Schadenersatz  ·  27. November 2025

BGH zu Art 82 DSGVO: Löschungspflichten nach Ende der Auftragsverarbeitung und immaterieller Schaden bei Darknet-Leak

Behörde: Bundesgerichtshof (VI. Zivilsenat)
Datum: 11. November 2025
Geschäftszahl: VI ZR 396/24

 

Rechtssatz (kurz):

Verantwortliche müssen beim Ende einer Auftragsverarbeitung aktiv sicherstellen, dass beim Auftragsverarbeiter keine personenbezogenen Daten mehr verbleiben. Bleiben Daten dort, werden abgegriffen und im Darknet angeboten, liegt ein immaterieller Schaden nach Art. 82 DSGVO vor – auch wenn die Daten schon früher einmal gehackt wurden.

 

 

 

Sachverhalt

 

Die Beklagte ist Betreiberin des Online-Musikstreamingdienstes „D“ mit Sitz in Frankreich. Sie setzte bis 1. Dezember 2019 das Unternehmen „O“ als externen Auftragsverarbeiter ein. Am 30. November 2019 teilte O per E-Mail mit, dass die Webseite der Beklagten und „all the data on the site“ am Folgetag gelöscht würden. Eine Bestätigung, dass die Löschung tatsächlich erfolgt sei, wurde jedoch zunächst nicht erteilt.

Später stellte sich heraus: Die Daten waren keineswegs gelöscht worden. Vielmehr hatten Mitarbeiter von O die Produktionsdaten in eine Testumgebung verschoben. Von dort wurden sie entweder von Hackern erbeutet oder von Mitarbeitern unbefugt weitergegeben. Seit November 2022 wurden Datensätze von Nutzern des Streamingdienstes im Darknet zum Verkauf angeboten – aus dem Jahr 2019 stammend.

Die Beklagte informierte die Betroffenen nach Bekanntwerden des Vorfalls. Beim Kläger – Nutzer des Dienstes – waren folgende Daten betroffen:

 

  • Vor- und Nachname

  • Geschlecht

  • E-Mail-Adresse

  • Sprache

  • Registrierungsdatum

 

Der Kläger machte immateriellen Schadensersatz nach Art. 82 DSGVO  geltend. Er trage seit Bekanntwerden des Datenlecks Sorgen um Identitätsdiebstahl, Phishing, unerwünschte Werbeanrufe und Werbemails. Außerdem verlangte er die Feststellung, dass die Beklagte verpflichtet sei, alle künftigen materiellen Schäden aus der unbefugten Veröffentlichung seiner Daten zu ersetzen, sowie Ersatz außergerichtlicher Rechtsanwaltskosten. Das Landgericht wies die Klage ab, das OLG Dresden bestätigte: Zwar habe die Beklagte Überwachungspflichten gegenüber O verletzt, ein immaterieller Schaden sei aber nicht substantiiert dargelegt; die Befürchtungen des Klägers seien alltägliche Unannehmlichkeiten des Online-Lebens. Zudem sei seine E-Mail-Adresse bereits zuvor in anderen Datenpannen aufgetaucht.

 

Der BGH hob das Urteil teilweise auf und verwies die Sache zur neuen Entscheidung an das OLG zurück.

 

 

 

 

Rechtliche Begründung des BGH

 

 

Eigener DSGVO-Verstoß der Beklagten: Pflicht zur aktiven Löschkontrolle

 

 

Der BGH stellt klar: Der Verantwortliche bleibt auch bei Einsatz eines Auftragsverarbeiters „Herr der Verarbeitung“. Er kann seine datenschutzrechtlichen Pflichten nicht auf den Auftragsverarbeiter „abwälzen“.

 

Kernpunkte:

 

  • Beim Ende einer Auftragsverarbeitung muss der Verantwortliche sicherstellen,

    • dass beim Auftragsverarbeiter keine personenbezogenen Daten mehr verbleiben, die ihm zur Auftragsdurchführung überlassen wurden;

    • dass – vorbehaltlich gesetzlicher Aufbewahrungspflichten – die Daten entweder zurückgegeben oder gelöscht werden und Kopien gelöscht sind - Art. 28 Abs. 3 lit. g DSGVO

 

 

Entscheidend:


Der Verantwortliche darf sich nicht damit begnügen, einen Vertrag nach Art. 28 DSGVO

zu schließen und eine Löschung nur „theoretisch“ zu vereinbaren. Er muss das Erforderliche nach den Umständen des Einzelfalls beitragen, damit es bei Auftragsende tatsächlich zur Rückgabe/Löschung kommt.

 

Diese Pflicht leitet der BGH insbesondere ab aus:

 

 

Im konkreten Fall:

 

  • Es gab vertragliche Lösch- und Rückgaberegeln sowie eine Pflicht des Auftragsverarbeiters, die vollständige Löschung innerhalb von 21 Tagen nach Auftragsende schriftlich zu bestätigen.

  • O kündigte lediglich per E-Mail an, dass „Site und alle Daten“ gelöscht würden – eine Bestätigung einer tatsächlich vollständigen Löschung aller Daten und Kopien blieb aus.

  • Die Beklagte hätte spätestens nach Ablauf der 21-Tage-Frist aktiv eine Löschbestätigung einfordern müssen. Ihre Nachfrage im Jahr 2023 – also mehr als drei Jahre nach Auftragsende und erst nach Bekanntwerden des Vorfalls – war deutlich verspätet.

Damit liegt ein Verstoß gegen Art. 5Art. 28 und Art. 32 DSGVO vor, der eine unzulässige Verarbeitung (fortgesetzte Speicherung) begründet.

 

 

Keine Entlastung nach Art. 82 Abs. 3 DSGVO

 

Art. 82 DSGVO sieht eine Haftung für vermutetes Verschulden vor; den Entlastungsnachweis trägt der Verantwortliche. Er muss zeigen, dass er in keinerlei Hinsicht für den schädigenden Umstand verantwortlich ist.

 

Da der Beklagten ein eigener – zumindest leicht fahrlässiger – Pflichtenverstoß anzulasten ist (unterlassene Löschkontrolle), kann sie sich nicht dadurch exkulpieren, dass:

 

  • der Auftragsverarbeiter vertragswidrig gehandelt hat oder

  • Hacker den Angriff verübt haben.

Der BGH folgt dem OLG darin, dass anzunehmen ist, O hätte auf eine rechtzeitige Nachfrage zur Löschung reagiert. Dann wären die Daten nicht mehr vorhanden gewesen und hätten nicht abgegriffen werden können. Die Pflichtverletzung der Beklagten war daher mitursächlich für den Datenschutzvorfall.

 

 

Immaterieller Schaden:
Kontrollverlust, Darknet-Angebot und begründete Befürchtungen

 


Der BGH knüpft an die EuGH-Rechtsprechung an:

 

  • Ein Verstoß gegen die DSGVO allein genügt für Art. 82 nicht; es braucht einen Schaden.

  • Es gibt aber keine Bagatellgrenze – die Einführung einer „Erheblichkeitsschwelle“ ist unionsrechtswidrig.

Bereits früher hat der BGH entschieden, dass der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann (Facebook-Scraping-Fälle).

 

Hier geht es noch weiter:

 

  1. Missbräuchliche Verwendung im Darknet

    • Die Daten des Klägers (Name, E-Mail, etc.) wurden nicht nur unbefugt gespeichert, sondern später im Darknet verkauft.

    • Spätestens mit diesem Darknet-Angebot ist nach Auffassung des BGH ein immaterieller Schaden eingetreten.

  1. Begründete Befürchtung des Klägers

    • Der Kläger fürchtete u.a. Spam- und Phishing-Mails, Identitätsdiebstahl und sonstigen Missbrauch seiner Daten.

    • Der EuGH hat klargestellt: Die begründete Befürchtung einer missbräuchlichen Verwendung kann „für sich genommen“ einen immateriellen Schaden darstellen, sofern die negativen Folgen (z.B. Sorgen, Stress) nachgewiesen und nicht rein hypothetisch sind.

    • Werden Name und E-Mail-Adresse im Darknet gehandelt, ist es „sehr wahrscheinlich“, dass sie für betrügerische Mails eingesetzt werden. Die Befürchtungen des Klägers sind daher objektiv nachvollziehbar.

 

Das OLG hatte argumentiert, es handle sich um „alltägliche“ Sorgen und der Kläger habe seine E-Mail-Adresse nicht geändert, also sei der Schaden unerheblich. Der BGH hält dem entgegen:

 

  • Solche Überlegungen laufen auf eine unzulässige Erheblichkeitsschwelle hinaus.

  • Dass die E-Mail-Adresse bereits früher in anderen Leaks aufgetaucht war, nimmt dem neuen Vorfall nicht seine Schadensqualität; es beeinflusst (wenn überhaupt) nur die Höhe des Anspruchs.

 

Damit steht fest:
Der Kläger hat aufgrund des Darknet-Leaks und der begründeten Befürchtung weiteren Missbrauchs einen immateriellen Schaden i.S.d. Art. 82 DSGVO erlitten. Die gegenteilige Würdigung des OLG war rechtsfehlerhaft.

 

 

Feststellungsantrag für künftige materielle Schäden

 

Der BGH befasst sich auch mit dem Feststellungsantrag, wonach die Beklagte künftige materielle Schäden ersetzen soll, die durch die unbefugte Veröffentlichung der Daten im Jahr 2022 entstehen könnten.

 

Grundsätze:

 

  • Bei der Verletzung absoluter Rechte (z.B. Recht auf Datenschutz, Art. 8 GRCh) genügt für ein Feststellungsinteresse die bloße Möglichkeit eines künftigen Schadenseintritts.

  • Es ist keine hohe Eintrittswahrscheinlichkeit erforderlich.

Das OLG hatte das Feststellungsinteresse verneint, u.a. mit Hinweis darauf, dass viel Zeit vergangen sei und Beweise für Kausalität später schwer zu führen wären. Der BGH sieht das anders:

 

  • Abnehmende Wahrscheinlichkeit und künftige Beweisschwierigkeiten betreffen nicht die Zulässigkeit der Feststellungsklage, sondern allenfalls eine spätere Leistungsklage.

  • Es ist keinesfalls ausgeschlossen, dass die im Darknet befindlichen Daten noch Jahre später für Betrugsversuche genutzt und dadurch Vermögensschäden verursacht werden.

 

Folge:
Der Feststellungsantrag ist zulässig; das OLG hat auch insoweit neu zu entscheiden.

 

 

 

Fazit und praktische Schlussfolgerungen für Verantwortliche

 

Dieser BGH-Beschluss ist für alle Verantwortlichen mit Auftragsverarbeitern hochrelevant – also praktisch für jedes Unternehmen und jede Organisation, die Dienstleister einsetzt.

 

1. Exit-Management bei Auftragsverarbeitern wird „scharf“

 

  • Beim Ende einer Auftragsverarbeitung reicht es nicht, dass im Vertrag irgendwo steht: „Der Auftragsverarbeiter löscht nach Vertragsende alle Daten.“

  • Verantwortliche müssen ein konkretes Exit-Szenario definieren:

    • Welche Daten werden zurückgegeben?

    • Welche werden gelöscht?

    • Wie wird mit Backups, Testumgebungen, Logfiles umgegangen?

  • Wichtig: Aktive Bestätigung des Dienstleisters einholen (z.B. Löschprotokoll, schriftliche Erklärung, ggf. Audit-Nachweis).

 

2. Dokumentierte Löschbestätigung ist Pflicht – nicht „nice to have“

 

  • Eine bloße E-Mail „wir werden löschen“ ist zu wenig.

  • Verantwortliche sollten:

 

3. Darknet-Leaks = deutliches Haftungsrisiko

 

  • Wenn Daten im Darknet landen, ist das nach dieser Entscheidung praktisch der „Worst Case“:

    • Immaterieller Schaden wird sehr schnell bejaht,

    • Betroffene können sich auf Kontrollverlust + begründete Missbrauchsbefürchtungen stützen,

    • der Verweis auf „alltägliche“ Spam-Gefahren trägt nicht mehr.

 

Unternehmen sollten daher:

 

  • laufend überprüfen,

  • Darknet-Monitoring (durch spezialisierte Dienstleister) in Betracht ziehen,

  • Incident-Response-Pläne erarbeiten (inkl. Kommunikationsstrategie und Umgang mit Art. 82-Forderungen).

 

4. Frühere Hacks entlasten nicht

 

  • Dass eine E-Mail-Adresse schon früher in anderen Leaks auftauchte, ist kein Freibrief:

    • Der neue Verstoß kann eigenständige Schadensersatzansprüche begründen.

    • Er erhöht das Risiko kumulativer Missbrauchsszenarien.

 

Unternehmen sollten bei bekannten Mehrfach-Leaks eher von einem erhöhten Risiko ausgehen – nicht von einer geringeren Verantwortlichkeit.

 

 

5. Feststellung auf künftige materielle Schäden beachten

 

  • Wer personenbezogene Daten in einem Leak verliert, muss damit rechnen, dass Betroffene nicht nur konkrete Schäden, sondern auch die Feststellungspflicht zur Erstattung künftiger Schäden einklagen.

  • Für Verantwortliche bedeutet das:

    • Langfristiges Risiko- und Rückstellungsmanagement,

    • sorgfältige Dokumentation des Vorfalls und der ergriffenen Maßnahmen,

    • mögliche Anpassung der Versicherungslösungen (Cyber/Datenschutzhaftpflicht).

  • Der Vertrag mit dem Auftragsverarbeiter hat

  • Informations- und Kontrollrechte des Verantwortlichen zu verankern (Art. 28 Abs. 3 lit. h DSGVO),

  • der Pflicht zu angemessenen Sicherheitsmaßnahmen (Art. 32 Abs. 1 DSGVO) zu enthalten,

  • Der Verantwortliche hat 

  • Fristen zu setzen und deren Ablauf überwachen, um die Löschung einzufordern,

  • die Bestätigung dokumentieren (Accountability nach Art. 5 Abs. 2 DSGVO

 

Tags: Accountability, Auftragsverarbeitung, Art 82, immaterieller Schaden, Rechenschaftspflicht, Leak, Kontrollverlust, Befürchtung, Rechenschaft

Kommentar schreiben

Kommentare: 0