Schadensersatz bei Datenleck: Der Anspruch nach Art. 82 DSGVO gewinnt durch die aktuelle Rechtsprechung des Bundesgerichtshofs erheblich an Bedeutung. Mit Urteil vom 11.11.2025 (Az. VI ZR 396/24) konkretisiert der BGH im Deezer-Verfahren die Haftung bei Datenschutzverstößen im Rahmen der Auftragsverarbeitung und stärkt die Rechtsposition betroffener Personen deutlich.
Im Zentrum der Entscheidung steht die Frage, unter welchen Voraussetzungen ein immaterieller Schaden im Sinne von Art. 82 DSGVO vorliegt. Der BGH stellt klar, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen eigenständigen Schaden darstellen kann. Damit widerspricht er der restriktiveren Sichtweise der Vorinstanzen und erteilt zugleich Ansätzen eine Absage, die den „bloßen“ Kontrollverlust nicht genügen lassen wollen.
Zugleich konkretisiert der BGH die haftungsrechtlichen Maßstäbe für Verantwortliche. Verstöße gegen die Grundsätze der Datenminimierung, Speicherbegrenzung und Integrität bzw. Vertraulichkeit aus Art. 5 Abs. 1 lit. c, e und f DSGVO, gegen die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO sowie gegen die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO können einen Schadensersatzanspruch aus Art. 82 DSGVO begründen.
Besonders praxisrelevant ist die klare Aussage des Gerichts zur fortdauernden Verantwortung des Unternehmens: Der Verantwortliche bleibt auch nach Beendigung der Auftragsverarbeitung „Lenker der Datenverarbeitung“ und muss aktiv sicherstellen, dass personenbezogene Daten beim Auftragsverarbeiter tatsächlich gelöscht oder zurückgegeben werden. Ein bloßes Vertrauen auf vertragliche Zusicherungen oder Löschankündigungen reicht nicht aus.
Die Entscheidung ist damit weit über den Einzelfall hinaus bedeutsam.
Der Deezer-Fall: Wie es zum Datenleck kam
Der Fall, der den DSGVO-Schadensersatz maßgeblich geprägt hat, betrifft den Musikstreaming-Dienst Deezer und ein klassisches Szenario fehlerhafter Auftragsverarbeitung. Bereits im Jahr 2019 wurden personenbezogene Daten an einen externen Dienstleister übermittelt. Nach Beendigung des Vertragsverhältnisses hätte dieser die Daten vollständig löschen müssen. Genau hier lag jedoch das zentrale Problem.
Zwar teilte der Auftragsverarbeiter mit, die Daten löschen zu wollen, tatsächlich unterblieb die Löschung jedoch. Stattdessen verblieben die Daten weiterhin beim Dienstleister, obwohl dessen Zugriffsrecht mit Beendigung des Auftragsverhältnisses bereits erloschen war.
Zudem wurden die Daten intern sogar in eine Testumgebung übertragen. Drei Jahre später tauchten genau diese Datensätze im Darknet auf und wurden zum Verkauf angeboten. Betroffen waren unter anderem:
- Name und Vorname
- E-Mail-Adresse
- Geschlecht und Sprache
- Registrierungsdaten
Rechtlich besonders relevant ist dabei, dass der unbefugte Zugriff nicht erst mit einem externen Hackerangriff begann. Nach Auffassung des BGH liegt das Risiko eines Datenabgriffs bereits darin, dass personenbezogene Daten nach Vertragsende weiterhin beim Auftragsverarbeiter gespeichert werden. Genau dieses Risiko hätte der Verantwortliche durch geeignete Maßnahmen „so weit wie möglich“ verhindern müssen.
Für die betroffenen Nutzer bedeutete dies nicht nur einen Kontrollverlust über ihre Daten, sondern auch ein erhöhtes Risiko für Phishing, Spam und Identitätsmissbrauch. Besonders kritisch ist, dass der Verantwortliche sich auf eine bloße Löschankündigung verlassen hatte, ohne eine tatsächliche Bestätigung einzuholen.
Der BGH bewertet dieses Verhalten ausdrücklich als eigene Pflichtverletzung des Verantwortlichen. Dieser habe nicht ausreichend auf die Einhaltung der Löschpflicht nach Art. 28 Abs. 3 lit. g DSGVO hingewirkt und damit zugleich gegen zentrale Grundsätze der DSGVO (Art. 5 Abs. 1 lit. c, e und f sowie Art. 5 Abs. 2 DSGVO) und gegen die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO verstoßen.
Die Vorinstanzen (LG und OLG Dresden) hatten einen Schadensersatzanspruch noch abgelehnt, insbesondere mit der Begründung, ein bloßer Kontrollverlust ohne nachgewiesene Folgen stelle keinen ersatzfähigen Schaden dar. Diese Auffassung weist der BGH jedoch ausdrücklich zurück und stellt klar, dass bereits der Kontrollverlust selbst einen immateriellen Schaden begründen kann.
Voraussetzungen für Schadensersatz bei einem Datenleck nach Art. 82 DSGVO
Ein Schadensersatz nach Art. 82 DSGVO setzt voraus, dass ein Verstoß gegen Datenschutzrecht vorliegt, ein materieller oder immaterieller Schaden entstanden ist und zwischen beidem ein Kausalzusammenhang besteht. An dieser dreistufigen Prüfung hält auch der BGH fest, senkt aber die Anforderungen an die Darlegung des immateriellen Schadens deutlich ab.
Entscheidend sind damit drei Voraussetzungen:
- ein Verstoß gegen die DSGVO
- ein materieller oder immaterieller Schaden
- ein Kausalzusammenhang zwischen Verstoß und Schaden
Ein Verstoß kann bereits darin liegen, dass der Verantwortliche nach Ende einer Auftragsverarbeitung die tatsächliche Löschung der Daten nicht kontrolliert.
Beim Schaden stellt der BGH klar, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen eigenständigen immateriellen Schaden darstellen kann. Hinzukommen können die missbräuchliche Verwendung der Daten – etwa durch eine Veröffentlichung im Darknet – sowie die begründete Befürchtung weiteren Missbrauchs.
Gerade bei einem Datenleck kommt es darauf an, ob personenbezogene Daten unbefugt offengelegt, unzureichend gelöscht oder Dritten zugänglich gemacht wurden. Eine Erheblichkeitsschwelle lehnt der BGH ab. Ob nur einfache oder sensible Daten betroffen sind, spielt daher nicht für den Anspruch als solchen, sondern allenfalls für die Höhe des Schadensersatzes eine Rolle.
Haftung nach der DSGVO: Warum Unternehmen verantwortlich bleiben
Ein zentraler Aspekt beim Anspruch auf Schadensersatz bei Datenleck ist die klare Aussage des BGH zur Verantwortlichkeit: Unternehmen können ihre datenschutzrechtliche Haftung nicht auf Auftragsverarbeiter verlagern.
Der BGH betont ausdrücklich, dass der Verantwortliche auch nach Beendigung der Auftragsverarbeitung „Lenker der Datenverarbeitung“ bleibt und für die Einhaltung der DSGVO verantwortlich ist. Eine Enthaftung kommt nur in Betracht, wenn der Verantwortliche nachweisen kann, dass er sämtliche erforderlichen Maßnahmen ergriffen hat.
Insbesondere genügt es nicht, sich auf vertragliche Vereinbarungen mit dem Auftragsverarbeiter zu berufen. Der Verantwortliche muss aktiv auf die Einhaltung der Löschpflicht hinwirken und deren Umsetzung tatsächlich kontrollieren. Unterbleibt dies, haftet er aus eigener Pflichtverletzung – unabhängig davon, ob der Auftragsverarbeiter vertragswidrig gehandelt hat. Eine Exkulpation nach Art. 82 Abs. 3 DSGVO scheidet in solchen Fällen regelmäßig aus.
Der BGH stellt damit klar, dass die Verantwortlichkeit nicht mit dem Abschluss eines Auftragsverarbeitungsvertrags endet, sondern eine fortlaufende Kontroll- und Überwachungspflicht besteht.
Diese Pflichten haben Verantwortliche bei Auftragsverarbeitung
- Sicherstellung der vollständigen Löschung oder Rückgabe aller Daten
- Einholung einer nachweisbaren Löschbestätigung
- Aktive Kontrolle des Auftragsverarbeiters
- Umsetzung technischer und organisatorischer Maßnahmen (Art. 32 DSGVO)
Darüber hinaus verlangt der BGH ein aktives „Drängen“ auf vertragskonformes Verhalten des Auftragsverarbeiters. Dies kann je nach Einzelfall auch weitergehende Maßnahmen umfassen, etwa die Anforderung von Löschprotokollen oder sogar Vor-Ort-Kontrollen. Ein bloßes Vertrauen auf Ankündigungen oder Standardvertragsklauseln reicht nicht aus.
Die Entscheidung macht zudem deutlich, dass bereits die Auswahl und Überwachung des Auftragsverarbeiters haftungsrelevant ist. Wer keinen „garantiert“ zuverlässigen Dienstleister einsetzt oder dessen Tätigkeit nicht ausreichend kontrolliert, setzt sich einem Haftungsrisiko aus.
Im konkreten Fall wurde genau diese Pflicht verletzt. Die um einige Jahre verspätete Nachfrage konnte das Datenleck nicht mehr verhindern. Damit war die Grundlage für einen DSGVO Schadensersatz bei Datenleck geschaffen.
EuGH gibt die Linie vor – der BGH setzt sie im Deezer-Fall um
Der BGH steht mit seiner Entscheidung nicht isoliert, sondern knüpft ausdrücklich an die Rechtsprechung des Europäischen Gerichtshofs (EuGH) an. Dieser hat bereits klargestellt, dass der Begriff des immateriellen Schadens weit auszulegen ist und keine Erheblichkeitsschwelle besteht.
Danach können auch negative Gefühle wie Sorge, Angst oder Ärger grundsätzlich ersatzfähig sein, sofern sie konkret auf den Datenschutzverstoß zurückzuführen sind. Es genügt also nicht, bloße Unannehmlichkeiten abstrakt zu behaupten. Erforderlich ist vielmehr eine nachvollziehbare, durch das Datenleck ausgelöste Belastung.
Gerade bei einer Veröffentlichung im Darknet liegt eine solche Belastung nahe, da das Risiko eines Missbrauchs objektiv erhöht ist. Der BGH knüpft ausdrücklich an die Rechtsprechung des EuGH an und übernimmt deren weite Auslegung des immateriellen Schadensbegriffs. Danach kann nicht nur der Kontrollverlust über personenbezogene Daten, sondern auch eine nachvollziehbare Befürchtung künftigen Missbrauchs einen eigenständigen Schaden darstellen.
Für die Praxis bedeutet das, dass die Anforderungen an die Darlegung eines immateriellen Schadens deutlich konkretisiert und zugleich nicht überspannt werden dürfen.
Folgen des Urteils: Mehr Rechte für Betroffene, höhere Risiken für Unternehmen
Für die Praxis verschiebt das Urteil die Maßstäbe deutlich. Ein DSGVO-Schadensersatzanspruch kann nicht mit der Begründung ausgeschlossen werden, es habe sich lediglich um einen geringfügigen Vorfall oder um weniger sensible Daten gehandelt. Sowohl BGH als auch EuGH machen deutlich, dass bereits der Kontrollverlust über personenbezogene Daten rechtlich erheblich sein kann. Kommen eine Darknet-Veröffentlichung oder konkrete Missbrauchsrisiken hinzu, steigt das Haftungsrisiko zusätzlich.
Für Betroffene bedeutet das vor allem bessere Durchsetzungschancen. Relevante Anknüpfungspunkte sind insbesondere:
- Veröffentlichung der Daten im Darknet
- ausbleibende oder verspätete Information durch das Unternehmen
- nachvollziehbare Sorge vor Spam, Phishing oder Identitätsmissbrauch
- fehlende Löschung nach Ende einer Auftragsverarbeitung
Hinzu kommt, dass auch ein Feststellungsantrag auf Ersatz künftiger Schäden leichter durchsetzbar sein kann. Nach der BGH-Entscheidung steht dem nicht schon entgegen, dass seit dem Vorfall bereits einige Zeit vergangen ist. Besteht weiterhin ein reales Missbrauchsrisiko, kann auch ein zukünftiger Schadenseintritt rechtlich relevant bleiben.
Für Unternehmen folgt daraus ein klarer Handlungsauftrag. Sie müssen nicht nur AV-Verträge sauber gestalten, sondern auch das Ende der Verarbeitung kontrollieren und dokumentieren. Besonders kritisch sind dabei Löschprozesse, Nachweispflichten und das Offboarding von Auftragsverarbeitern. Gerade an der Schnittstelle zwischen Vertragsende, Löschung und Nachweis entstehen in der Praxis die größten Haftungsrisiken beim DSGVO Schadensersatz bei Datenleck.
Die Entscheidung hat zudem über den Einzelfall hinaus Bedeutung für datenintensive Geschäftsmodelle, etwa bei ausgelagerten Cloud-, Hosting- oder KI-Prozessen. Je komplexer die Verarbeitungskette, desto höher sind die Anforderungen an ein wirksames Lösch- und Kontrollregime.
Schadensersatz bei Datenleck durchsetzen: Was Betroffene jetzt tun sollten
Wer von einem Datenleck betroffen ist, sollte strukturiert vorgehen, um einen DSGVO-Schadensersatz erfolgreich geltend zu machen. Die aktuelle Rechtsprechung senkt zwar die Hürden, ersetzt aber nicht die Notwendigkeit einer sauberen Dokumentation.
Zunächst sollten Betroffene klären, ob ihre Daten tatsächlich betroffen sind. Hinweise darauf können Mitteilungen des Unternehmens, Einträge in Datenbanken wie „Have I Been Pwned“ oder auffällige Aktivitäten wie vermehrte Phishing-Mails sein. Entscheidend ist, frühzeitig belastbare Anhaltspunkte zu sichern.
Checkliste: Schritte nach einem Datenleck
- Auskunft nach Art. 15 DSGVO beim Unternehmen einholen
- mögliche Veröffentlichung im Darknet prüfen
- ungewöhnliche Aktivitäten (Spam, Login-Versuche) dokumentieren
- Kommunikation mit dem Unternehmen sichern
- anwaltliche Beratung in Anspruch nehmen
Ergänzend sollten Betroffene ihre individuelle Betroffenheit konkret darlegen.
Dazu gehören insbesondere der erlebte Kontrollverlust sowie nachvollziehbare Sorgen vor künftigem Missbrauch. Konkrete Vorfälle wie Phishing können die Betroffenheit zusätzlich untermauern, sind jedoch keine Voraussetzung, weil sich ein konkreter Zusammenhang mit dem Datenleck oft nur schwer nachweisen lässt.
Auch mögliche zukünftige Schäden sollten berücksichtigt werden. Nach der BGH-Entscheidung schließt selbst ein längerer Zeitablauf einen künftigen Schadenseintritt nicht aus; bei im Darknet veröffentlichten Daten kann daher ein Feststellungsantrag in Betracht kommen.
Fazit: Schadensersatz bei Datenleck wird zur realen Option
Die aktuelle Rechtsprechung von BGH und EuGH markiert einen Wendepunkt für den Schadensersatz bei Datenleck. Der BGH stellt klar, dass Unternehmen ihre datenschutzrechtliche Verantwortung nicht auf Auftragsverarbeiter verlagern können und auch nach Vertragsende zur aktiven Kontrolle der Datenlöschung verpflichtet bleiben.
Unterbleibt diese Kontrolle und verbleiben Daten unbefugt beim Auftragsverarbeiter, liegt bereits darin ein eigenständiger Datenschutzverstoß mit Haftungsfolgen. Gelangen die Daten später in unbefugte Hände – etwa durch eine Veröffentlichung im Darknet – verdichtet sich das Haftungsrisiko zusätzlich.
Für Betroffene verbessert sich die rechtliche Ausgangslage erheblich. Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden begründen. Hinzukommen können die missbräuchliche Verwendung der Daten sowie die begründete Sorge vor künftigem Missbrauch als weitere eigenständige Schadenspositionen.
Eine Erheblichkeitsschwelle besteht nicht. Damit ist der DSGVO Schadensersatz deutlich früher eröffnet, als es Teile der bisherigen Rechtsprechung angenommen hatten.
Für Unternehmen bedeutet die Entscheidung eine spürbare Verschärfung der Compliance-Anforderungen: Löschprozesse, Nachweispflichten und die Kontrolle von Auftragsverarbeitern – insbesondere im Offboarding – rücken in den Mittelpunkt. Wer sich auf vertragliche Zusicherungen verlässt, handelt risikobehaftet.
Der Schadensersatz bei Datenleck ist damit kein theoretisches Instrument mehr, sondern ein praktisch durchsetzbarer Anspruch mit wachsender Bedeutung.
Fragen zum Schadensersatz bei Datenleck?
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht unterstützen Sie dabei, Ansprüche auf Schadensersatz bei Datenleck rechtlich fundiert zu prüfen und datenschutzrechtliche Risiken in Ihrem Unternehmen wirksam zu minimieren. Jetzt Beratung anfordern oder unverbindlich Kontakt mit uns aufnehmen!
Häufige Fragen (FAQ) zum Schadensersatz bei Datenleck
Ein Anspruch besteht, wenn ein Verstoß gegen die DSGVO vorliegt, ein Schaden entstanden ist und ein Zusammenhang zwischen beidem besteht. Nach der aktuellen Rechtsprechung reicht bereits der Verlust der Kontrolle über personenbezogene Daten aus, um einen immateriellen Schaden zu begründen.
Ja. Der Bundesgerichtshof stellt klar, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen eigenständigen immateriellen Schaden darstellen kann. Ein konkreter Missbrauch der Daten ist nicht zwingend erforderlich.
Nein. Ein konkreter Missbrauch ist nicht zwingend erforderlich. Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen. Eine tatsächliche missbräuchliche Nutzung kann aber die Höhe des Schadensersatzes beeinflussen.
Die Höhe hängt vom Einzelfall ab. Maßgeblich sind unter anderem die Dauer des Kontrollverlusts, die Art der Daten und ob es zu einer Veröffentlichung oder Missbrauch gekommen ist. In vergleichbaren Fällen bewegen sich Beträge häufig im mittleren dreistelligen Bereich, können aber auch darüber hinausgehen.
Ja. Wenn ein fortdauerndes Risiko besteht – etwa nach einer Veröffentlichung im Darknet – kann zusätzlich ein Feststellungsantrag gestellt werden, um zukünftige Schäden abzudecken.
Betroffene sollten Auskunft beim Unternehmen einholen, mögliche Veröffentlichungen prüfen, verdächtige Aktivitäten dokumentieren und rechtlichen Rat einholen. Eine frühzeitige und strukturierte Dokumentation erhöht die Erfolgschancen erheblich.
Weiterführende Themen
Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz
Schadensersatz bei Datenschutzverstößen bleibt möglich – aber nur unter klaren Voraussetzungen. Der EuGH konkretisiert die Anforderungen an Art. 82 DSGVO.
EuGH-Urteil zu Schadensersatz nach Art. 82 DSGVO
Der EuGH hat mit seinem Urteil vom 4. Mai 2023 erstmals klargestellt, wann ein Schadensersatz nach Art. 82 DSGVO möglich ist. Ein bloßer DSGVO-Verstoß reicht nicht aus – Betroffene müssen einen konkreten materiellen oder immateriellen Schaden nachweisen.
OLG Hamm Facebook-Datenleck und Art. 82 DSGVO
Das OLG Hamm verneint einen DSGVO-Schadensersatz beim Facebook-Datenleck. Trotz Datenschutzverstoß fehlt ohne konkreten immateriellen Schaden ein Anspruch nach Art. 82 DSGVO. Das Urteil ist richtungsweisend für Scraping-Fälle und Klagen gegen Meta.