BGH: Verantwortlicher haftet bei Datenverbleib nach Auftragsende – immaterieller Schaden durch Kontrollverlust, Darknet-Angebot und begründete Spam-Befürchtung
Der VI. Zivilsenat des BGH (Urt. v. 11.11.2025 – VI ZR 396/24) konkretisiert die Pflichten von Verantwortlichen beim Offboarding von Auftragsverarbeitern: Verbleiben Daten nach Vertragsende beim Auftragsverarbeiter und werden später abgegriffen und im Darknet angeboten, trägt der Verantwortliche die Haftung nach Art. 82 DSGVO. Maßgeblich sind verifizierte Rückgabe-/Löschprozesse, ein wirksamer Zugriffsentzug und belastbare Nachweise – eine bloße Löschungsankündigung genügt nicht.
Sachverhalt und Verfahrensgang
Die Beklagte betrieb einen Musikstreamingdienst und beendete zum 01.12.2019 die Auftragsverarbeitung. Der Auftragsverarbeiter kündigte per E?Mail die Löschung „am Folgetag“ an; eine Bestätigung der tatsächlichen, vollständigen Löschung samt Kopien erfolgte erst im Februar 2023. Seit November 2022 wurden Datensätze aus 2019 (u.a. Name, E?Mail, Sprache) im Darknet zum Verkauf angeboten. LG und OLG wiesen die Klage auf immateriellen Schadensersatz ab; der BGH hob auf und verwies zurück.
Die wesentlichen Aussagen des BGH
Der BGH bejaht einen eigenen Verstoß des Verantwortlichen: Dieser darf sich beim Auftragsende nicht mit einer Ankündigung begnügen, sondern muss den tatsächlichen Vollzug der Rückgabe/Löschung einschließlich Kopien zeitnah nachweisen lassen; die Geeignetheit der Sicherheitsmaßnahmen hat der Verantwortliche darzulegen und zu beweisen. Die Pflichten folgen aus Art. 5 Abs. 1 lit. c, e, f i.V.m. Abs. 2 sowie Art. 32 DSGVO; Verstöße gegen Art. 5/32 begründen zugleich eine unrechtmäßige Verarbeitung als Anknüpfung für Art. 82 Abs. 1 DSGVO.
Eine Entlastung nach Art. 82 Abs. 3 DSGVO scheidet aus, wenn der eigene Pflichtenverstoß mitursächlich ist. Der Verantwortliche müsste fehlende Kausalität seines Verstoßes nachweisen – das gelang hier nicht. Zum Schaden stellt der Senat klar:
- Missbräuchliche Verwendung durch Darknet-Angebot begründet jedenfalls einen immateriellen Schaden.
- Zusätzlich kann die begründete Befürchtung weiterer missbräuchlicher Verwendung – etwa Spam/Phishing – für sich genommen einen immateriellen Schaden darstellen, sofern sie samt negativer Folgen ordnungsgemäß dargelegt ist; eine Erheblichkeitsschwelle gibt es nicht.
- Vorherige Datenkompromittierungen nehmen den Schaden nicht weg; sie wirken allenfalls auf die Bemessung.
Praxisfolgen für Verantwortliche
Verantwortliche müssen das Offboarding als kontrollierte, nachweisbare Operation ausgestalten. Das umfasst die aktive Ausübung des Wahlrechts zwischen Rückgabe/Löschung, die vollständige Löschung aller Kopien, verifizierte Protokolle, fristnahe Bestätigungen sowie den effektiven Zugriffsentzug beim Auftragsende (Deprovisionierung, Schlüsselentzug, Test-/Staging-Umgebungen). Die Dokumentations- und Darlegungslast liegt beim Verantwortlichen; ein späterer Hackerangriff oder ein Aufgabenexzess des Auftragsverarbeiters trägt die Exkulpation nicht, wenn eigene Sicherungspflichten verletzt wurden. Für die Anspruchsseite erleichtert die Entscheidung die Durchsetzung immaterieller Schäden bei Kontrollverlust, missbräuchlicher Verwendung sowie bei begründeter Spam-/Phishing-Befürchtung im Anschluss an ein Darknet-Angebot.
To?do-Liste für das Offboarding
- Wahlrecht Rückgabe vs. Löschung aktiv ausüben; Kopienmanagement und Zugriffsentzug sicherstellen; Fristen setzen und überwachen.
- Schriftliche Vollzugsbestätigung „vollständige Einhaltung“ unverzüglich nach Fristablauf einfordern; verspätete Nachfragen vermeiden.
- TOM nach Art. 32 DSGVO risikobasiert dokumentieren; Geeignetheit und Wirksamkeit beweissicher festhalten.
- Vertragskontrolle nutzen: Nachweis- und Prüfrechte gem. Art. 28 Abs. 3 lit. h DSGVO tatsächlich ausüben.