BGH, Urt. 11.11.2025 - VI ZR 396/24
Datenkontrollverlust als zweifelhafter Schaden
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 02/2026
Aus: IT-Rechtsberater, Heft 02/2026
Der Verantwortliche hat das im Einzelfall Erforderliche dazu beizutragen, dass es beim Auftragsverarbeiter bei Auftragsende tatsächlich zur Löschung der personenbezogenen Daten – vorbehaltlich gesetzlicher Speicherpflichten – kommt. Werden widrigenfalls Daten abgegriffen und im Darknet verkauft, ist ein immaterieller Schaden nicht durch ein schon vorheriges Abgreifen ausgeschlossen.
DSGVO Artt. 5 Abs. 1 lit. c, lit. e, lit. f, Abs. 2, 28 Abs. 3 Satz 2 lit. g, lit. h, 32, 82 Abs. 1
Eigene Verantwortlichkeit trotz Auftragsverarbeitung:Nur wenn der Auftragsverarbeiter DSGVO-widrig selbst Verarbeitungszwecke und -mittel bestimme (Auftragsverarbeiterexzesses i.S.v. Art. 28 Abs. 10 DSGVO), werde er Verantwortlicher. Der ursprüngliche Verantwortliche hafte nur dann nicht, wenn insb. die Verarbeitung nicht mit von ihm tatsächlich oder vernünftigerweise mutmaßlich festgelegten Modalitäten vereinbar sei und er den Auftragsverarbeiter mit dem Vertragsrecht zu konformem Verhalten gedrängt habe (Rz. 13, 16 m.w.N.).
Schutzpflichten bei Auftragsende:Der Verantwortliche habe wegen bei Auftragsbeendigung entfallender Rechtfertigung des in der Datenspeicherung liegenden Eingriffs in Artt. 7, 8 GRC sicherzustellen, dass – vorbehaltlich gesetzlicher Speicherpflichten – keine Daten beim Auftragsverarbeiter verblieben. Lösch- oder Rückgabepflichten sowie diesbezügliche Kontroll- und Nachweispflichten seien gem. Art. 28 Abs. 3 Satz 2 lit. g und h DSGVO vertraglich zu regeln. Jedenfalls wegen Datenminimierung und zeitlicher Speicherbegrenzung i.S.v. Art. 5 Abs. 1 lit. c und e DSGVO habe der Verantwortliche das im Einzelfall seinerseits Erforderliche zur Umsetzung dieser Vertragspflichten beizutragen. Der Datenzugang sei wegen der Pflicht zu angemessenen Sicherheitsmaßnahmen (Artt. 5 Abs. 2, Abs. 1 lit. f, 32 Abs. 1 DSGVO) zu entziehen. So seien u.a. nach Eintrittswahrscheinlichkeit und Schwere des Grundrechtsrisikos geeignete TOM „soweit wie möglich“ für ein angemessenes Schutzniveau zu treffen. Die Geeignetheit sei nachzuweisen. Gemäß Art. 32 Abs. 2 DSGVO seien konkrete Verarbeitungsrisiken u.a. durch unbefugten Zugang durch Cyberangriffe und unterlassene Löschung zu berücksichtigen (Rz. 17 ff. m.w.N.; Ls. 1).
Pflichtwidrig zugelassene lange Speicherung:Hier seien zwar vertragliche Regelungen insb. zur wahlweisen Rückgabe oder Löschung innerhalb von 21 Tagen und schriftlicher Bestätigung deren Vornahme auch durch Unterauftragsverarbeiter getroffen worden. Eine für das spätere Datenabgreifen mitursächliche Pflichtverletzung durch Nichtausübung des Wahlrechts könne dahinstehen, da eine Verletzung jedenfalls darin liege, dass sich die Löschungsankündigung für den nächsten Tag nur auf die „Site“ und nicht alle Datenkopien bezogen habe sowie die Bestätigung nicht fristgerecht eingefordert worden sei. Ob auch eine Pflichtverletzung außerhalb konkreter Verarbeitungsvorgänge ausreiche (so EuGH-GA v. 18.9.2025 – C-526/24 – Brillen Rottler Rz. 77), könne offenbleiben, da eine Haftung laut EuGH jedenfalls bei Verstößen gegen Artt. 5–11, 32 DSGVO in Betracht komme (Rz. 20 ff. m.w.N.).
Keine Exkulpation:Eine Exkulpation etwa wegen weisungswidrigen Verhaltens oder Hacking-Angriffs obliege nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen. Da der Streaminganbieterin ein eigener, mindestens leicht fahrlässiger DSGVO-Verstoß vorzuwerfen sei, habe sie die fehlende Schadenskausalität nachweisen müssen. Die Bestätigungseinholung habe wohl zur Löschung und Angebotsverhinderung im Darknet geführt (Rz. 13, 23 m.w.N.).
Kontrollverlust als zweifelhafter Schaden:Der – selbst kurzzeitige – Datenkontrollverlust könne immaterieller Schaden sein, ohne dass besondere Befürchtungen hinzukommen müssten, die aber schadensvertiefend sein können (etwa BGH v. 11.2.2025 – VI ZR 365/22 – Verwaltung von Personalakten Rz. 15, CR 2025, 373; BAG v. 8.5.2025 – 8 AZR 209/21 – DSGVO-Schadensersatz im Arbeitsverhältnis Rz. 24). Überwiegend anders als deutsche Urteilsfassungen könnten englische und französische mit den Formulierungen „cause/causing“ bzw. „causer“ (z.B. EuGH v. 25.1.2024 – C-687/21 – MediaMarktSaturn Rz. 66, CR 2024, 160 = ITRB 2024, 59 [Rössel]) aber dafür sprechen, dass der EuGH den Kontrollverlust als bloß mögliche Ursache eines Schadens betrachte. Dann sei aber unklar, worin der Schaden als Zwischenstufe zwischen (unzureichendem) Kontrollverlust und (nicht erforderlichen) zusätzlichen spürbaren negativen Folgen (so EuGH v. 4.9.2025 – C-655/23 – Quirin Privatbank Rz. 60, CR 2025, 725 = ITRB 2025, 312 [Vogt]) bestehe und wie dies mit dem einen Schaden „darstellenden“ Kontrollverlust sowie hohem Datenschutzniveau vereinbar sein solle (Rz. 27–30 m.w.N.; vgl. Erwgrd. 75, 85, 146 Satz 3 DSGVO).
Datenmissbrauch:Dies könne hier offenbleiben, weil – ebenso wie die begründete Missbrauchsbefürchtung – der Datenmissbrauch ohne emotionalen Zusatzschaden isoliert den Schadensbegriff zweifelfrei erfülle. Dass negative Gefühle laut EuGH einen Schaden darstellen könnten, bedeute nicht deren zwingende Erforderlichkeit. Das Angebot im Darknet sei Datenmissbrauch, dem Datenkontrollverlust durch Datenabgriff mangels Löschung vorausgegangen sei. Auf ein der Löschpflicht wiederum vorausgegangenes Hacking komme es nur für Ersatzbemessung und nicht für Schadensbegründung an, da jeder rechtswidrige Datenabgriff Kontrollverlust und Missbrauchsgefahr intensiviere (Rz. 31–35 m.w.N.; Ls. 2).
Missbrauchsbefürchtung:Ein immaterieller Schaden werde zudem durch die mit Bekanntwerden des Vorfalls ausgelöste Befürchtung einer erneuten missbräuchlichen Verwendung seiner im Darknet veröffentlichten Daten seitens des Nutzers begründet. Die durch einen DSGVO-Verstoß empfundene Missbrauchsbefürchtung könne nach Auffassung des EuGH einen Schaden darstellen, sofern sie samt ihrer negativen Folgen ordnungsgemäß nachgewiesen sei. Ein rein hypothetisches Risiko reiche nicht. Sie müsse nach Einzelfallumständen und Betroffenem „begründet“ sein. Wie beim Kontrollverlust sei ein Missbrauchseintritt nicht erforderlich (vgl. Rz. 32). Die mit ihr verbundenen negativen Folgen können auch negative Gefühle – auch i.R.d. allgemeinen Lebensrisikos – sein (Rz. 36 f. m.w.N.).
Darlegungsanforderungen an Befürchtung:Gleichlautende Formulierungen zu Missbrauchsbefürchtungen in vielen Klageschriften vieler Betroffener stünden der Schlüssigkeit nicht entgegen. Je plausibler die konkrete Befürchtung sei, desto geringere Darlegungsanforderungen seien zu stellen. Beim Angebot von Namen und E‑Mail-Adresse im Darknet bestehe die sehr wahrscheinliche Gefahr einer missbräuchlichen Verwendung für betrügerische Werbemails an den Betroffenen oder in seinem Namen. Eine nachgewiesene entsprechende Befürchtung samt ihren negativen Folgen stelle einen immateriellen Schaden dar. Auf Gefahrenpotential, mögliche Vorsichtsmaßnahmen und Schadenszeitpunkt bzw. -eintritt (etwa erhaltene Spam-Mails) komme es dabei nicht an. Datensensibilität, Allgemeinheit des Spam-Risikos, Unwohlsein beim Erhalt ungebetener Nachrichten, Verzicht auf Änderung der E‑Mail-Adresse oder Kenntnis vom Verkauf im Darknet seien – mangels Erheblichkeitsschwelle – höchstens bei der Ersatzbemessung zu berücksichtigen. Der vorherige Hack unterbreche die Kausalität zwischen DSGVO-Verstoß und Missbrauchsbefürchtung nicht (Rz. 38–41 m.w.N.).
DSGVO Artt. 5 Abs. 1 lit. c, lit. e, lit. f, Abs. 2, 28 Abs. 3 Satz 2 lit. g, lit. h, 32, 82 Abs. 1
Das Problem
Hacker boten seit November 2022 Streamingdienstnutzerdaten im Darknet an. Sie waren von einem als Auftragsverarbeiter tätigen Webhoster vereinbarungs- und ankündigungswidrig nicht unmittelbar nach Auftragsende zum Ende 2019 gelöscht, sondern sind von der Produktiv- in eine Testumgebung überführt und von Mitarbeitern unbefugt weitergegeben oder von Hackern erbeutet worden. Die Streaminganbieterin informierte die Betroffenen. Ein abgegriffener Datensatz enthielt Namen, Geschlecht, Sprache, Registrierungsdatum und die – laut „haveibeenpwned.com“ schon zuvor gehackte – E‑Mail-Adresse eines Nutzers, der sich wegen Datenverbleib und Missbrauch durch Identitätsdiebstahl, Phishing und Werbemails sorgte.Die Entscheidung des Gerichts
Ansprüche gegen die Streaminganbieterin auf immateriellem Schadensersatz, Schadensersatzfeststellung und Kostenersatz könnten nicht ausgeschlossen werden, so dass die Sache zurückverwiesen werde.Eigene Verantwortlichkeit trotz Auftragsverarbeitung:Nur wenn der Auftragsverarbeiter DSGVO-widrig selbst Verarbeitungszwecke und -mittel bestimme (Auftragsverarbeiterexzesses i.S.v. Art. 28 Abs. 10 DSGVO), werde er Verantwortlicher. Der ursprüngliche Verantwortliche hafte nur dann nicht, wenn insb. die Verarbeitung nicht mit von ihm tatsächlich oder vernünftigerweise mutmaßlich festgelegten Modalitäten vereinbar sei und er den Auftragsverarbeiter mit dem Vertragsrecht zu konformem Verhalten gedrängt habe (Rz. 13, 16 m.w.N.).
Schutzpflichten bei Auftragsende:Der Verantwortliche habe wegen bei Auftragsbeendigung entfallender Rechtfertigung des in der Datenspeicherung liegenden Eingriffs in Artt. 7, 8 GRC sicherzustellen, dass – vorbehaltlich gesetzlicher Speicherpflichten – keine Daten beim Auftragsverarbeiter verblieben. Lösch- oder Rückgabepflichten sowie diesbezügliche Kontroll- und Nachweispflichten seien gem. Art. 28 Abs. 3 Satz 2 lit. g und h DSGVO vertraglich zu regeln. Jedenfalls wegen Datenminimierung und zeitlicher Speicherbegrenzung i.S.v. Art. 5 Abs. 1 lit. c und e DSGVO habe der Verantwortliche das im Einzelfall seinerseits Erforderliche zur Umsetzung dieser Vertragspflichten beizutragen. Der Datenzugang sei wegen der Pflicht zu angemessenen Sicherheitsmaßnahmen (Artt. 5 Abs. 2, Abs. 1 lit. f, 32 Abs. 1 DSGVO) zu entziehen. So seien u.a. nach Eintrittswahrscheinlichkeit und Schwere des Grundrechtsrisikos geeignete TOM „soweit wie möglich“ für ein angemessenes Schutzniveau zu treffen. Die Geeignetheit sei nachzuweisen. Gemäß Art. 32 Abs. 2 DSGVO seien konkrete Verarbeitungsrisiken u.a. durch unbefugten Zugang durch Cyberangriffe und unterlassene Löschung zu berücksichtigen (Rz. 17 ff. m.w.N.; Ls. 1).
Pflichtwidrig zugelassene lange Speicherung:Hier seien zwar vertragliche Regelungen insb. zur wahlweisen Rückgabe oder Löschung innerhalb von 21 Tagen und schriftlicher Bestätigung deren Vornahme auch durch Unterauftragsverarbeiter getroffen worden. Eine für das spätere Datenabgreifen mitursächliche Pflichtverletzung durch Nichtausübung des Wahlrechts könne dahinstehen, da eine Verletzung jedenfalls darin liege, dass sich die Löschungsankündigung für den nächsten Tag nur auf die „Site“ und nicht alle Datenkopien bezogen habe sowie die Bestätigung nicht fristgerecht eingefordert worden sei. Ob auch eine Pflichtverletzung außerhalb konkreter Verarbeitungsvorgänge ausreiche (so EuGH-GA v. 18.9.2025 – C-526/24 – Brillen Rottler Rz. 77), könne offenbleiben, da eine Haftung laut EuGH jedenfalls bei Verstößen gegen Artt. 5–11, 32 DSGVO in Betracht komme (Rz. 20 ff. m.w.N.).
Keine Exkulpation:Eine Exkulpation etwa wegen weisungswidrigen Verhaltens oder Hacking-Angriffs obliege nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen. Da der Streaminganbieterin ein eigener, mindestens leicht fahrlässiger DSGVO-Verstoß vorzuwerfen sei, habe sie die fehlende Schadenskausalität nachweisen müssen. Die Bestätigungseinholung habe wohl zur Löschung und Angebotsverhinderung im Darknet geführt (Rz. 13, 23 m.w.N.).
Kontrollverlust als zweifelhafter Schaden:Der – selbst kurzzeitige – Datenkontrollverlust könne immaterieller Schaden sein, ohne dass besondere Befürchtungen hinzukommen müssten, die aber schadensvertiefend sein können (etwa BGH v. 11.2.2025 – VI ZR 365/22 – Verwaltung von Personalakten Rz. 15, CR 2025, 373; BAG v. 8.5.2025 – 8 AZR 209/21 – DSGVO-Schadensersatz im Arbeitsverhältnis Rz. 24). Überwiegend anders als deutsche Urteilsfassungen könnten englische und französische mit den Formulierungen „cause/causing“ bzw. „causer“ (z.B. EuGH v. 25.1.2024 – C-687/21 – MediaMarktSaturn Rz. 66, CR 2024, 160 = ITRB 2024, 59 [Rössel]) aber dafür sprechen, dass der EuGH den Kontrollverlust als bloß mögliche Ursache eines Schadens betrachte. Dann sei aber unklar, worin der Schaden als Zwischenstufe zwischen (unzureichendem) Kontrollverlust und (nicht erforderlichen) zusätzlichen spürbaren negativen Folgen (so EuGH v. 4.9.2025 – C-655/23 – Quirin Privatbank Rz. 60, CR 2025, 725 = ITRB 2025, 312 [Vogt]) bestehe und wie dies mit dem einen Schaden „darstellenden“ Kontrollverlust sowie hohem Datenschutzniveau vereinbar sein solle (Rz. 27–30 m.w.N.; vgl. Erwgrd. 75, 85, 146 Satz 3 DSGVO).
Datenmissbrauch:Dies könne hier offenbleiben, weil – ebenso wie die begründete Missbrauchsbefürchtung – der Datenmissbrauch ohne emotionalen Zusatzschaden isoliert den Schadensbegriff zweifelfrei erfülle. Dass negative Gefühle laut EuGH einen Schaden darstellen könnten, bedeute nicht deren zwingende Erforderlichkeit. Das Angebot im Darknet sei Datenmissbrauch, dem Datenkontrollverlust durch Datenabgriff mangels Löschung vorausgegangen sei. Auf ein der Löschpflicht wiederum vorausgegangenes Hacking komme es nur für Ersatzbemessung und nicht für Schadensbegründung an, da jeder rechtswidrige Datenabgriff Kontrollverlust und Missbrauchsgefahr intensiviere (Rz. 31–35 m.w.N.; Ls. 2).
Missbrauchsbefürchtung:Ein immaterieller Schaden werde zudem durch die mit Bekanntwerden des Vorfalls ausgelöste Befürchtung einer erneuten missbräuchlichen Verwendung seiner im Darknet veröffentlichten Daten seitens des Nutzers begründet. Die durch einen DSGVO-Verstoß empfundene Missbrauchsbefürchtung könne nach Auffassung des EuGH einen Schaden darstellen, sofern sie samt ihrer negativen Folgen ordnungsgemäß nachgewiesen sei. Ein rein hypothetisches Risiko reiche nicht. Sie müsse nach Einzelfallumständen und Betroffenem „begründet“ sein. Wie beim Kontrollverlust sei ein Missbrauchseintritt nicht erforderlich (vgl. Rz. 32). Die mit ihr verbundenen negativen Folgen können auch negative Gefühle – auch i.R.d. allgemeinen Lebensrisikos – sein (Rz. 36 f. m.w.N.).
Darlegungsanforderungen an Befürchtung:Gleichlautende Formulierungen zu Missbrauchsbefürchtungen in vielen Klageschriften vieler Betroffener stünden der Schlüssigkeit nicht entgegen. Je plausibler die konkrete Befürchtung sei, desto geringere Darlegungsanforderungen seien zu stellen. Beim Angebot von Namen und E‑Mail-Adresse im Darknet bestehe die sehr wahrscheinliche Gefahr einer missbräuchlichen Verwendung für betrügerische Werbemails an den Betroffenen oder in seinem Namen. Eine nachgewiesene entsprechende Befürchtung samt ihren negativen Folgen stelle einen immateriellen Schaden dar. Auf Gefahrenpotential, mögliche Vorsichtsmaßnahmen und Schadenszeitpunkt bzw. -eintritt (etwa erhaltene Spam-Mails) komme es dabei nicht an. Datensensibilität, Allgemeinheit des Spam-Risikos, Unwohlsein beim Erhalt ungebetener Nachrichten, Verzicht auf Änderung der E‑Mail-Adresse oder Kenntnis vom Verkauf im Darknet seien – mangels Erheblichkeitsschwelle – höchstens bei der Ersatzbemessung zu berücksichtigen. Der vorherige Hack unterbreche die Kausalität zwischen DSGVO-Verstoß und Missbrauchsbefürchtung nicht (Rz. 38–41 m.w.N.).