Worum geht es?
In einem aktuellen Urteil des BGH vom 11. November 2025 (VI ZR 396/24) machte ein Kläger immateriellen Schadensersatz nach Art. 82 DSGVO, sowie einen Feststellungsanspruch aufgrund der Verletzung von gebotenen technischen und organisatorischen Schutzmaßnahmen geltend.
Die Beklagte setzte bis zum 1. Dezember 2019 einen Auftragsverarbeiter ein. Dieser bestätigte, dass die personenbezogenen Daten, unter Anderem diejenigen des Klägers, nach dem Auftragsende gelöscht wurden, dies geschah aber tatsächlich nicht.
Die Daten des Klägers wurden stattdessen von Mitarbeitern des Auftragsverarbeiters in eine Testumgebung überführt, sodass Hacker Daten, wie Vor-, Nachname, Geschlecht, E-Mail-Adresse und Sprache abgreifen und im Darknet verkaufen konnten. Den immateriellen Schadensersatz verlangte der Kläger daher aufgrund von Sorgen über den Verbleib und einen möglichen Missbrauch seiner Daten in Gestalt von Identitätsdiebstahl, Phishing, unzulässigen Werbeanrufen und Werbemails.
Mit dem Feststellungsanspruch begehrte er zudem, dass die Beklagte zum Ersatz aller ihm künftig aufgrund der unbefugten Veröffentlichung entstehenden materiellen Schäden verpflichtet sei.
Die Entscheidung der Vorinstanzen
Die Klage wurde vor dem Landgericht abgewiesen und die Berufung vor dem Oberlandesgericht zurückgewiesen.
Zwar wurde eine Datenschutzpflichtverletzung der Beklagten nach Art. 28 und Art. 32 DSGVO dadurch festgestellt, dass die Beklagte nach der Bestätigung der Löschung durch den Auftragsverarbeiter, keinen schriftlichen Nachweis darüber angefordert hatte, dass die Durchführung der Löschung auch tatsächlich stattfand.
Ein bloßer Kontrollverlust über Daten stelle aber ohne konkrete individuelle negative Folgen, welche der Kläger nicht ausreichend nachweisen konnte, keinen ersatzfähigen Schaden dar, weshalb die Klage abgewiesen wurde.
Die Feststellungsklage wurde mit der Begründung abgelehnt, dass kein Rechtsschutzbedürfnis mehr bestehe, weil der Kläger nach zwei Jahren ohne materiellen Schaden auch künftig keine Schäden mehr zu erwarten hätte.
Wie hat der BGH entschieden?
Der BGH sah das Ganze anders und begründete seine Sichtweise mit den folgenden Argumenten:
Verantwortlichkeit nach Auftragsbeendigung:
- Der Verantwortliche hat auch trotz und nach der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten.
- Der Verantwortliche hat nach den Umständen des Einzelfalls alles Erforderliche dazu beizutragen, dass der Auftragsverarbeiter nach Auftragsende seine Pflichten erfüllt: Es muss zu einer tatsächlichen Rückgabe bzw. Löschung der Daten von Seiten des Auftragsverarbeiters kommen.
- Verbleiben personenbezogene Daten nach Auftragsbeendigung beim Auftragsverarbeiter, kommt es dort zu einem Hackerangriff und des Verkaufs der gehackten Daten im Darknet, so stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar
Immaterieller Schaden nach Art. 82 DSGVO:
- Ein immaterieller Schaden liegt nach Art. 82 DSGVO vor, wenn der Kontrollverlust über die Daten nicht folgenlos geblieben ist, sondern es zu einer missbräuchlichen Verwendung der betreffenden Daten gekommen ist.
- Der Verkauf im Darknet stellt eine solche missbräuchliche Verwendung dar.
Individueller Schaden des Klägers:
- Die missbräuchliche Datenverwendung muss lediglich befürchtet werden.
- Daher kann die Angst vor Spam, Phishing oder Identitätsdiebstahl, wie in diesem Fall, einen individuellen Schaden des Klägers begründen.
Der Feststellungsanspruch:
- Durch die Veröffentlichung im Darknet besteht auch nach zwei Jahren die Möglichkeit, dass weitere künftige Schäden entstehen, sodass der Anspruch zu bejahen ist.
Wie kann KREMER LEGAL Unternehmen in diesem Aspekt unterstützen:
Damit es gar nicht erst zu Haftungsfällen wie im vorliegenden Urteil kommt, unterstützt KREMER LEGAL Unternehmen umfassend bei der Umsetzung und Einhaltung von datenschutzrechtlichen Pflichten. Außerdem beraten wir präventiv und vertreten Sie im Streitfall kompetent zu den Ansprüchen nach Art. 82 DSGVO.
Fazit
Das BGH-Urteil macht deutlich: Verantwortliche müssen ihre Auftragsverarbeiter aktiv und nachweisbar kontrollieren, auch nach Beendigung des Auftragsverarbeitungsverhältnisses. Fehlende Nachweise, insbesondere zur Datenlöschung führen zu Haftungsrisiken. Das heißt: Kontrolle ist zwingend– Vertrauen ersetzt diese nicht.