Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten – doch was passiert, wenn ein Auftragsverarbeiter die Daten nach Vertragsende nicht wie vereinbart löscht? Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 11. November 2025 (VI ZR 396/24) klargestellt, dass Verantwortliche auch nach Beendigung einer Auftragsverarbeitung sicherstellen müssen, dass keine personenbezogenen Daten beim Dienstleister verbleiben. Andernfalls drohen Schadensersatzansprüche, selbst wenn die Daten bereits zuvor kompromittiert wurden. Man sieht hier die strengen Pflichten von Unternehmen, die externe Dienstleister mit der Datenverarbeitung beauftragen, und setzt ein deutliches Signal für die Praxis.
Datenleck mit Folgen
Ein französischer Musikstreamingdienst (Beklagte) hatte die Verarbeitung von Nutzerdaten an das Unternehmen O. ausgelagert. Nach Vertragsende im Dezember 2019 sollten alle Daten gelöscht werden. Doch statt einer Bestätigung der Löschung erhielt die Beklagte zunächst nur eine vage Zusage. Erst Jahre später, als die Daten im Darknet auftauchten, wurde bekannt, dass sie nicht gelöscht, sondern in eine Testumgebung überführt worden waren – wo sie entweder von Hackern erbeutet oder von Mitarbeitern weitergegeben wurden. Ein betroffener Nutzer (Kläger) verlangte Schadensersatz, da seine Daten (Name, E-Mail-Adresse, Registrierungsdatum) im Darknet zum Verkauf angeboten wurden.
Das Oberlandesgericht Dresden hatte die Klage abgewiesen: Der Kläger habe keinen immateriellen Schaden erlitten, da seine E-Mail-Adresse bereits zuvor gehackt worden sei und er keine konkreten Nachteile nachweisen könne. Der BGH hob diese Entscheidung auf und verwies die Sache zurück – mit klaren Vorgaben zur Haftung nach Art. 82 DSGVO.
Pflichten des Verantwortlichen und immaterieller Schaden
1. Verantwortung des Auftraggebers über das Vertragsende hinaus
Der BGH betont, dass der Verantwortliche auch nach Beendigung der Auftragsverarbeitung sicherstellen muss, dass keine personenbezogenen Daten beim Dienstleister verbleiben. Eine bloße vertragliche Löschungspflicht reicht nicht aus – der Verantwortliche muss aktiv überprüfen, ob die Daten tatsächlich gelöscht wurden. Dies ergibt sich aus:
- Art. 28 Abs. 3 DSGVO, der eine Rückgabe- oder Löschungspflicht vorsieht,
- Art. 5 Abs. 1 Buchst. c, e, f DSGVO (Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit) sowie
- Art. 32 DSGVO, der technische und organisatorische Maßnahmen zur Datensicherheit verlangt.
Die Beklagte hatte es versäumt, eine schriftliche Bestätigung der Löschung einzufordern – ein Verstoß, der kausal für das spätere Datenleck war.
2. Immaterieller Schaden auch ohne konkrete Folgen
Das Berufungsgericht hatte argumentiert, der Kläger habe keinen Schaden erlitten, da seine E-Mail-Adresse bereits zuvor kompromittiert worden sei und er keine über das übliche Maß hinausgehende Belästigung durch Spam-Mails nachweisen könne. Der BGH widersprach:
- Der Kontrollverlust über personenbezogene Daten ist bereits ein immaterieller Schaden – selbst wenn keine missbräuchliche Verwendung erfolgt.
- Die Veröffentlichung im Darknet verstärkt diesen Schaden, da die Gefahr eines Missbrauchs (z. B. durch Phishing oder Identitätsdiebstahl) konkret wird.
- Die Befürchtung eines Datenmissbrauchs ist ausreichend, wenn sie begründet ist – was bei einem Darknet-Angebot der Fall ist.
Der BGH stellt klar, dass es keine „Bagatellgrenze“ gibt: Schon der Verlust der Kontrolle über die eigenen Daten begründet einen Anspruch nach Art. 82 DSGVO.
3. Keine Exkulpation durch Hackerangriff oder Vorverletzungen
Die Beklagte konnte sich nicht damit entlasten, dass die Daten möglicherweise durch einen externen Hackerangriff abhandengekommen seien. Da sie ihre Kontrollpflichten verletzt hatte, haftet sie für die Folgen – unabhängig davon, ob die Daten bereits zuvor gehackt wurden.
Strenge Anforderungen an die Datensicherheit
Man kann es sich nicht zu einfach machen, gerade die gerne einmal kurzfristig und „nebenbei“ vereinbarte Auftragsverarbeitung ist mitunter herausfordernd, wie das Urteil in drei zentralen Punkten hervorhebt:
- Verantwortliche müssen die Löschung aktiv überwachen – eine bloße vertragliche Vereinbarung genügt nicht.
- Immaterieller Schaden entsteht bereits durch den Kontrollverlust – selbst wenn keine konkreten Nachteile eintreten.
- Frühere Datenlecks entlasten nicht – jede neue Verletzung des Datenschutzes begründet einen eigenständigen Schadensersatzanspruch.
Bei der Beendigung von Auftragsverarbeitungsverhältnissen sind strenge Nachweispflichten einzuhalten, wie der BGH nun für Unternehmen überdeutlich hervorhebt. Wer dies versäumt, riskiert nicht nur Bußgelder, sondern auch Schadensersatzforderungen betroffener Personen. Ob der Kläger am Ende tatsächlich eine Entschädigung erhält – und in welcher Höhe – wird das Berufungsgericht in der erneuten Verhandlung klären müssen. Bis dahin ist durch den BGH ins Stammbuch geschrieben: Die DSGVO verlangt mehr als nur formale Compliance – sie erfordert eine aktive Sicherstellung der Datensicherheit, auch nach Vertragsende.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Verbot verkleideter Telekommunikationsanlagen und der „Smarte Futterautomat“ - 15. Januar 2026
- Terrorgram-Studie zu “Teenage Terrorists” - 14. Januar 2026
- Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten - 14. Januar 2026
