Auch der Empfang von Spam-Mails wurde als alltägliches Risiko eingestuft, dem viele Menschen ausgesetzt sind, unabhängig davon, ob ihre Daten von einem Datenleck betroffen waren. Ein konkreter Missbrauch der Daten, wie etwa ein Identitätsdiebstahl, konnte ebenfalls nicht nachgewiesen werden.
Das Gericht entschied daher, dass Deezer zwar Pflichten verletzt hat, diese Verstöße jedoch nicht kausal zu einem konkreten Schaden geführt haben. Ohne einen solchen nachweisbaren Schaden besteht kein Anspruch auf Schadensersatz weswegen die Klage abgewiesen wurde.
Was heißt das für die Zusammenarbeit im Marketing?
Für Marketingleute bedeutet dies, dass sie bei der Zusammenarbeit mit Dienstleistern nicht nur auf die Vertragserfüllung achten müssen, sondern auch auf das ordnungsgemäße Ende der Datenverarbeitung. Kontrollieren Sie genau, ob Dienstleister nach Vertragsende personenbezogene Daten sicher löschen und verlangen Sie entsprechende Nachweise. Es reicht nicht aus, dass der Dienstleister eine Löschung ankündigt – verlangen Sie eine Bestätigung, die den Anforderungen der DSGVO entspricht. Die Verantwortung bleibt letztlich bei Ihnen, auch wenn Sie externe Partner einsetzen.
Fazit
Wenn bei Ihnen Daten verloren gehen, bedeutet das nicht automatisch Schadensersatzpflichten, wenn die Betroffenen lediglich Spam erhalten. Das mindert nicht die Bedeutung der Datensicherheit, zeigt aber, dass emotionale Belastungen wie Sorge vor Identitätsdiebstahl oder Ärger über Spam-Mails allein nicht ausreichen, um Ansprüche geltend zu machen.
Haben Sie Ihre Dienstleister im Blick? Eine gute Überwachung hilft, Risiken zu minimieren und rechtlich auf der sicheren Seite zu sein!