Datenkontrollverlust als zweifelhafter Schaden
BGH v. 11.11.2025 - VI ZR 396/24
Der Sachverhalt:
Hacker boten seit November 2022 Streamingdienstnutzerdaten im Darknet an. Sie waren von einem als Auftragsverarbeiter tätigen Webhoster vereinbarungs- und ankündigungswidrig nicht unmittelbar nach Auftragsende zum Ende 2019 gelöscht, sondern sind von der Produktiv- in eine Testumgebung überführt und von Mitarbeitern unbefugt weitergegeben oder von Hackern erbeutet worden. Die Streaminganbieterin informierte die Betroffenen. Ein abgegriffener Datensatz enthielt Namen, Geschlecht, Sprache, Registrierungsdatum und die - laut "haveibeenpwned.com" schon zuvor gehackte - E‑Mail-Adresse eines Nutzers, der sich wegen Datenverbleib und Missbrauch durch Identitätsdiebstahl, Phishing und Werbemails sorgte.
Der BGH entschied, dass Ansprüche gegen die Streaminganbieterin auf immateriellem Schadensersatz, Schadensersatzfeststellung und Kostenersatz nicht ausgeschlossen werden könnten, so dass die Sache zurückverwiesen wurde.
Die Gründe:
Der Verantwortliche hat wegen bei Auftragsbeendigung entfallender Rechtfertigung des in der Datenspeicherung liegenden Eingriffs in Artt. 7, 8 GRC sicherzustellen, dass - vorbehaltlich gesetzlicher Speicherpflichten - keine Daten beim Auftragsverarbeiter verbleiben. Lösch- oder Rückgabepflichten sowie diesbezügliche Kontroll- und Nachweispflichten sind gem. Art. 28 Abs. 3 Satz 2 lit. g und h DSGVO vertraglich zu regeln. Jedenfalls wegen Datenminimierung und zeitlicher Speicherbegrenzung i.S.v. Art. 5 Abs. 1 lit. c und e DSGVO hat der Verantwortliche das im Einzelfall seinerseits Erforderliche zur Umsetzung dieser Vertragspflichten beizutragen. Der Datenzugang ist wegen der Pflicht zu angemessenen Sicherheitsmaßnahmen (Artt. 5 Abs. 2, Abs. 1 lit. f, 32 Abs. 1 DSGVO) zu entziehen. So sind u.a. nach Eintrittswahrscheinlichkeit und Schwere des Grundrechtsrisikos geeignete TOM "soweit wie möglich" für ein angemessenes Schutzniveau zu treffen. Die Geeignetheit ist nachzuweisen. Gemäß Art. 32 Abs. 2 DSGVO sind konkrete Verarbeitungsrisiken u.a. durch unbefugten Zugang durch Cyberangriffe und unterlassene Löschung zu berücksichtigen.
Hier sind zwar vertragliche Regelungen insb. zur wahlweisen Rückgabe oder Löschung innerhalb von 21 Tagen und schriftlicher Bestätigung deren Vornahme auch durch Unterauftragsverarbeiter getroffen worden. Eine für das spätere Datenabgreifen mitursächliche Pflichtverletzung durch Nichtausübung des Wahlrechts kann dahinstehen, da eine Verletzung jedenfalls darin liegt, dass sich die Löschungsankündigung für den nächsten Tag nur auf die "Site" und nicht alle Datenkopien bezog sowie die Bestätigung nicht fristgerecht eingefordert wurde.
Eine Exkulpation etwa wegen weisungswidrigen Verhaltens oder Hacking-Angriffs obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen. Da der Streaminganbieterin ein eigener, mindestens leicht fahrlässiger DSGVO-Verstoß vorzuwerfen ist, hat sie die fehlende Schadenskausalität nachweisen müssen. Die Bestätigungseinholung hat wohl zur Löschung und Angebotsverhinderung im Darknet geführt.
Der - selbst kurzzeitige - Datenkontrollverlust kann immaterieller Schaden sein, ohne dass besondere Befürchtungen hinzukommen müssen, die aber schadensvertiefend sein können (etwa BGH v. 11.2.2025 - VI ZR 365/22 - Verwaltung von Personalakten Rz. 15, CR 2025, 373). Überwiegend anders als deutsche Urteilsfassungen könnten englische und französische mit den Formulierungen "cause/causing" bzw. "causer" (z.B. EuGH v. 25.1.2024 - C-687/21 - MediaMarktSaturn Rz. 66, CR 2024, 160 = ITRB 2024, 59 [Rössel]) aber dafür sprechen, dass der EuGH den Kontrollverlust als bloß mögliche Ursache eines Schadens betrachtet. Dann ist aber unklar, worin der Schaden als Zwischenstufe zwischen (unzureichendem) Kontrollverlust und (nicht erforderlichen) zusätzlichen spürbaren negativen Folgen (so EuGH v. 4.9.2025 - C-655/23 - Quirin Privatbank Rz. 60, CR 2025, 725 = ITRB 2025, 312 [Vogt]) besteht und wie dies mit dem einen Schaden "darstellenden" Kontrollverlust sowie hohem Datenschutzniveau vereinbar sein soll.
Dies kann hier offenbleiben, weil - ebenso wie die begründete Missbrauchsbefürchtung - der Datenmissbrauch ohne emotionalen Zusatzschaden isoliert den Schadensbegriff zweifelsfrei erfüllt. Dass negative Gefühle laut EuGH einen Schaden darstellen können, bedeutet nicht deren zwingende Erforderlichkeit. Das Angebot im Darknet ist Datenmissbrauch, dem Datenkontrollverlust durch Datenabgriff mangels Löschung vorausgegangen ist. Auf ein der Löschpflicht wiederum vorausgegangenes Hacking kommt es nur für Ersatzbemessung und nicht für Schadensbegründung an, da jeder rechtswidrige Datenabgriff Kontrollverlust und Missbrauchsgefahr intensiviert.
Mehr zum Thema:
Link zum Volltext der Entscheidung
Konsequenzen für die Praxis/Beraterhinweis
von RA Markus Rössel, LL.M. (Informationsrecht),
in ITRB 2026, 33
Aufsatz
Die divergierende höchstrichterliche Rechtsprechung zum immateriellen Schadenersatz wegen Kontrollverlust nach Art. 82 DSGVO
Jürgen Hartung, CR 2026, 25
alles enthalten im
Beratermodul IT-Recht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt.
Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
BGH online
Hacker boten seit November 2022 Streamingdienstnutzerdaten im Darknet an. Sie waren von einem als Auftragsverarbeiter tätigen Webhoster vereinbarungs- und ankündigungswidrig nicht unmittelbar nach Auftragsende zum Ende 2019 gelöscht, sondern sind von der Produktiv- in eine Testumgebung überführt und von Mitarbeitern unbefugt weitergegeben oder von Hackern erbeutet worden. Die Streaminganbieterin informierte die Betroffenen. Ein abgegriffener Datensatz enthielt Namen, Geschlecht, Sprache, Registrierungsdatum und die - laut "haveibeenpwned.com" schon zuvor gehackte - E‑Mail-Adresse eines Nutzers, der sich wegen Datenverbleib und Missbrauch durch Identitätsdiebstahl, Phishing und Werbemails sorgte.
Der BGH entschied, dass Ansprüche gegen die Streaminganbieterin auf immateriellem Schadensersatz, Schadensersatzfeststellung und Kostenersatz nicht ausgeschlossen werden könnten, so dass die Sache zurückverwiesen wurde.
Die Gründe:
Der Verantwortliche hat wegen bei Auftragsbeendigung entfallender Rechtfertigung des in der Datenspeicherung liegenden Eingriffs in Artt. 7, 8 GRC sicherzustellen, dass - vorbehaltlich gesetzlicher Speicherpflichten - keine Daten beim Auftragsverarbeiter verbleiben. Lösch- oder Rückgabepflichten sowie diesbezügliche Kontroll- und Nachweispflichten sind gem. Art. 28 Abs. 3 Satz 2 lit. g und h DSGVO vertraglich zu regeln. Jedenfalls wegen Datenminimierung und zeitlicher Speicherbegrenzung i.S.v. Art. 5 Abs. 1 lit. c und e DSGVO hat der Verantwortliche das im Einzelfall seinerseits Erforderliche zur Umsetzung dieser Vertragspflichten beizutragen. Der Datenzugang ist wegen der Pflicht zu angemessenen Sicherheitsmaßnahmen (Artt. 5 Abs. 2, Abs. 1 lit. f, 32 Abs. 1 DSGVO) zu entziehen. So sind u.a. nach Eintrittswahrscheinlichkeit und Schwere des Grundrechtsrisikos geeignete TOM "soweit wie möglich" für ein angemessenes Schutzniveau zu treffen. Die Geeignetheit ist nachzuweisen. Gemäß Art. 32 Abs. 2 DSGVO sind konkrete Verarbeitungsrisiken u.a. durch unbefugten Zugang durch Cyberangriffe und unterlassene Löschung zu berücksichtigen.
Hier sind zwar vertragliche Regelungen insb. zur wahlweisen Rückgabe oder Löschung innerhalb von 21 Tagen und schriftlicher Bestätigung deren Vornahme auch durch Unterauftragsverarbeiter getroffen worden. Eine für das spätere Datenabgreifen mitursächliche Pflichtverletzung durch Nichtausübung des Wahlrechts kann dahinstehen, da eine Verletzung jedenfalls darin liegt, dass sich die Löschungsankündigung für den nächsten Tag nur auf die "Site" und nicht alle Datenkopien bezog sowie die Bestätigung nicht fristgerecht eingefordert wurde.
Eine Exkulpation etwa wegen weisungswidrigen Verhaltens oder Hacking-Angriffs obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen. Da der Streaminganbieterin ein eigener, mindestens leicht fahrlässiger DSGVO-Verstoß vorzuwerfen ist, hat sie die fehlende Schadenskausalität nachweisen müssen. Die Bestätigungseinholung hat wohl zur Löschung und Angebotsverhinderung im Darknet geführt.
Der - selbst kurzzeitige - Datenkontrollverlust kann immaterieller Schaden sein, ohne dass besondere Befürchtungen hinzukommen müssen, die aber schadensvertiefend sein können (etwa BGH v. 11.2.2025 - VI ZR 365/22 - Verwaltung von Personalakten Rz. 15, CR 2025, 373). Überwiegend anders als deutsche Urteilsfassungen könnten englische und französische mit den Formulierungen "cause/causing" bzw. "causer" (z.B. EuGH v. 25.1.2024 - C-687/21 - MediaMarktSaturn Rz. 66, CR 2024, 160 = ITRB 2024, 59 [Rössel]) aber dafür sprechen, dass der EuGH den Kontrollverlust als bloß mögliche Ursache eines Schadens betrachtet. Dann ist aber unklar, worin der Schaden als Zwischenstufe zwischen (unzureichendem) Kontrollverlust und (nicht erforderlichen) zusätzlichen spürbaren negativen Folgen (so EuGH v. 4.9.2025 - C-655/23 - Quirin Privatbank Rz. 60, CR 2025, 725 = ITRB 2025, 312 [Vogt]) besteht und wie dies mit dem einen Schaden "darstellenden" Kontrollverlust sowie hohem Datenschutzniveau vereinbar sein soll.
Dies kann hier offenbleiben, weil - ebenso wie die begründete Missbrauchsbefürchtung - der Datenmissbrauch ohne emotionalen Zusatzschaden isoliert den Schadensbegriff zweifelsfrei erfüllt. Dass negative Gefühle laut EuGH einen Schaden darstellen können, bedeutet nicht deren zwingende Erforderlichkeit. Das Angebot im Darknet ist Datenmissbrauch, dem Datenkontrollverlust durch Datenabgriff mangels Löschung vorausgegangen ist. Auf ein der Löschpflicht wiederum vorausgegangenes Hacking kommt es nur für Ersatzbemessung und nicht für Schadensbegründung an, da jeder rechtswidrige Datenabgriff Kontrollverlust und Missbrauchsgefahr intensiviert.
Link zum Volltext der Entscheidung
Konsequenzen für die Praxis/Beraterhinweis
von RA Markus Rössel, LL.M. (Informationsrecht),
in ITRB 2026, 33
Aufsatz
Die divergierende höchstrichterliche Rechtsprechung zum immateriellen Schadenersatz wegen Kontrollverlust nach Art. 82 DSGVO
Jürgen Hartung, CR 2026, 25
alles enthalten im
Beratermodul IT-Recht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt.
Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.