Ignorieren Sie noch oder haften Sie schon? 🔍🤔 

Wir werden nicht müde, über die Haftung der Geschäftsführung zu informieren. Das OLG Dresden nimmt in seinem Urteil vom 15.10.2024 (Az. 4 U 940/24) ausführlich Stellung zu den Anforderungen an die Kontroll- und Überwachungspflichten von Geschäftsführungen bei der Auswahl von (externen) Auftragsverarbeitern. 

⚖️ Zur Rechtsgrundlage: Art. 28 DSGVO verpflichtet Unternehmen zur regelmäßigen Überprüfung des Auftragsverarbeiters, mithin, dass dieser die Datenschutzvorgaben einhält. Die Kontrollpflicht ergibt sich aus der Pflicht gem. Art. 28 Abs. 3 lit. h DSGVO. Erfolgt keine Kontrolle, macht sich die Geschäftsführung des Unternehmens unter Umständen gem. Art. 82 DSGVO schadensersatzpflichtig. Auch der EuGH hat in seinem Urteil vom 14.12.2023 (Az. C-340/21) bereits darauf hingewiesen, dass bei einem objektiven Verstoß gegen Datenschutzvorschriften die Beweislast für die Einhaltung der Grundsätze des Art. 32 DSGVO dem Verantwortlichen – mithin dem Geschäftsführer – obliegt.  

🆕 Das OLG Dresden wies in seinem Urteil ausdrücklich darauf hin, dass allein eine Zusage zur Datenlöschung personenbezogener Daten bei Vertragsbeendigung nicht ausreicht 🙅 Vertraglich vereinbarte Löschpflichten müssen schriftlich erfolgen und deren Umsetzung muss von der Geschäftsführung kontrolliert werden!  

➡️ Kurz gesagt: Das aktuelle Urteil zeigt nochmals deutlich, dass Geschäftsführer die volle Verantwortung sowohl für die Auswahl als auch das Handeln und Unterlassen ihrer (externen) Auftragsverarbeiter tragen und demnach alle Sicherheitsvorkehrungen und Prozesse überwachen und kontrollieren müssen! 💻🔍 Im Beratungsalltag stellt b-pi sec immer wieder fatales Unwissen seitens Geschäftsführungen hinsichtlich ihrer IT-Sicherheit fest. Den Anforderungen an die Kontroll- und Überwachungspflichten gerecht zu werden und nicht in die Haftung kommen, ist weniger aufwendig und schwierig als oftmals befürchtet. Wir helfen Ihnen gerne weiter.