BGH zur Auftragsverarbeitung: Unternehmen haften auch nach Vertragsende der Auftragsverarbeitung für nicht gelöschte personenbezogene Daten

Von /
BGH Auftragsverarbeitung Löschung von Daten

Mit Urteil vom 11.11.2025 hat der BGH (Az.: VI ZR 396/24) die Verantwortlichkeit von Unternehmen beim Ende einer Auftragsverarbeitung deutlich geschärft: Wer personenbezogene Daten an einen Dienstleister auslagert, bleibt auch nach Vertragsende in der Pflicht. Entscheidend ist nicht nur, dass vertraglich eine Löschung vereinbart wurde, sondern dass die Löschung oder Rückgabe der Daten tatsächlich sichergestellt und nachweisbar ist. Besonders relevant für die Praxis: Der BGH sieht bereits im Kontrollverlust über personenbezogene Daten und erst recht in deren Angebot im Darknet einen immateriellen Schaden im Sinne von Art. 82 DSGVO.

Inhaltsverzeichnis
  1. Sachverhalt
  2. Kernaussage zur Verantwortlichkeit
  3. Pflichtverletzungen der Beklagten
  4. Immaterieller Schaden (Art. 82 DSGVO)
  5. Feststellungsinteresse
  6. Haftungsvoraussetzungen
  7. Fazit für die Praxis

Sachverhalt

Dem Urteil lag ein Fall aus der Praxis der Auftragsverarbeitung zugrunde: Die Beklagte, ein in Frankreich ansässiger Betreiber eines Online-Musikstreamingdienstes, hatte einen externen Dienstleister mit der Verarbeitung von Nutzerdaten beauftragt. Dieses Auftragsverarbeitungsverhältnis endete am 1. Dezember 2019. Einen Tag zuvor teilte der Dienstleister per E-Mail mit, die Website der Beklagten und die dort befindlichen Daten würden am Folgetag gelöscht. Dabei blieb es zunächst auch: Eine ausdrückliche Bestätigung, dass die Daten tatsächlich vollständig gelöscht worden waren, erhielt die Beklagte damals nicht.

Später stellte sich heraus, dass genau diese Daten gerade nicht ordnungsgemäß entfernt worden waren. Nach den Feststellungen im Urteil stammten die später im Darknet angebotenen Datensätze aus dem Jahr 2019. Sie waren nach Auftragsende nicht wie vereinbart gelöscht, sondern von Mitarbeitern des Dienstleisters aus der Produktivumgebung in eine Testumgebung verschoben worden. Von dort gelangten sie entweder durch einen Hackerangriff oder durch eine unbefugte Weitergabe seitens von Mitarbeitern nach außen und wurden seit November 2022 im Darknet zum Verkauf angeboten. Erst am 22. Februar 2023 erklärte der Dienstleister gegenüber der Beklagten erstmals per E-Mail, die Löschung sei tatsächlich erfolgt. Zu diesem Zeitpunkt war der Vorfall aber bereits bekannt.

Betroffen war unter anderem der Kläger, ein Nutzer des Dienstes. Sein Datensatz umfasste Vor- und Nachname, Geschlecht, E-Mail-Adresse, Sprache und das Registrierungsdatum. Er machte geltend, die Beklagte habe die datenschutzrechtlich gebotenen technischen und organisatorischen Maßnahmen nicht ausreichend umgesetzt und insbesondere das Ende der Auftragsverarbeitung nicht wirksam kontrolliert. Wegen des Datenlecks verlangte er immateriellen Schadensersatz, außerdem die Feststellung, dass die Beklagte auch für künftige materielle Schäden haften müsse, etwa bei Identitätsmissbrauch oder Phishing. Während Landgericht und Oberlandesgericht die Klage noch abgewiesen hatten, hob der BGH diese Entscheidung teilweise auf und verwies die Sache zurück.

Kernaussage zur Verantwortlichkeit

Der BGH stellt unmissverständlich klar: Der Verantwortliche bleibt „Herr der Verarbeitung“, auch wenn ein externer Auftragsverarbeiter eingeschaltet wird. Diese Verantwortung endet nicht mit der Kündigung oder dem Auslaufen des Dienstleistervertrags. Vielmehr muss das Unternehmen aktiv dafür sorgen, dass beim Auftragsverarbeiter keine personenbezogenen Daten mehr verbleiben, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Schutzpflicht bei Auftragsende

Gerade bei der Beendigung einer Auftragsverarbeitung sieht der BGH eine eigenständige Schutzpflicht des Verantwortlichen. Denn sobald der Auftrag endet, entfällt die datenschutzrechtliche Rechtfertigung dafür, dass der Dienstleister weiterhin Zugriff auf die Daten hat. Für Unternehmen heißt das: Das Vertragsende ist kein Verwaltungsakt, sondern ein datenschutzrechtlicher Risikomoment.

Sicherstellung der Datenlöschung

Nach der Entscheidung genügt es nicht, im Vertrag eine Löschung vorzusehen. Der Verantwortliche muss das nach den Umständen Erforderliche tun, damit es tatsächlich zur Rückgabe oder Löschung kommt. Der BGH verlangt also keine bloße Papierlage, sondern eine wirksame Umsetzung. Praktisch bedeutet das: Löschkonzepte, Fristen, Nachweise und gegebenenfalls Kontrollen müssen so ausgestaltet sein, dass am Ende kein Datenbestand beim Dienstleister „liegen bleibt“.

Keine Exkulpation bei Eigenverstoß

Besonders wichtig für Geschäftsführer und Datenschutzverantwortliche: Ein Unternehmen kann sich nicht mit dem Hinweis entlasten, der Dienstleister habe eigenmächtig oder vertragswidrig gehandelt. Liegt ein eigener Pflichtverstoß des Verantwortlichen vor, etwa weil die ordnungsgemäße Löschung nicht eingefordert oder kontrolliert wurde, scheidet eine Exkulpation regelmäßig aus. Genau darin liegt die Sprengkraft des Urteils.

Pflichtverletzungen der Beklagten

Der BGH beanstandet nicht nur abstrakt das Verhalten der Beklagten, sondern arbeitet mehrere konkrete Versäumnisse heraus. Das macht die Entscheidung für die Praxis besonders wertvoll: Sie zeigt sehr klar, welche Fehler Unternehmen bei Offboarding-Prozessen mit Dienstleistern vermeiden müssen.

Verstoß gegen Art. 5 und 32 DSGVO

Nach Auffassung des BGH lag ein eigener Verstoß der Beklagten gegen Art. 5 Abs. 1 und 2 sowie Art. 32 DSGVO vor. Die Daten wurden nach Vertragsende länger gespeichert, als es zulässig war, und blieben dadurch unbefugt zugänglich. Der Schutz personenbezogener Daten endet eben nicht mit der letzten Rechnung des Dienstleisters, sondern erst mit dem tatsächlichen Ende jeder Zugriffsmöglichkeit.

Mangelhafte Überwachung des Dienstleisters

Die Beklagte hatte zwar vertragliche Regelungen mit dem Dienstleister getroffen. Das reichte dem BGH aber nicht. Der Verantwortliche darf sich nicht darauf beschränken, einen Vertrag mit Löschpflichten abzuschließen. Er muss bei Auftragsende kontrollieren, ob der Dienstleister diese Pflichten auch wirklich erfüllt. Genau diese praktische Überwachung fehlte.

Fehlende schriftliche Löschbestätigung

Im konkreten Fall hatte der Auftragsverarbeiter per E-Mail lediglich angekündigt, die Website und die dort befindlichen Daten am Folgetag zu löschen. Der BGH hält das weder formal noch inhaltlich für ausreichend. Erforderlich gewesen wäre eine ausdrückliche schriftliche Bestätigung, dass die Löschung vollständig erfolgt ist, und zwar einschließlich aller Kopien. Das ist ein klarer Fingerzeig für die Praxis: Ohne belastbaren Löschbeleg fehlt ein zentraler Nachweis der DSGVO-Compliance.

Verspätete Nachfrage nach 3 Jahren

Besonders gravierend war aus Sicht des Gerichts, dass die Beklagte erst 2023 nachfragte – also mehr als drei Jahre nach Auftragsende und erst nachdem der Vorfall bereits bekannt geworden war. Zu diesem Zeitpunkt waren die Daten aus dem Jahr 2019 längst nicht gelöscht worden, in eine Testumgebung gelangt und später im Darknet zum Verkauf angeboten worden. Wer so spät kontrolliert, kontrolliert zu spät.

Immaterieller Schaden (Art. 82 DSGVO)

Der zweite große Schwerpunkt des Urteils betrifft den Schadensbegriff. Der BGH folgt hier der EuGH-Linie und betont, dass Art. 82 DSGVO weit auszulegen ist. Das ist für Unternehmen haftungsrechtlich relevant, weil die Schwelle für ersatzfähige immaterielle Schäden nicht künstlich erhöht werden darf.

Kontrollverlust

Der BGH sieht im Verlust der Kontrolle über personenbezogene Daten einen zentralen Anknüpfungspunkt für einen immateriellen Schaden. Im Streitfall war der Schaden besonders naheliegend, weil die Daten nicht nur unbefugt zugänglich waren, sondern anschließend auch im Darknet angeboten wurden.

  • Bloßer Kontrollverlust als Schaden: Das Gericht bekräftigt, dass bereits der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann. Es braucht also nicht zwingend noch weitere spürbare Folgen. Diese Aussage ist für Unternehmen unangenehm, aber klar: Schon das Entgleiten der Datenhoheit kann schadensrechtlich relevant sein.
  • Keine Erheblichkeitsschwelle: Eine Bagatell- oder Erheblichkeitsschwelle lehnt der BGH unter Verweis auf die EuGH-Rechtsprechung ab. Mit anderen Worten: Der Schaden muss nachgewiesen sein, aber er muss kein bestimmtes „Gewicht“ erreichen. Argumente wie „nicht sensibel genug“ oder „solche Belästigungen hat heute jeder“ tragen deshalb nicht, jedenfalls nicht auf der Ebene des Schadensgrundes.
  • Verschlechterung durch Darknet-Veröffentlichung: Im entschiedenen Fall kam hinzu, dass die Daten nicht nur irgendwo unbefugt verblieben, sondern im Darknet zum Verkauf angeboten wurden. Spätestens dadurch sah der BGH den immateriellen Schaden als gegeben an. Das Angebot im Darknet verschärft den Kontrollverlust, erhöht das Missbrauchsrisiko und vertieft den Schaden.

Psychische Folgen

Neben dem Kontrollverlust erkennt der BGH auch psychische Belastungen als relevante Schadensfolgen an. Für die Praxis heißt das: Unternehmen sollten Ansprüche Betroffener nicht vorschnell mit dem Argument abtun, Sorgen oder Ärger seien bloß allgemeines Lebensrisiko.

  • Begründete Sorge vor Missbrauch: Die Befürchtung, die im Darknet angebotenen Daten könnten für Spam, Phishing oder Identitätsmissbrauch eingesetzt werden, kann für sich genommen einen immateriellen Schaden darstellen. Voraussetzung ist, dass diese Sorge unter den konkreten Umständen als begründet erscheint. Genau das hat der BGH hier angenommen. Bei Kombination aus Name und E-Mail-Adresse liegt ein Missbrauchsszenario aus Sicht des Gerichts nahe.
  • Negative Gefühle (Angst, Ärger): Der BGH macht deutlich, dass auch negative Gefühle wie Sorge, Ärger oder Angst Teil eines immateriellen Schadens sein können, wenn sie durch den Datenschutzverstoß ausgelöst wurden. Es ist also nicht erforderlich, dass Betroffene bereits einen Vermögensschaden oder eine manifeste psychische Erkrankung nachweisen.
  • Plausibilität bei Daten-Leak: Wichtig ist die prozessuale Botschaft: Die Anforderungen an die Darlegung solcher Sorgen dürfen nicht überspannt werden. Je plausibler die Missbrauchsgefahr im konkreten Fall ist, desto geringer sind die Anforderungen an die Darlegung. Bei einem bekannt gewordenen Datenleck mit Darknet-Bezug liegt diese Plausibilität besonders nahe.

Feststellungsinteresse

Der BGH stärkt außerdem die Position von Betroffenen bei Feststellungsklagen auf Ersatz künftiger Schäden. Das ist für Unternehmen deshalb relevant, weil Datenschutzvorfälle nicht mit der ersten Schadensmeldung erledigt sein müssen. Folgeansprüche können noch Jahre später eine Rolle spielen.

Zulässigkeit bei künftigen Schäden

Nach dem BGH ist ein Feststellungsantrag zulässig, wenn künftige materielle Schäden möglich erscheinen. Es braucht gerade keine überwiegende Wahrscheinlichkeit. Bei Datenschutzverletzungen, die in das Recht auf informationelle Selbstbestimmung eingreifen, reicht bereits die Möglichkeit weiterer Schäden aus.

Möglichkeit des Schadenseintritts genügt

Das Berufungsgericht hatte zu hohe Anforderungen gestellt. Der BGH korrigiert: Eine abnehmende Wahrscheinlichkeit mit zeitlichem Abstand schließt die Möglichkeit eines Schadenseintritts nicht aus. Für die Zulässigkeit der Feststellungsklage genügt, dass ein weiterer Schaden nicht völlig fernliegt.

Gefahr durch Identitätsdiebstahl/Phishing

Gerade weil Name und E-Mail-Adresse im Darknet angeboten wurden, hält der BGH künftige Schäden durch betrügerische E-Mails, Phishing oder Identitätsmissbrauch für nicht fernliegend. Für Unternehmen ist das ein Warnsignal: Selbst vermeintlich „weniger sensible“ Datensätze können eine reale Haftungsgefahr auslösen.

Haftungsvoraussetzungen

Das Urteil ist auch deshalb wichtig, weil es die Struktur des Anspruchs aus Art. 82 DSGVO sauber nachzeichnet. Für die Unternehmenspraxis ergibt sich daraus ein klares Prüfschema für Risikoanalysen nach Datenschutzvorfällen.

  1. Verstoß gegen die DSGVO: Erste Voraussetzung ist ein Verstoß gegen die DSGVO. Im entschiedenen Fall lag dieser in der unzureichenden Sicherstellung der Löschung und in der fehlenden Gewährleistung eines angemessenen Schutzniveaus nach Auftragsende.
  2. Eintritt eines Schadens: Zweite Voraussetzung ist ein materieller oder immaterieller Schaden. Der BGH nimmt diesen hier jedenfalls wegen des Kontrollverlusts, der Darknet-Veröffentlichung und der begründeten Sorge vor weiterem Missbrauch an.
  3. Kausalzusammenhang: Drittens muss der Schaden kausal auf dem Verstoß beruhen. Der BGH sieht diesen Zusammenhang als gegeben an: Wäre die gebotene Nachfrage rechtzeitig erfolgt und die Löschung durchgesetzt worden, hätten die Daten beim Dienstleister nicht mehr abgegriffen oder weitergegeben werden können.

Verschuldensvermutung des Verantwortlichen

Schließlich weist der BGH auf die Haftungsstruktur des Art. 82 DSGVO hin: Das Verschulden des Verantwortlichen wird vermutet. Nicht der Betroffene muss also das Verschulden nachweisen, sondern das Unternehmen muss sich entlasten. Gelingt das wegen eines eigenen Pflichtverstoßes nicht, bleibt es bei der Haftung.

Fazit für die Praxis

Das Urteil ist ein Weckruf für alle Unternehmen, die mit externen IT-, Hosting-, Support- oder SaaS-Dienstleistern arbeiten. Wer Auftragsverarbeitung beendet, braucht einen belastbaren Offboarding-Prozess: klare Löschfristen, dokumentierte Rückgabe- oder Löschentscheidungen, schriftliche Bestätigungen, Nachkontrollen und bei Bedarf Auditrechte. Die bloße Vertragsklausel reicht nicht. Für Geschäftsführer, Inhaber und interne Datenschutzbeauftragte lautet die zentrale Botschaft: Die Verantwortung endet nicht mit dem Vertrag, sondern erst mit der nachweisbaren Löschung der Daten.

Warenkorb

Alle Preise inkl. der gesetzlichen MwSt.

Nach oben scrollen
Cookie Consent mit Real Cookie Banner