Augen auf bei der Auswahl von IT-Dienstleistern!

Stefan Hessel

Die meisten Unternehmen bedienen sich in der einen oder anderen Form IT-Dienstleistern . Die Anwendungsszenarien sind vielfältig und reichen vom Speichern von Daten in der Cloud, der Verwendung von Software in Modellen wie Software-as-a-Service bis zur Konfiguration von Software durch externe Dienstleister. Doch damit werden die datenschutzrechtlichen Haftungsrisiken nicht vollständig ausgelagert. Aktuelle Urteile des LG München (31 O 16606/20 vom 09.12.2021) und des LG Köln (28 O 328/21 vom 18.05.2022) zeigen plastisch, welche Haftungsrisiken beim Einsatz von IT-Dienstleistern drohen.

Sicherheitsmaßnahmen

In beiden Urteilen ging es um ein Finanzdienstleistungsunternehmen. Kunden konnten dort u.a. digital Geld in Wertpapiere und Aktien investieren. Das Unternehmen übermittelte einem IT-Dienstleister, mit dem es bis zum Jahre 2015 vertragliche Beziehungen unterhielt, Zugangsdaten zu einem IT-System. Diese wurden auch nach dem Ende der vertraglichen Beziehung mit dem Dienstleister nicht geändert und von Letzterem auch nicht gelöscht. Letztlich führte ein Cyberangriff auf den ehemaligen Vertragspartner dazu, dass der Angreifer Zugriff auf Kundendaten erhielt.

Sowohl das LG München I als auch das LG Köln sahen in dem Nichtändern des Zugangsdaten über einen mehrjährigen Zeitraum angesichts der Sensibilität der betroffenen Daten einen Verstoß gegen die DSGVO. Nach Art. 32 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Daraus folge, dass der Verantwortliche sich nicht darauf verlassen dürfe, ein Dienstleister werde Zugangsdaten ordnungsgemäß löschen. Er müsse dies kontrollieren oder zumindest nach einer gewissen Zeit die Daten ändern. Das LG München sprach einem Kläger 2.500€, das LG Köln 1.500€ an Schadensersatz für immaterielle Schäden zu. In Anbetracht der Tatsache, dass, soweit bekannt, der potenziell betroffene Personenkreis 33.200 Personen umfasst, drohen Ansprüche in Millionenhöhe.

Überwachung des Auftragsverarbeiters

Explizite Pflichten sieht die DSGVO zudem für die Auswahl und Überwachung des Auftragsverarbeiters vor. Um Auftragsverarbeiter handelt es sich etwa regelmäßig, wenn personenbezogene Daten, z.B. von Kunden oder Beschäftigten, in der Cloud bei einem externen Dienstleister verarbeitet werden. Dies ist etwa der Fall, wenn ein IT-Unternehmen beauftragt wird, einen Exchange-Server für E-Mails bereitzustellen. Eine Konstellation, die zahlreiche Unternehmen betrifft. Nach Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Daraus folgt auch eine Überwachungspflicht – denn diese Pflicht gilt für die gesamte Dauer der Verarbeitung personenbezogener Daten. Wie relevant diese Pflichten sind, zeigte sich beispielsweise im Rahmen der Hafnium-Sicherheitslücke. In solchen Fällen kann der Verantwortliche verpflichtet sein, sich zu erkundigen, ob der Auftragsverarbeiter Schritte unternimmt, um bekannte Sicherheitslücken zu schließen. Ansonsten drohen auch gegen ihn Schadensersatzansprüche. Wobei in diesem Fall Regressansprüche aus dem zugrunde liegenden Vertragsverhältnis in Betracht kommen.

Was folgt daraus für Unternehmen?

Unternehmen dürfen sich nicht blind auf externe IT-Dienstleister verlassen. Auch wenn diese keine Auftragsverarbeiter sind, aber durch Zugangsdaten Zugriff auf IT-Systeme erhalten haben, muss sichergestellt werden, dass die Zugriffsmöglichkeit nur so lange wie unbedingt notwendig besteht. Explizite Überwachungspflichten sieht die DSGVO zudem bei Auftragsverarbeitern vor. Kommen Unternehmen ihren Pflichten nicht nach, drohen bei Sicherheitsvorfällen Schadensersatzansprüche, die bei einem großen Kreis betroffener Personen schnell existenzbedrohend werden können. Kommt es zu einem Vorfall, sollten Unternehmen Regressansprüche gegen IT-Dienstleister prüfen. Halten diese keine geeigneten Sicherheitsvorkehrungen ein oder kümmern sich nicht oder unzureichend um die Beseitigung von Sicherheitslücken, werden regelmäßig Ansprüche aus dem zugrunde liegenden Vertragsverhältnis bestehen. Im besten Fall  setzen Unternehmen datenschutzrechtliche Anforderungen effektiv in einem Compliance-Management-System und berücksichtigten dabei auch die besonderen Anforderungen der Supply Chain Cybersecurity.

[June 2022]