Unterlassene Kontrolle von Auftragsverarbeiter: BGH weitet Haftung des Verantwortlichen aus

Bei einem Datenleck beim Auftragsverarbeiter haftet der Verantwortliche.
Kategorien:
,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Ein aktuelles Urteil des Bundesgerichtshofs (BGH) schafft Klarheit bezüglich des immateriellen Schadensersatzes gemäß Art. 82 DSGVO im Falle eines Datenlecks bei einem ehemaligen Auftragsverarbeiter. Der folgende Beitrag analysiert die wesentlichen Aussagen des Urteils.

Datenleck bei Auftragsverarbeiter nach Vertragsende

Im sogenannten Deezer-Datenleck wurden Daten von Nutzern des gleichnamigen Musikstreamingdienstes nach Ende des Vertrages mit einem externen Dienstleister entwendet und im Darknet zum Verkauf angeboten.

Der konkrete Sachverhalt: Die Beklagte, die ihren Sitz in Frankreich hat, betreibt einen Online-Musikstreamingdienst. Externer Auftragsverarbeiter der Beklagten war bis zum Auftragsende am 1. Dezember 2019 das Unternehmen O. Am 30. November 2019 teilte dieses der Beklagten per Mail mit, deren Webseite und die dort befindlichen Daten (“your site and all the data on the site”) würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, erklärte das Unternehmen O. erstmalig mit E-Mail vom 22. Februar 2023. Zuvor war bekannt geworden, dass unbekannte Hacker seit November 2022 Daten von Nutzern des Dienstes der Beklagten im Darknet zum Verkauf anboten. Die Datensätze stammten aus dem Jahr 2019. Sie waren von dem Unternehmen O. nicht, wie mit der Beklagten vereinbart, unmittelbar nach Auftragsende gelöscht worden, sondern von Mitarbeitern des Unternehmens O. von der Produktiv- in eine Testumgebung überführt worden und anschließend entweder von Hackern erbeutet oder von Mitarbeitern des Unternehmens O. unbefugt weitergegeben worden. Die Beklagte informierte die von dem Vorfall betroffenen Personen nach dessen Bekanntwerden.

Der Kläger ist Nutzer des Dienstes der Beklagten. Seine Daten sind im Kundenprofil der Beklagten gespeichert. Der bei dem streitgegenständlichen Vorfall abgegriffene Datensatz enthielt Vor-, Nachname, Geschlecht, E-Mail-Adresse und Sprache des Klägers sowie das Registrierungsdatum.

Während Landgericht und Oberlandesgericht die Klage zunächst abwiesen, hat der BGH das Urteil teilweise aufgehoben und zur neuen Entscheidung an das OLG Dresden zurückverwiesen.

Verantwortlicher muss dokumentierte Löschbestätigung vorweisen können

Der BGH stellt klar, dass der Verantwortliche auch nach der Beauftragung externer Auftragsverarbeiter „Herr der Datenverarbeitung“ bleibt und seine Datenschutzpflichten nicht einfach auf den Dienstleister abwälzen kann. Insbesondere am Ende der Auftragsverarbeitung muss er aktiv sicherstellen, dass beim ehemaligen Auftragsverarbeiter keine personenbezogenen Daten mehr verbleiben. Es genügt also nicht, lediglich einen Vertrag nach Art. 28 DSGVO zu schließen und sich auf die Löschzusage des Dienstleisters zu verlassen. Vielmehr sind konkrete Maßnahmen des Exit-Managements erforderlich. So muss vertraglich geregelt und praktisch überprüft werden, dass alle überlassenen Daten zurückgegeben oder gelöscht werden und dass etwaige Kopien ebenfalls gelöscht sind.

Laut BGH ist eine aktive Löschkontrolle entscheidend: Der Verantwortliche darf sich nicht mit bloßen vertraglichen Zusicherungen begnügen, sondern muss das Erforderliche tun, damit die Daten tatsächlich gelöscht werden.

In der Praxis bedeutet dies, eine ausdrückliche und dokumentierte Löschbestätigung vom Dienstleister einzuholen, statt nur eine unverbindliche E-Mail-Ankündigung zu akzeptieren. Dies kann beispielsweise ein Löschprotokoll, eine schriftliche Erklärung oder ein Audit-Nachweis sein.

Unterlassene Kontrolle des Auftragsverarbeiters führt zur Haftung

Im vorliegenden Fall sah der Vertrag eine Löschbestätigung innerhalb von 21 Tagen vor. Der Auftragsverarbeiter hatte lediglich angekündigt, die „Website und alle Daten” zu löschen. Der Vollzug wurde zu keinem Zeitpunkt bestätigt.

Spätestens nach Ablauf der Frist versäumte es der Verantwortliche nachzuhaken.  Erst Jahre später und nach Bekanntwerden des Lecks nach holte er dies nach, deutlich zu spät. Damit verstieß er gegen die Grundsätze der Speicherbegrenzung und Sicherheit aus Art. 5 Abs. 1 lit. e und Art. 32 DSGVO, die durch Art. 28 Abs. 3 lit. g DSGVO konkretisiert werden, da eine unzulässige fortgesetzte Speicherung beim Auftragsverarbeiter erfolgte.

Der BGH wertet dieses Unterlassen als eigenen DSGVO-Verstoß des Verantwortlichen. Denn gemäß Art. 82 Abs. 3 DSGVO trägt der Verantwortliche die Beweislast dafür, dass ihn kein Verschulden trifft. Das beklagte Unternehmen konnte sich hier nicht exkulpieren, da ihm zumindest leichte Fahrlässigkeit bei der Löschkontrolle vorzuwerfen war. Es half insbesondere nicht, auf ein alleinige Fehlverhalten des Dienstleisters oder einen Hackerangriff zu verweisen. Gerade weil der Verantwortliche keine rechtzeitige Löschbestätigung einholte, blieben die Daten verfügbar und konnten überhaupt erst in falsche Hände geraten. Nach den Feststellungen des Gerichts wäre der Datenvorfall bei ordnungsgemäßer Kontrolle mit hoher Wahrscheinlichkeit verhindert worden. Der Verantwortliche haftet also für das Datenleck mit, selbst wenn der unmittelbare Angriff durch einen Außenstehenden erfolgte.

Keine Bagatellgrenze für immateriellen Schadenersatz (Art. 82 DSGVO)

Bei der Bemessung des Schadensersatzes knüpft der BGH an die Rechtsprechung des EuGH zur Auslegung von Art. 82 DSGVO an.

Zunächst bestätigt das Gericht, dass ein Verstoß gegen die DSGVO allein noch keinen Anspruch auf Schadensersatz auslöst. Ein Schaden muss tatsächlich eingetreten sein. Allerdings betont der BGH zugleich, dass es keine „Bagatellgrenze“ gibt. Mit anderen Worten: Weder das nationale Recht noch die Gerichte dürfen eine zusätzliche Erheblichkeitsschwelle für immaterielle Schäden verlangen, wenn das europäische Datenschutzrecht eine solche nicht vorsieht. Jede nachweisbare Beeinträchtigung wie Ärger, Unmut, Sorge oder Angst, die infolge eines Datenschutzverstoßes entsteht, kann demnach ersatzfähig sein, sofern sie nicht bloß auf Einbildung oder einer rein hypothetischen Gefahr beruht.

In seinem Urteil vom 4. Mai 2023 (Rs. C‑300/21) hat der EuGH ausdrücklich klargestellt, dass negative Gefühle wie Ärger, Unwohlsein oder Angst nach Art. 82 Abs. 1 DSGVO als immaterieller Schaden anerkannt werden können. Eine bestimmte Erheblichkeitsschwelle existiert dabei nicht. Folglich dürfen Gerichte eine Klage nicht mit der Begründung abweisen, es handele sich nur um „alltäglichen Ärger im Internet“.

Im vorliegenden Fall hatte das Berufungsgericht (OLG Dresden) genau so argumentiert und die Sorgen des Klägers als allgemeine Lebensrisiken abgetan. Der BGH korrigierte dies und machte unmissverständlich deutlich, dass ein realer Kontrollverlust und begründete Ängste vor Missbrauch ernst zu nehmen sind. Und das unabhängig davon, ob die gleichen Daten des Klägers schon bei früheren Vorfällen kompromittiert wurden.

Lese-Tipp: Facebook-Scraping – BGH spricht Nutzern Schadensersatz zu

Darknet-Datenleck als objektives Kriterium für den Schadenseintritt

Ein zentrales Merkmal des Falls war die Veröffentlichung der Daten im Darknet. Der BGH führt hierzu aus, dass spätestens mit dem Anbieten gestohlener personenbezogener Daten im Darknet ein objektiver Indikator für den Eintritt eines Schadens gegeben ist. Konkret bedeutet dies: Bleiben Daten nach Auftragsende unberechtigt beim Dienstleister, werden dort entwendet und anschließend im Darknet zum Verkauf angeboten, liegt darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO vor. Die Richter stellen ausdrücklich fest, dass dieser Schaden nicht dadurch entfällt, dass dieselben Daten möglicherweise schon früher in einem anderen Leak offengelegt wurden. Jeder neue Kontrollverlust über personenbezogene Daten ist demnach als eigenständiges Ereignis zu betrachten, das das Risiko für die betroffene Person erhöht und daher separat schadensrelevant sein kann.

Im Deezer-Fall war die E-Mail-Adresse des Klägers zwar bereits in früheren Datenpannen aufgetaucht. Dennoch bewertet der BGH den Vorfall von 2019/2022 als neue, eigenständige Verletzung: Durch das konkrete Leck beim Auftragsverarbeiter wurden weitere Informationen (Name, Geschlecht, Sprache, Nutzungsdaten) im Zusammenhang mit der E-Mail-Adresse öffentlich gemacht wurden. Dieser zusätzliche Datenpool im Darknet schafft eine erhebliche Gefährdungslage, da Kriminelle daraus gezielt Profile für Phishing oder Identitätsdiebstahl erstellen können. Frühere Hacks entlasten den Verantwortlichen in keiner Weise. Im Gegenteil: Mehrfache Leaks desselben Betroffenen bedeuten kumulative Risiken und eher eine höhere Wahrscheinlichkeit zukünftigen Missbrauchs. Unternehmen können sich also nicht damit verteidigen, ein Betroffener sei durch einen weiteren Leak gar nicht zusätzlich belastet, weil seine Daten ohnehin schon im Umlauf waren.

Aus Sicht des BGH markiert ein Darknet-Leak somit einen klaren Wendepunkt: Spätestens ab der illegalen Veröffentlichung im Untergrund ist ein Schaden eingetreten. In der Praxis werden Gerichte bei solchen Konstellationen den immateriellen Schadenersatz regelmäßig bejahen. Der Verkauf persönlicher Daten im Darknet stellt den „Worst Case“ in Sachen Datenschutzverletzung dar.

Kontrollverlust und begründete Befürchtungen als immaterieller Schaden

In früheren Verfahren, etwa zu Facebook-Datenlecks, hat der BGH bereits entschieden, dass der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann. Auch ohne konkreten finanziellen Schaden können der Ärger und das Gefühl des Ausgeliefertseins nach einer Datenschutzverletzung eine Entschädigung rechtfertigen. In dem nun vorliegenden Urteil geht der BGH noch einen Schritt weiter und stellt die persönlichen Befürchtungen des Betroffenen in den Vordergrund.

Der Kläger hatte geltend gemacht, dass er seit Bekanntwerden des Lecks Sorge vor Identitätsdiebstahl, Phishing sowie unerwünschten Werbeanrufen und -E-Mails habe. Solche begründeten Befürchtungen können nach Auffassung des BGH „für sich genommen” einen immateriellen Schaden darstellen, sofern der Betroffene deren negative Folgen plausibel darlegt. Maßgeblich ist, dass die Ängste nicht rein hypothetisch sind, sondern objektiv nachvollziehbar. Genau das war hier der Fall: Werden Name und E-Mail-Adresse im Darknet gehandelt, ist es sehr wahrscheinlich, dass sie für betrügerische Zwecke (z. B. Spam- oder Phishing-Mails) missbraucht werden. Die vom Kläger empfundenen Sorgen waren daher aus Sicht eines verständigen Dritten gut nachvollziehbar und realistisch begründet.

Das OLG hatte dem Kläger entgegengehalten, er habe seine E-Mail-Adresse trotz der Vorfälle nicht geändert, was gegen eine ernsthafte Belastung spreche. Der BGH verwarf diese Argumentation als verfehlten Ansatz, der auf eine unzulässige Erheblichkeitsschwelle hinausläuft. Denn auch ohne äußere Reaktionen wie eine E-Mail-Änderung kann ein Betroffener erheblich innerlich belastet sein. Entscheidend sind nachweisbare psychische Auswirkungen (z. B. anhaltende Ängste, Schlafstörungen, Stress). Im Ergebnis hat der BGH klargestellt, dass der Kontrollverlust über die eigenen Daten in Verbindung mit der begründeten Angst vor Missbrauch im konkreten Fall einen ersatzfähigen immateriellen Schaden darstellt. Die gegenteilige Einschätzung der Vorinstanz war demnach rechtsfehlerhaft.

Feststellungsinteresse bei möglichen zukünftigen Schäden

Neben dem Schadensersatz selbst war im Verfahren der Feststellungsantrag des Klägers von Bedeutung. Er wollte gerichtlich feststellen lassen, dass das beklagte Unternehmen auch für künftig entstehende materielle Schäden aus dem Datenleck haftet. Hintergrund ist die Unsicherheit, ob gestohlene Daten vielleicht erst Jahre später zu finanziellen Schäden führen, etwa wenn sie aus dem Darknet für Betrügereien genutzt werden. Das OLG Dresden verneinte ein berechtigtes Interesse an einer solchen Feststellung, unter anderem mit dem Hinweis, dass viel Zeit vergangen sei und ein späterer Nachweis der Kausalität schwierig werden könne.

Der BGH sieht dies jedoch anders und rügt die Ablehnung des Feststellungsinteresses durch die Vorinstanz. Er verweist darauf, dass bei der Verletzung absoluter Rechte (wie des Rechts auf Datenschutz, Art. 8 GRCh) schon die bloße Möglichkeit eines künftigen Schadenseintritts genügt, um ein Feststellungsinteresse zu bejahen. Eine hohe Eintrittswahrscheinlichkeit ist nicht erforderlich. Selbst wenn seit dem Vorfall einige Jahre vergangen sind, schließt das einen späteren Missbrauch der Daten nicht aus. Insbesondere das Vorhandensein von personenbezogenen Daten im Darknet begründet objektiv die Möglichkeit zukünftiger Schäden, beispielsweise durch Identitätsbetrug, noch Jahre nach dem Leak.

Der BGH stellt klar, dass Überlegungen zu abnehmender Eintrittswahrscheinlichkeit oder zu Beweisschwierigkeiten in der Zukunft allenfalls die Erfolgsaussichten einer späteren Leistungsklage, nicht aber die Zulässigkeit der Feststellungsklage berühren. Mit anderen Worten: Ob der Betroffene den konkreten Schaden in der Zukunft wird nachweisen können, ist im Feststellungsverfahren zweitrangig. Vielmehr ist es wichtig, ihm aktuell die Möglichkeit zu geben, seine Rechte zu sichern, falls ein Schaden eintritt. Folgerichtig hat der BGH den Feststellungsantrag im Deezer-Fall für zulässig erachtet und das OLG angewiesen, insoweit erneut zu entscheiden.

Für Betroffene bedeutet das, dass sie nach einem Datenleck nicht abwarten müssen, bis ein materieller Schaden tatsächlich eintritt. Sie können bereits vorsorglich gerichtlich feststellen lassen, dass der Verantwortliche für etwaige zukünftige Schäden haftet.

Stärkung von Compliance-Maßnahmen immer wichtiger

Das BGH-Urteil zum Deezer-Datenleck hat erhebliche praktische Konsequenzen. Verantwortliche Stellen sind angehalten, ihre Compliance-Maßnahmen im Bereich Datenschutz und Auftragsverarbeitung zu verstärken. Insbesondere das Exit-Management bei Dienstleistern rückt in den Fokus: Unternehmen müssen sicherstellen, dass beim Offboarding eines Auftragsverarbeiters sämtliche personenbezogenen Daten ordnungsgemäß gelöscht oder zurückgeführt werden. Eine dokumentierte Löschbestätigung des Dienstleisters ist dabei Pflicht und keine Option. Versäumnisse in diesem Bereich können Jahre später zu Haftungsfällen führen.

Zugleich verdeutlicht das Urteil, dass Datenlecks mit Darknet-Bezug ein deutlich erhöhtes Haftungsrisiko darstellen. Wenn gestohlene Daten im Darknet auftauchen, liegt aus Sicht des BGH nahezu zwangsläufig ein ersatzfähiger immaterieller Schaden vor. Betroffene können sich auf Kontrollverlust und nachvollziehbare Missbrauchsängste berufen, ohne dass der Verantwortliche diese als bloße Bagatellen abtun kann. Unternehmen sollten daher präventiv ihre Sicherheitsmaßnahmen gemäß Art. 32 DSGVO regelmäßig überprüfen, gegebenenfalls ein Darknet-Monitoring durch spezialisierte Dienste in Betracht ziehen und für den Ernstfall vorbereitete Incident-Response-Pläne inklusive Kommunikationsstrategie und Umgang mit Art. 82-Forderungen parat haben.

Schließlich zeigt die Entscheidung, dass auch frühere Datenpannen keinen Freibrief bieten. Jeder neue Vorfall kann eigenständige Ansprüche begründen und erhöht das kumulative Missbrauchsrisiko. Verantwortliche tun gut daran, bekannte Mehrfach-Leaks ernst zu nehmen und von einem erhöhten Risikopotenzial auszugehen, anstatt auf eine Entlastung zu hoffen. Zudem müssen sie damit rechnen, dass Betroffene neben konkretem Schadensersatz auch einen Feststellungsanspruch auf künftige Schäden geltend machen. Für die Praxis bedeutet das: Langfristiges Risikomanagement und ggf. finanzielle Vorsorge (Rückstellungen, Cyberversicherungen) gewinnen an Bedeutung.

Quelle: BGH-Urteil vom 11.11.2025 – VI ZR 396/24

Sie möchten Ihre Auftragsverarbeitungen „BGH-sicher“ gestalten, insbesondere beim Offboarding?

Genau hier entstehen in der Praxis häufig Datenpannen: Es fehlen Löschbestätigungen, es gibt Kopien in Test-/Staging-Umgebungen, Verantwortlichkeiten sind unklar und Nachweise lückenhaft.

Ailance unterstützt Sie dabei, Ihre AV-Landschaft strukturiert zu steuern: Von der Auswahl und Bewertung von Dienstleistern bis zur revisionssicheren Exit-Checkliste inklusive Nachweisführung zur vollständigen Löschung.

2B Advice begleitet Sie rechtlich und operativ: Wir prüfen und optimieren Ihre Auftragsverarbeitungsverträge (Art. 28 DSGVO), entwickeln praxistaugliche technische und organisatorische Maßnahmen (TOM) und Offboarding-Prozesse, unterstützen Sie bei der Incident Response (inkl. Kommunikation, Betroffenen- und Behördenmanagement) und helfen Ihnen bei der Risikominimierung für Ansprüche nach Art. 82 DSGVO.

Starten Sie jetzt: Lassen Sie uns in einem kurzen Termin prüfen, wo Ihr größtes Risiko im Vendor- und Offboarding-Setup liegt und wie Sie mit klaren Kontrollen, belastbaren Löschbestätigungen und sauberer Dokumentation schnell ein belastbares Niveau erreichen.

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge