Auftragsverarbeitung wird in vielen Unternehmen noch immer als Nebensache behandelt: Vertrag bestätigen, ablegen, erledigt. Genau diese Haltung ist im Ernstfall ein Problem. Wird ein Auftragsverarbeiter kompromittiert, wird aus einem operativen IT-Thema sofort ein rechtliches und wirtschaftliches Mehrfachrisiko – nicht nur beim Dienstleister, sondern vor allem beim Verantwortlichen.
Angriffe auf Dienstleister sind normal
Das Ausgangsszenario ist typisch: Ein externer Dienstleister wird angegriffen, häufig wegen unzureichender technischer oder organisatorischer Maßnahmen. Es kommt zu einem umfangreichen Datenabfluss, anschließend folgt die Drohung mit Veröffentlichung oder sonstiger Verwertung.
Genau dieses Muster zeigt derzeit der Fall Portraitbox: Nach bisherigem Stand führte eine Schwachstelle in der Infrastruktur offenbar zum Abfluss tausender Kundendaten, darunter Fotos und Portraitaufnahmen, auch von Kindern, verbunden mit einer Lösegeldforderung und Veröffentlichungsdrohung.
Das ist kein exotischer Ausnahmefall, sondern inzwischen ein prototypischer Ablauf.
Verantwortlich bleibt der Verantwortliche
Der rechtliche Knackpunkt ist die Zuordnung der Verantwortung. Art. 28 DSGVO verpflichtet den Verantwortlichen, nur solche Auftragsverarbeiter einzusetzen, die geeignete Garantien für ein angemessenes Sicherheitsniveau bieten. Diese Auswahl muss nachweisbar erfolgen und darf sich nicht in einer einmaligen Prüfung erschöpfen. Auch die laufende Kontrolle ist zu dokumentieren.
Entscheidend ist: Die eigene Verantwortung endet nicht mit dem Hinweis, den Angriff selbst weder verursacht noch technisch beherrscht zu haben. Die Haftung knüpft an die Rolle als Verantwortlicher und an die Zurechnung der ausgelagerten Verarbeitung an.
Der reflexartige Verweis auf den bösen Dienstleister greift deshalb zu kurz. Auch wenn das Unternehmen den Vorfall nicht selbst verursacht hat, entfällt die Außenhaftung nicht automatisch. Im Streitfall geht es nicht primär um persönliche Schuld, sondern darum, ob der Verantwortliche für die ausgelagerte Verarbeitung rechtlich einzustehen hat. Gerade darin liegt die Schärfe des Risikos: Man kann den Angriff nicht selbst verschuldet haben und dennoch von Betroffenen, Aufsichtsbehörden oder Gerichten in voller Härte in Anspruch genommen werden.
Das Risiko der vielen Schadensersatzansprüche
Die eigentliche Eskalation entsteht oft nicht technisch, sondern quantitativ. Datenschutzvorfälle betreffen regelmäßig viele Personen. Sind missbrauchsanfällige oder sensible Daten betroffen, entsteht schnell ein standardisiertes Massenschadensszenario. Jeder Betroffene kann einen eigenen Schadensersatzanspruch geltend machen, auch wegen immaterieller Schäden. Schon die begründete Angst vor künftigem Missbrauch kann in dieser Hinsicht relevant werden. Einzelne Ansprüche mögen überschaubar sein; die Summe aus tausenden Ansprüchen ist es nicht.
Hinzu kommt die haftungsrechtliche Mechanik. Beteiligte an der Verarbeitung haften nach außen gesamtschuldnerisch. Betroffene können sich also den Schuldner aussuchen, typischerweise den wirtschaftlich stärkeren oder leichter greifbaren. Der mögliche Innenausgleich hilft nur nachgelagert und nur dann, wenn der andere Beteiligte überhaupt noch leistungsfähig ist. Nach außen steht das auftraggebende Unternehmen daher oft selbst im Feuer.
Verschärft wird das Risiko dadurch, dass viele Dienstleister gleichzeitig für zahlreiche Kunden tätig sind. Im Fall Portraitbox soll es um Hunderte, wenn nicht Tausende Fotografen im deutschsprachigen Raum gehen; natürlich alle mit jeweils eigenen Kunden, deren Fotos, Adressen und weitere Daten nun in der Hand von Kriminellen sind.
Ein einzelner Sicherheitsvorfall erzeugt so nicht nur einen Anspruch, sondern viele parallele Haftungsstränge. Die wirtschaftliche Leistungsfähigkeit des Auftragsverarbeiters kann in solchen Lagen sehr schnell erschöpft sein. Dann haftet der Verantwortliche nach außen weiter, während der theoretisch mögliche Innenregress faktisch leerläuft. Ob der Verantwortliche dann selbst überlebt, ist eine eigene Frage.
Missbräuchliche KI-Nutzung steigert Risiko zusätzlich
Hinzu kommt eine Risikodimension, die in der Praxis noch oft unterschätzt wird. Daten, insbesondere Fotos, sind nicht mehr nur statisch. KI wird zunehmend missbräuchlich genutzt, um Betrug zu ermöglichen oder Inhalte für Erpressung zu erzeugen. Stichwort: Deepfakes. Der Schaden droht deshalb nicht nur durch den Abfluss selbst, sondern auch durch die mögliche Weiterverwendung der Daten.
Gerade bei Portrait- oder Kinderfotos sind die Gefahren erheblich. Es geht nicht mehr nur um Datenschutz im klassischen Sinn, sondern um langfristige und kaum kontrollierbare Missbrauchsszenarien. Das ist rechtlich relevant, weil sich der Maßstab der angemessenen Maßnahmen risikobasiert bestimmt. Sind solche Missbrauchsformen realistisch, müssen sie bereits bei Auswahl und Kontrolle des Dienstleisters berücksichtigt werden.
Der Maßstab ist dann besonders streng und das erforderliche Schutzniveau entsprechend hoch.
Persönliche Verantwortung der Geschäftsführung droht
Spätestens hier wird deutlich, dass es nicht mehr nur um Datenschutz, sondern um ordnungsgemäße Unternehmensführung geht. Die Betrachtung endet daher nicht bei der Außenhaftung des Unternehmens. In solchen Konstellationen stellt sich regelmäßig auch die Frage nach der persönlichen Verantwortlichkeit der Geschäftsführung. Sie muss Risiken erkennen, Auswahlentscheidungen nachvollziehbar treffen und wirksame Kontrollmechanismen etablieren. Werden erkennbare Sicherheits-, Auswahl- oder Überwachungsdefizite ignoriert, kann daraus neben einem Problem der Gesellschaft auch ein persönliches Haftungsthema werden.
Kommt es infolge solcher Pflichtverletzungen zu Bußgeldern, Schadensersatzforderungen, Rechtsverfolgungskosten oder sonstigen Vermögensnachteilen, kann dem Unternehmen ein eigener Ersatzanspruch gegen die Geschäftsführung zustehen. Juristisch geht es dann nicht mehr nur um den Datenschutzvorfall, sondern um die Frage, ob Organpflichten verletzt und dadurch eigenständige Schäden der Gesellschaft verursacht wurden. Gerade bei dokumentierten Warnsignalen, schwacher Dienstleisterauswahl oder fehlender Kontrolle lässt sich das kaum mit Pech oder Fremdverschulden erklären.
Heikel wird es zusätzlich, wenn solche Ansprüche im Raum stehen, aber aus Bequemlichkeit, persönlicher Nähe oder Rücksicht nicht verfolgt werden. Auch die Nichtdurchsetzung naheliegender Ersatzansprüche kann selbst eine Pflichtverletzung sein. Wer erkennbare Vermögensinteressen der Gesellschaft bewusst unberücksichtigt lässt, bewegt sich rechtlich in unsicherem Raum. Je nach Sachverhalt kann das nicht nur zivilrechtliche, sondern auch strafrechtliche Relevanz haben; in Einzelfällen kommen Untreuegesichtspunkte in Betracht.
Wer schließlich in solchen Lagen reflexhaft auf seine D&O-Versicherung vertraut, kann die nächste Überraschung erleben. Gerade in kritischen Konstellationen greift die Versicherung oft nicht oder jedenfalls nicht verlässlich. Im Raum stehen dann wissentliche Pflichtverletzungen, bewusste Missachtung offensichtlicher Risiken oder vorsatznahe Unterlassungen. Solche Fallgruppen sind regelmäßig vom Versicherungsschutz ausgenommen oder führen zumindest zu erheblichen Deckungsstreitigkeiten. Wer hier voll auf den Versicherer setzt, baut seine Verteidigung leicht auf Sand.
Fazit: Dienstleisterauswahl und -kontrolle nicht auf die leichte Schulter nehmen
Der Fall Portraitbox sowie zahlreiche ähnlich gelagerte kleine oder größere Fälle machen deutlich, dass die Auswahl und die regelmäßige (!) Kontrolle von Auftragsverarbeitern wichtiger ist denn je.
Nur wer nachweisen kann, dass alle Risiken bewertet und behandelt wurden, steht zumindest rechtlich auf der sicheren Seite. Ob es bei dem im Zweifelsfall zahlungsunfähigen Dienstleister dann noch etwas zu holen gibt, bleibt freilich fraglich.