Auftragsverarbeitung: Datenschutz nach Auftragsende

Europa Plattform Technologie Daten

Die Datenschutz-Grundverordnung (DSGVO) stellt Verantwortliche und Auftragsverarbeiter vor strenge Anforderungen – nicht nur während der Datenverarbeitung, sondern auch bei deren Beendigung. Mit seinem Urteil vom 11. November 2025 (VI ZR 396/24) hat der Bundesgerichtshof klargestellt, dass die Pflichten zur Löschung oder Rückgabe personenbezogener Daten nach Ende eines Auftragsverarbeitungsverhältnisses keine Formalie sind. Wer hier nachlässig agiert, haftet für die Folgen – selbst wenn die Daten bereits zuvor kompromittiert wurden. Die Entscheidung unterstreicht, dass der Kontrollverlust über persönliche Daten allein bereits einen ersatzfähigen immateriellen Schaden begründet und dass Verantwortliche aktiv sicherstellen müssen, dass ihre Auftragsverarbeiter die Daten tatsächlich und vollständig löschen.

Von der Löschankündigung zum Datenleck

Die Beklagte, ein französischer Musikstreamingdienst, hatte die Verarbeitung personenbezogener Daten an das Unternehmen O. ausgelagert. Als der Auftrag am 1. Dezember 2019 endete, teilte O. mit, die Daten würden am folgenden Tag gelöscht. Eine Bestätigung der tatsächlichen Löschung erfolgte jedoch erst über drei Jahre später – nach Bekanntwerden eines Datenlecks. Unbekannte hatten im November 2022 Nutzerdaten, darunter Namen, E-Mail-Adressen und Registrierungsdaten, im Darknet zum Verkauf angeboten. Die Daten stammten aus dem Jahr 2019 und waren von O. nicht wie vereinbart gelöscht, sondern in eine Testumgebung überführt worden, wo sie entweder gehackt oder von Mitarbeitern weitergegeben wurden.

Ein betroffener Nutzer klagte auf immateriellen Schadensersatz, da er sich seit dem Vorfall Sorgen um Identitätsdiebstahl, Phishing und ungewollte Werbung machte. Das Landgericht Dresden und das Oberlandesgericht Dresden wiesen die Klage ab, da sie die Befürchtungen des Klägers als unbegründet ansahen. Der BGH hob diese Entscheidungen auf und verwies die Sache zurück.

Wann ist ein immaterieller Schaden ersatzfähig?

Das Berufungsgericht hatte argumentiert, der Kläger habe keinen konkreten Nachweis für ein über das allgemeine Lebensrisiko hinausgehendes Unwohlsein erbracht. Zudem sei seine E-Mail-Adresse bereits vor dem Vorfall gehackt worden, sodass kein kausaler Schaden entstanden sei. Der BGH widersprach dieser Auffassung grundlegend.

Zentral war die Frage, ob der bloße Kontrollverlust über personenbezogene Daten – also die Tatsache, dass Dritte unbefugt Zugriff auf die Daten hatten – bereits einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellt. Der Senat bestätigte dies unter Berufung auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH). Selbst wenn die Daten bereits zuvor kompromittiert wurden, intensiviere jeder weitere unbefugte Zugriff den Schaden. Zudem genüge die begründete Befürchtung eines Missbrauchs, um einen Anspruch zu begründen.

Pflichten des Verantwortlichen bei Auftragsende

Der BGH betonte, dass der Verantwortliche auch nach Beendigung der Auftragsverarbeitung sicherstellen muss, dass keine personenbezogenen Daten beim Auftragsverarbeiter verbleiben. Dies ergebe sich aus Art. 28 Abs. 3 Satz 2 Buchst. g und h DSGVO, wonach der Auftragsverarbeiter die Daten entweder zurückgeben oder löschen und dies nachweisen muss. Der Verantwortliche dürfe sich nicht mit einer bloßen Löschankündigung begnügen, sondern müsse aktiv prüfen, ob die Löschung tatsächlich erfolgt ist.

Im vorliegenden Fall hatte die Beklagte es versäumt, die vertraglich vereinbarte Bestätigung der Löschung einzufordern. Dies sei eine eigenständige Pflichtverletzung, die kausal für das spätere Datenleck geworden sei. Hätte die Beklagte nachgefragt, wären die Daten vermutlich rechtzeitig gelöscht worden, und der Vorfall wäre vermeidbar gewesen.

Kontrollverlust und Missbrauchsrisiko

Der BGH stellte klar, dass bereits der Verlust der Kontrolle über persönliche Daten einen ersatzfähigen Schaden darstellt – unabhängig davon, ob es zu einem konkreten Missbrauch kommt. Diese Auffassung stützt sich auf die Erwägungsgründe der DSGVO, die den Kontrollverlust ausdrücklich als Beispiel für einen Schaden nennen (ErwG 85 DSGVO). Zudem reiche die begründete Sorge vor Spam-Mails, Phishing oder Identitätsdiebstahl aus, um einen Anspruch zu begründen.

Das Berufungsgericht hatte diese Sorgen als „alltägliche Empfindungen“ abgetan, da der Kläger seine E-Mail-Adresse nicht geändert hatte. Der BGH hielt dies für rechtsfehlerhaft: Die Plausibilität der Befürchtung ergebe sich bereits aus der Veröffentlichung der Daten im Darknet. Dass der Kläger keine ungewöhnlichen Vorsichtsmaßnahmen ergriffen habe, ändere nichts an der Begründetheit seiner Ängste.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Konsequenzen für Verantwortliche und Auftragsverarbeiter

Die Entscheidung hat beachtliche Folgen für die Praxis: Verantwortliche müssen sicherstellen, dass Auftragsverarbeiter nach Vertragsende keine Daten zurückbehalten. Dies erfordert nicht nur vertragliche Vereinbarungen, sondern auch aktive Kontrollen. Eine bloße Löschzusage genügt nicht; vielmehr muss der Verantwortliche den Nachweis der Löschung einfordern und gegebenenfalls eigene Prüfungen durchführen.

Für betroffene Personen bedeutet das Urteil, dass sie bereits bei einem Kontrollverlust Schadensersatz verlangen können – selbst wenn die Daten bereits zuvor kompromittiert wurden. Die Beweislast für die Höhe des Schadens bleibt zwar beim Kläger, doch die Hürden für die Darlegung eines immateriellen Schadens sind niedrig.

Keine Nachlässigkeit bei der Datenlöschung

Der BGH stärkt mit dieser Entscheidung die Rechte betroffener Personen und unterstreicht die Verantwortung von Unternehmen, die Datenverarbeitung auslagern. Wer seine Pflichten bei der Auftragsbeendigung vernachlässigt, riskiert nicht nur Bußgelder, sondern auch Schadensersatzansprüche. Die Entscheidung ist ein klares Signal, dass Datenschutz auch nach dem Ende einer Geschäftsbeziehung ernst genommen werden muss. Für die Praxis bedeutet dies: Löschbestätigungen sind kein Formalakt, sondern eine zentrale Compliance-Anforderung. Wer hier schludert, haftet – und das zu Recht.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist ein renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug, Untreue bis zu Cybercrime – aber auch im Jugendstrafrecht und Sexualstrafrecht) sowie Spezialist im IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance). Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren und berät in komplexen Softwareprojekten. Er ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen) und publiziert fortlaufend.

Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist ein renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug, Untreue bis zu Cybercrime – aber auch im Jugendstrafrecht und Sexualstrafrecht) sowie Spezialist im IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance). Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren und berät in komplexen Softwareprojekten. Er ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen) und publiziert fortlaufend.

Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.