Augen auf bei der Aus­wahl von IT-Dienstleistern!

Die meis­ten Unter­neh­men bedie­nen sich in der einen oder ande­ren Form IT-Dienstleistern . Die Anwen­dungs­sze­na­ri­en sind viel­fäl­tig und rei­chen vom Spei­chern von Daten in der Cloud, der Ver­wen­dung von Soft­ware in Model­len wie Software-as-a-Service bis zur Kon­fi­gu­ra­ti­on von Soft­ware durch exter­ne Dienst­leis­ter. Doch damit wer­den die daten­schutz­recht­li­chen Haf­tungs­ri­si­ken nicht voll­stän­dig aus­ge­la­gert. Aktu­el­le Urtei­le des LG Mün­chen (31 O 16606/20 vom 09.12.2021) und des LG Köln (28 O 328/21 vom 18.05.2022) zei­gen plas­tisch, wel­che Haf­tungs­ri­si­ken beim Ein­satz von IT-Dienstleistern drohen.

Sicher­heits­maß­nah­men

In bei­den Urtei­len ging es um ein Finanz­dienst­leis­tungs­un­ter­neh­men. Kun­den konn­ten dort u.a. digi­tal Geld in Wert­pa­pie­re und Akti­en inves­tie­ren. Das Unter­neh­men über­mit­tel­te einem IT-Dienstleister, mit dem es bis zum Jah­re 2015 ver­trag­li­che Bezie­hun­gen unter­hielt, Zugangs­da­ten zu einem IT-System. Die­se wur­den auch nach dem Ende der ver­trag­li­chen Bezie­hung mit dem Dienst­leis­ter nicht geän­dert und von Letz­te­rem auch nicht gelöscht. Letzt­lich führ­te ein Cyber­an­griff auf den ehe­ma­li­gen Ver­trags­part­ner dazu, dass der Angrei­fer Zugriff auf Kun­den­da­ten erhielt.

Sowohl das LG Mün­chen I als auch das LG Köln sahen in dem Nicht­än­dern des Zugangs­da­ten über einen mehr­jäh­ri­gen Zeit­raum ange­sichts der Sen­si­bi­li­tät der betrof­fe­nen Daten einen Ver­stoß gegen die DSGVO. Nach Art. 32 DSGVO hat der Ver­ant­wort­li­che geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu ergrei­fen, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten zu gewähr­leis­ten. Dar­aus fol­ge, dass der Ver­ant­wort­li­che sich nicht dar­auf ver­las­sen dür­fe, ein Dienst­leis­ter wer­de Zugangs­da­ten ord­nungs­ge­mäß löschen. Er müs­se dies kon­trol­lie­ren oder zumin­dest nach einer gewis­sen Zeit die Daten ändern. Das LG Mün­chen sprach einem Klä­ger 2.500€, das LG Köln 1.500€ an Scha­dens­er­satz für imma­te­ri­el­le Schä­den zu. In Anbe­tracht der Tat­sa­che, dass, soweit bekannt, der poten­zi­ell betrof­fe­ne Per­so­nen­kreis 33.200 Per­so­nen umfasst, dro­hen Ansprü­che in Millionenhöhe.

Über­wa­chung des Auftragsverarbeiters

Expli­zi­te Pflich­ten sieht die DSGVO zudem für die Aus­wahl und Über­wa­chung des Auf­trags­ver­ar­bei­ters vor. Um Auf­trags­ver­ar­bei­ter han­delt es sich etwa regel­mä­ßig, wenn per­so­nen­be­zo­ge­ne Daten, z.B. von Kun­den oder Beschäf­tig­ten, in der Cloud bei einem exter­nen Dienst­leis­ter ver­ar­bei­tet wer­den. Dies ist etwa der Fall, wenn ein IT-Unternehmen beauf­tragt wird, einen Exchange-Server für E‑Mails bereit­zu­stel­len. Eine Kon­stel­la­ti­on, die zahl­rei­che Unter­neh­men betrifft. Nach Art. 28 Abs. 1 DSGVO darf der Ver­ant­wort­li­che nur mit Auf­trags­ver­ar­bei­tern zusam­men­ar­bei­ten, die hin­rei­chen­de Garan­tien dafür bie­ten, ein ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten zu gewähr­leis­ten. Dar­aus folgt auch eine Über­wa­chungs­pflicht – denn die­se Pflicht gilt für die gesam­te Dau­er der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Wie rele­vant die­se Pflich­ten sind, zeig­te sich bei­spiels­wei­se im Rah­men der Hafnium-Sicherheitslücke. In sol­chen Fäl­len kann der Ver­ant­wort­li­che ver­pflich­tet sein, sich zu erkun­di­gen, ob der Auf­trags­ver­ar­bei­ter Schrit­te unter­nimmt, um bekann­te Sicher­heits­lü­cken zu schlie­ßen. Ansons­ten dro­hen auch gegen ihn Scha­dens­er­satz­an­sprü­che. Wobei in die­sem Fall Regress­an­sprü­che aus dem zugrun­de lie­gen­den Ver­trags­ver­hält­nis in Betracht kom­men.

Was folgt dar­aus für Unternehmen?

Unter­neh­men dür­fen sich nicht blind auf exter­ne IT-Dienstleister ver­las­sen. Auch wenn die­se kei­ne Auf­trags­ver­ar­bei­ter sind, aber durch Zugangs­da­ten Zugriff auf IT-Systeme erhal­ten haben, muss sicher­ge­stellt wer­den, dass die Zugriffs­mög­lich­keit nur so lan­ge wie unbe­dingt not­wen­dig besteht. Expli­zi­te Über­wa­chungs­pflich­ten sieht die DSGVO zudem bei Auf­trags­ver­ar­bei­tern vor. Kom­men Unter­neh­men ihren Pflich­ten nicht nach, dro­hen bei Sicher­heits­vor­fäl­len Scha­dens­er­satz­an­sprü­che, die bei einem gro­ßen Kreis betrof­fe­ner Per­so­nen schnell exis­tenz­be­dro­hend wer­den kön­nen. Kommt es zu einem Vor­fall, soll­ten Unter­neh­men Regress­an­sprü­che gegen IT-Dienstleister prü­fen. Hal­ten die­se kei­ne geeig­ne­ten Sicher­heits­vor­keh­run­gen ein oder küm­mern sich nicht oder unzu­rei­chend um die Besei­ti­gung von Sicher­heits­lü­cken, wer­den regel­mä­ßig Ansprü­che aus dem zugrun­de lie­gen­den Ver­trags­ver­hält­nis bestehen. Im bes­ten Fall  set­zen Unter­neh­men daten­schutz­recht­li­che Anfor­de­run­gen effek­tiv in einem Compliance-Management-System und berück­sich­tig­ten dabei auch die beson­de­ren Anfor­de­run­gen der Sup­ply Chain Cyber­se­cu­ri­ty.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.