BGH: Verantwortlicher muss Datenlöschung bei Auftragsverarbeiter sicherstellen sonst droht Schadenersatzanspruch

Leitsätze der BGH-Entscheidung vom 11.11.2025 (Az. VI ZR 396/24)

„a) Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass – vorbehaltlich etwaiger gesetzlicher Speicherpflichten – keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur
Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt.

b) Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind.“

Der Sachverhalt

Der Kläger machte Schadenersatz- und Feststellungsansprüche wegen behaupteter Datenschutzverletzungen gegen die Beklagte, die einen Online-Musikstreamingdienst mit Sitz in Frankreich betreibt, geltend. Von der Beklagten wurde bis 01.12.2019 ein externer Auftragsverarbeiter genutzt. Dieser Auftragsverarbeiter hatte der Beklagten einen Tag vor Beendigung der Zusammenarbeit per E-Mail mitgeteilt, dass deren Website und die dort befindlichen Daten am Folgetag gelöscht werden würden. In der Folgezeit wurde bekannt, dass unbekannte Hacker sei November 2022 Daten von Nutzern der Beklagten im Darknet zum Verkauf angeboten hatten. Die gehackten Datensätze stammten aus dem Jahr 2019. Sie waren vom Auftragsverarbeiter entgegen dessen Auskunft nicht gelöscht, sondern von der Produktiv- in eine Testumgebung überführt worden. Anschließend seien sie entweder gehackt oder von Mitarbeitern unbefugt weitergegeben worden.

Der Kläger war Nutzer des Dienstes. Seine Daten waren im Kundenprofil gespeichert. Es handelte sich um Vor-, Nachname, Geschlecht, E-Mail-Adresse, Sprache und Registrierungsdatum. Er forderte nach Kenntnis des Datenlecks immateriellen Schadenersatz von der Beklagten, weil er sich Sorgen um einen möglichen Missbrauch seiner Daten in Gestalt von Identitätsdiebstahl, Phishing, etc. mache.

Das Landgericht Dresden hatte die Klage abgewiesen. Die Berufung des Klägers wurde vom OLG Dresden, Urteil vom 05.11.2024, Az. 4 U 999/24, zurückgewiesen.

Der Bundesgerichtshof gab dem Kläger nun recht und verwies die Angelegenheit zur neuen Verhandlung und Entscheidung an das OLG Dresden zurück.

Die Entscheidungsgründe des BGH

Der Bundesgerichtshof bestätigte zunächst die Auffassung der Vorinstanz, dass die Beklagte bei Vorliegen eines Schadens haftungsrechtlich dafür einzustehen habe, dass die Daten des Klägers nach Beendigung des Auftragsverarbeitungsverhältnisses nicht gelöscht worden seien und dadurch hätten abgegriffen werden können. In dem Verstoß des Auftragsverarbeiters läge ein eigener Verstoß der Beklagen, da diese sich mit der Löschankündigung begnügte und keinerlei Bestätigung einer erfolgten Datenlöschung einholte. Aus diesem Grund sei ihr eine Exkulpation nach Art. 82 Abs. 3 DSGVO verwehrt.

Die Beklagte habe jedenfalls ihre Pflichten aus Art. 5 Abs. 2 i. V. m. Art. 5 Abs. 1 Buchstabe c), e) und f) DSGVO sowie aus Art. 32 Abs. 1 DSGVO zumindest fahrlässig verletzt. Überträgt nämlich ein Verantwortlicher seine Pflichten auf einen Auftragsverarbeiter, kann er sich dadurch nicht von seinen eigenen datenschutzrechtlichen Pflichten befreien. Er ist vielmehr für seinen „verlängerten Arm“ weiterhin verantwortlich und damit Herr der Verarbeitung. Insoweit habe er auch im Zusammenhang mit der Auftragsbeendigung den Schutz der Rechte Betroffener zu gewährleisten.

Der Verantwortliche darf sich nach Auffassung des BGH nicht damit begnügen, mit dem Auftragsverarbeiter einen Vertrag abgeschlossen zu haben, der die Löschung der Daten vorsehe. Er habe vielmehr das seinerseits nach den Umständen Erforderliche dazu beizutragen, dass eine Löschung auch tatsächlich erfolge. Dieser Pflicht sei die Beklagte im Streitfall nicht nachgekommen.

Abweichend von den Vorinstanzen entschied der BGH jedoch, dass dem Kläger wegen des nachweislichen Kontrollverlusts dem Grunde nach ein immaterieller Schadenersatz zustehe. Er vertritt -anders als bspw. das Bundesarbeitsgericht- die Auffassung, es bedürfe keines weiteren immateriellen Schadens (wie Befürchtungen oder Ängste), wenn der Nachweis erbracht worden sei, dass der Kontrollverlust tatsächlich eingetreten ist. Der BGH lässt also den bloßen Kontrollverlust als immateriellen Schaden genügen. Die betroffene Person muss folglich keinen darüber hinausgehenden Schaden (wie Angst, etc.) darlegen oder nachweisen.

Der BGH betonte allerdings auch, dass es vorliegend ohnehin nicht nur zu einem Kontrollverlust, sondern in dessen Folge auch zu einer missbräuchlichen Verwendung der Daten des Klägers durch Veröffentlichung im Darknet gekommen sei. Bereits aus diesem Grund sei ein Schadenseratzanspruch des Kläger zu bejahen. Die Entscheidung über die Höhe des Anspruchs obliegt nun erneut dem OLG Dresden.

Quelle: https://www.bundesgerichtshof.de/SharedDocs/Entscheidungen/DE/Zivilsenate/VI_ZS/2024/VI_ZR_396-24.pdf?__blob=publicationFile&v=1