Vertrauen ist gut, Kontrolle ist besser!

Dieser Leitsatz gilt ganz besonders beim Einsatz von Auftragsverarbeitern.

Auch wenn externe Dienstleister gem. Art. 28 DSGVO zur Einhaltung des Auftragsverarbeitungsvertrags vertraglich verpflichtet sind, bedeutet das nicht, dass sich der Verantwortliche zurücklehnen kann. Letztlich sind es seine Daten, für die er Sorge zu tragen hat und Verantwortung übernehmen muss.

Ein Urteil des Bundesgerichtshofs vom 11. November 2025 (Az.: VI ZR 396/24) unterstreicht, wie weit diese Verantwortung reicht und warum bloße Zusagen von Auftragnehmern datenschutzrechtlich nicht genügen.

Was ist passiert?

Im vorliegenden Fall kam es zu einem Datenleck bei einem Musikstreamingdienst (Beklagte), weil der bis zum 01. Dezember 2019 beauftragte Auftragsverarbeiter seiner per E-Mail angekündigten Löschung nicht nachgekommen war. Statt die Daten wie vertraglich vereinbart zu löschen, wurden sie in eine Testumgebung überführt. Im November 2022 tauchten Datensätze der Nutzer aus dem Jahr 2019 im Darknet auf, woraufhin die Beklagte die betroffenen Kunden informierte. Auch der Datensatz des Klägers – Vor- und Nachname, Geschlecht, E-Mail-Adresse, Sprache und Registrierungsdatum – waren betroffen. Der Kläger behauptete, das Unternehmen habe seine Daten nicht ausreichend geschützt und forderte daher immateriellen Schadensersatz von dem Streamingdienst. Nachdem seine Klage in den Vorinstanzen erfolglos blieb, legte er Revision beim Bundesgerichtshof (BGH) ein.

Wann liegt ein Schadensersatz gem. Art. 82 Abs. 1 DSGVO vor?

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Ein Anspruch auf Schadensersatz setzt nach Art. 82 Abs. 1 DSGVO einen Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus (vgl. EuGH, Urteil vom 04. Oktober 2024 – C-200/23). Die drei Voraussetzungen müssen alle drei erfüllt sein und grundsätzlich durch die betroffene Person – hier den Kläger – dargelegt und bewiesen werden. Ein Verschulden des Verantwortlichen muss der Kläger nicht nachweisen können, dies wird vielmehr vermutet.

Der Verantwortliche kann sich nach Art. 82 Abs. 3 DSGVO nur entlasten, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

1. Verstoß

Nach Auffassung des BGH liegt der DSGVO-Verstoß nicht nur beim Auftragsverarbeiter, sondern vor allem bei der Verantwortlichen selbst. Zwar hatte die Beklagte mit dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO vertraglich vereinbart, dass der Auftragnehmer nach Beendigung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl der Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht. Allerdings ist sie ihrer Pflicht nicht nachgekommen, die tatsächliche Erfüllung dieser Verpflichtungen sicherzustellen.

Der BGH lässt offen, ob sich die hier in Rede stehende Kontroll- bzw. Nachweispflicht aus Art. 28 Abs. 3 S. 2 lit. h DSGVO ergibt, wonach der Auftragsverarbeiter der Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Rückgabe- und Löschpflicht zur Verfügung stellt und Überprüfungen von der Verantwortlichen ermöglicht und dazu beiträgt. Entscheidend ist hier viel mehr, dass bereits der Grundsatz der Datenminimierung sowie der Grundsatz der Speicherbegrenzung den zulässigen Speicherzeitraum definiert und damit den Zeitpunkt der Lösch- bzw. Rückgabepflicht bedingt. Für deren Einhaltung ist die Beklagte als verantwortliche Stelle gem. Art. 5 Abs. 2 DSGVO verantwortlich. Zudem hat die Verantwortliche bei Beendigung des Auftrags zu gewährleisten, dass jeglicher Zugang zu den betreffenden Daten entzogen ist (Grundsatz der Integrität und Vertraulichkeit) und eine angemessene Datensicherung besteht (Gewährleistung angemessenerer technischer und organisatorischen Maßnahmen). Das Gericht betonte ferner, dass das Risiko eines unbefugten Zugriffs bereits nach Beendigung des Auftragsverhältnisses beim Auftragsverarbeiter bestand und nicht erst mit deren späteren Erbeutung durch unberechtigte Dritte (Hacker).

Im konkreten Fall hatte die Beklagte ergänzend zu Art. 28 DSGVO vertraglich vereinbart, dass die Löschung binnen 21 Tagen nach Beendigung der Zusammenarbeit zu erfolgen habe und dies schriftlich zu bestätigen sei. Die Beklagte begnügte sich jedoch mit der bloßen Ankündigung des Dienstleisters, die Daten am nächsten Tag zu löschen, ohne die vertraglich geschuldeten Bestätigung der vollständigen Löschung einzufordern. Eine Nachfragte erfolgte erst im Februar 2023, nachdem das Datenleck bereits bekannt war. Vor diesem Hintergrund hat die Beklagte ihre eigenen Pflichten aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e und f DSGVO sowie aus Art. 32 Abs. 1 DSGVO verletzt und für die damit einhergehenden Folgen einzustehen – ungeachtet davon, dass der Auftragsverarbeiter ebenfalls gegen die DSGVO verstoßen hat.

2. Schaden

Der Begriff des Schadens ist nach ErwGr 146 S. 3 DSGVO weit auszulegen, und zwar auf eine Art und Weise, die den Zielen der DSGVO in vollem Umfang entspricht. Nach der Rechtsprechung des EuGH vom 04. Oktober 2024 kann ein immaterieller Schaden bereits im bloßen – auch kurzfristigen – Verlust der Kontrolle über personenbezogene Daten liegen. Voraussetzung ist jedoch, dass die betroffene Person den Schaden auch tatsächlich nachweist – so gering er auch sein mag.

Im vorliegenden Fall hatten nach Beendigung der Auftragsverarbeitung sowohl der ehemalige Auftragnehmer als auch unbefugte Dritte (Hacker) Zugriff auf die Daten. Hierdurch verlor der Betroffene die Kontrolle über seine Daten. Darüber hinaus wurden die Daten missbräuchlich verwendet, indem sie im Darknet zum Kauf angeboten wurden. Somit kam es infolge des Kontrollverlustes auch zu einer missbräuchlichen Nutzung. Spätestens damit kommt es nach Ansicht des BGH zu einem immateriellen Schaden beim Betroffenen.

3. Kausalzusammenhang

Zwischen dem Verstoß und dem Schaden muss ein ursächlicher Zusammenhang bestehen: Hätte die Beklagte fristgerecht die Löschbestätigung eingefordert, wären die Daten nicht beim Dienstleister verblieben und folglich nicht abgegriffen worden. Somit ist die Pflichtverletzung der Beklagten mitursächlich für den entstandenen Schaden.

Entscheidung des BGH

Bei Beendigung einer Auftragsverarbeitung muss der Schutz der Betroffenenrechte sichergestellt werden, wonach keinerlei personenbezogenen Daten beim Auftragsverarbeiter verbleiben dürfen. Eine Ausnahme hiervon besteht nur, wenn gesetzliche Aufbewahrungspflichten entgegenstehen. Der Verantwortliche muss daher entsprechend des Einzelfalls seinerseits die erforderlichen Maßnahmen ergreifen, um sicherzustellen, dass die Rückgabe bzw. Löschung bei Auftragsende auch tatsächlich erfolgt ist.

Werden nach Beendigung des Auftragsverarbeitungsverhältnisses beim Auftragnehmer verbliebene Daten abgegriffen und im Darknet angeboten, liegt ein immaterieller Schaden gem. Art. 82 Abs. 1 DSGVO vor. Das gilt auch dann, wen die Daten bereit zuvor unrechtmäßig abgegriffen wurden.

Fazit

Das Urteil zeigt, dass gerade in der Beendigungsphase die datenschutzrechtlichen Pflichten mit derselben Sorgfalt umzusetzen sind wie bei der Auswahl und Einbindung neuer Dienstleister. Denn letztlich bleibt der Verantwortliche bei Einsatz eines Auftragsverarbeiters datenschutzrechtlich Verantwortlicher für seine Daten. Bloße Ankündigungen – etwa zur Löschung – genügen nicht. Es bedarf vielmehr überprüfbarer, dokumentierter Maßnahmen. Unterbleiben solche Kontroll- und Nachweispflichten, kann dies einen Verstoß gegen die DSGVO begründen und Haftungsrisiken für den Verantwortlichen nach Art. 82 DSGVO auslösen. Die in Art. 28 DSGVO verankerten Kontroll‑ und Nachweispflichten sollten daher als Muss-Vorgabe gelesen werden, denn vertragliche Regelungen ersetzen keine wirksame Kontrolle und Dokumentation der Umsetzung.