LG Köln zum Kontrollverlust als immaterieller Schaden

Haftung für Datenschutzverletzungen bei ehemaligen Dienstleistern: der digitale Alltag, in dem als zentrales Wirtschaftsgut gelten, wirft der Verlust dieser Daten schwerwiegende rechtliche Fragen auf. Besonders heikel ist es, wenn ein solcher Verlust nicht im aktiven Einflussbereich des Verantwortlichen geschieht, sondern durch Nachlässigkeiten ehemaliger Dienstleister. Das Urteil des Landgerichts Köln vom 7. Januar 2025 (Az. 14 O 472/23) beleuchtet präzise und eindrucksvoll die datenschutzrechtlichen Sorgfaltspflichten bei der Zusammenarbeit mit Auftragsverarbeitern – und die Konsequenzen, wenn diese verletzt werden.

Der Fall dreht sich um einen Musikstreamingdienst, der umfangreiche Nutzerdaten über einen externen Dienstleister verwalten ließ. Jahre nach Beendigung der Vertragsbeziehung kam es zu einem gravierenden , bei dem persönliche Informationen von Millionen Nutzern im auftauchten. Eine betroffene Nutzerin klagte auf immateriellen Schadensersatz wegen des erlittenen Kontrollverlusts über ihre Daten – mit (teilweisem) Erfolg.

Die Ausgangslage: Datentransfer und der lange Schatten der Auftragsverarbeitung

Die beklagte Plattform hatte personenbezogene Daten – darunter Namen, E-Mail-Adressen, Geburtsdaten, Nutzungsinformationen und Nutzerkennungen – im Rahmen eines Dienstleistungsvertrags an ein US-amerikanisches Unternehmen übermittelt. Die Vertragskonstruktion entsprach zunächst den Vorgaben der : Es existierte eine Auftragsverarbeitungsvereinbarung, die Löschfristen, Kontrollrechte und Sicherheitsvorkehrungen enthielt. Doch nach Beendigung des Vertrages beging die Plattform einen entscheidenden Fehler: Sie kontrollierte nicht, ob der Dienstleister die gespeicherten Daten tatsächlich gelöscht hatte.

Genau hier lag das datenschutzrechtliche Versäumnis. Denn der endet nicht mit der Vertragslaufzeit – vielmehr trifft den Verantwortlichen eine fortdauernde Überwachungspflicht. Das Gericht stellte fest: Die Beklagte hätte die Einhaltung der Löschverpflichtung aktiv überprüfen müssen – sei es durch Löschbestätigungen, vertragliche Nachweise oder gegebenenfalls Vor-Ort-Kontrollen. Das Versäumnis dieser Prüfung qualifizierte das LG Köln als fahrlässige Pflichtverletzung im Sinne von Art. 28 und 32 DSGVO.

Der Kontrollverlust als immaterieller Schaden

Besonders hervorzuheben ist die fundierte Auseinandersetzung des Gerichts mit dem Begriff des immateriellen Schadens nach Art. 82 Abs. 1 DSGVO. Die Klägerin trug vor, dass sie durch die Veröffentlichung ihrer Daten im Darknet einem permanenten Risiko von Identitätsdiebstahl, und weiteren Missbrauchsgefahren ausgesetzt sei. Dies habe sich auf ihre Alltagsroutinen, ihre Kommunikation und sogar ihren Schlaf ausgewirkt. Der Kontrollverlust über ihre persönlichen Informationen sei allgegenwärtig.

Das LG Köln folgte der Argumentation der Klägerin in Grundzügen, verwies jedoch zugleich auf die restriktive Rechtsprechung des EuGH und des BGH: Ein immaterieller Schaden setze nicht notwendigerweise eine besonders gravierende Beeinträchtigung voraus, müsse aber konkret und individuell nachgewiesen sein. Allein der Umstand, dass Daten öffentlich gemacht wurden und die Kontrolle darüber verloren ging, könne einen Anspruch begründen – wenn dieser Kontrollverlust hinreichend belegt sei.

Im konkreten Fall hielt das Gericht den Nachweis für erbracht, reduzierte den Schadensersatz jedoch auf einen symbolischen Betrag von 100 Euro. Dieser Betrag orientierte sich ausdrücklich an der aktuellen Spruchpraxis des BGH in vergleichbaren Fällen und sollte den rein immateriellen Aspekt des Datenverlusts – ohne greifbare Folgeschäden – ausgleichen.

Rechtliche Einordnung: Die Rolle des Verantwortlichen und der Maßstab der Zumutbarkeit

Die Entscheidung ist auch dogmatisch bemerkenswert. Sie unterstreicht die strenge Haftungssystematik der DSGVO: Der Verantwortliche haftet auch dann, wenn der Verstoß mittelbar durch Handlungen von Auftragsverarbeitern oder deren Subunternehmern verursacht wurde. Ein Verweis auf Unkenntnis oder Kontrollverlust entlastet nicht – im Gegenteil: Wer personenbezogene Daten an Dritte übermittelt, bleibt für deren Sicherheit verantwortlich.

Besonders kritisch betrachtete das Gericht den Umstand, dass die Plattform keine konkrete Bestätigung über die Datenlöschung eingeholt hatte. Eine bloße Ankündigung des Dienstleisters genügte dem Gericht nicht. Auch eine verspätete Nachkontrolle – hier erst im Jahr 2023 – wurde als unzureichend angesehen. Der Maßstab der Zumutbarkeit, den einige Kommentierungen anführen, wurde vom LG Köln deutlich zugunsten eines effektiven Datenschutzes ausgelegt.

Dabei zeigt sich ein Wandel in der Bewertung technischer und organisatorischer Maßnahmen: Was früher als ausreichendes Vertrauen in marktübliche Standards genügte, muss heute durch konkrete Dokumentation und nachweisbare Überwachung flankiert werden. Insbesondere bei der Beendigung von Vertragsverhältnissen mit Auftragsverarbeitern ist der Übergang in die datenschutzrechtliche Eigenverantwortung engmaschig zu begleiten.

Fazit

In der Schlussfolgerung verdeutlicht das Urteil des LG Köln, dass datenschutzrechtliche Verantwortung nicht delegiert werden kann – auch nicht über vertraglich korrekt ausgestaltete Auftragsverarbeitungsverhältnisse. Die Entscheidung betont, dass der Kontrollverlust über personenbezogene Daten nicht nur ein technisches oder administratives Risiko darstellt, sondern eine rechtlich relevante Verletzung des Persönlichkeitsrechts, die haftungsrechtlich relevant ist.

Der zugesprochene Betrag von 100 Euro mag auf den ersten Blick gering erscheinen. Doch die symbolische Reichweite dieser Entscheidung ist erheblich: Sie setzt Maßstäbe für die Sorgfaltspflichten bei der Auswahl, Kontrolle und Nachsorge im Umgang mit Dienstleistern – und zeigt zugleich, wie Gerichte künftig mit immateriellen Datenschutzschäden umgehen werden. Für Unternehmen im digitalen Dienstleistungssektor ist das Urteil ein deutliches Signal: Die DSGVO ist nicht nur bei aktiven Datenpannen scharf – sie greift auch dann, wenn Verantwortliche ihre Kontrollpflichten aus dem Auge verlieren.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.