Der DSGVO-Schadensersatz bei Datenpanne gewinnt durch ein aktuelles Urteil des Bundesgerichtshofs (BGH) erheblich an praktischer Relevanz. Mit Entscheidung vom 11.11.2025 (Az. VI ZR 396/24) im Deezer-Verfahren konkretisiert das Gericht die Haftung bei Datenschutzverstößen und zwar insbesondere im Rahmen der Auftragsverarbeitung.
Im Mittelpunkt steht die Auslegung von Art. 82 DSGVO und damit die Frage, unter welchen Voraussetzungen ein immaterieller Schaden vorliegt. Der BGH verfolgt dabei eine deutlich weitergehende Linie als die Vorinstanzen und stärkt die Position betroffener Personen.
DSGVO-Schadensersatz bei Datenpanne: Kontrollverlust als Schaden
Der BGH stellt klar: Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden darstellen. Zusätzliche konkrete Nachteile sind nicht zwingend erforderlich.
Damit erteilt das Gericht restriktiven Auffassungen eine Absage, die den „bloßen“ Kontrollverlust bislang nicht ausreichen lassen wollten.
Strengere Anforderungen an Verantwortliche
Gleichzeitig präzisiert der BGH die haftungsrechtlichen Maßstäbe für Unternehmen. Ein DSGVO-Schadensersatz bei Datenpanne kommt insbesondere bei folgenden Verstößen in Betracht:
- Missachtung der Datenminimierung und Speicherbegrenzung
- Verletzung von Integrität und Vertraulichkeit
- Verstoß gegen die Rechenschaftspflicht
- unzureichende technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Besonders praxisrelevant ist die fortdauernde Verantwortung: Auch nach Beendigung einer Auftragsverarbeitung bleibt das Unternehmen verpflichtet, die ordnungsgemäße Löschung oder Rückgabe der Daten aktiv zu kontrollieren. Ein Vertrauen auf bloße Zusicherungen reicht nicht aus.
Der Deezer-Fall zeigt typische Risiken bei der Auftragsverarbeitung
Der Fall rund um den Musikstreaming-Dienst Deezer ist ein anschauliches Beispiel dafür, wie schnell aus einer unzureichend kontrollierten Auftragsverarbeitung eine haftungsträchtige Datenpanne werden kann. Ausgangspunkt war die Übermittlung personenbezogener Daten an einen externen Dienstleister im Jahr 2019. Nach dem Ende des Vertrags hätte dieser die Informationen vollständig löschen oder zurückgeben müssen. Genau das geschah aber nicht.
Obwohl der Auftragsverarbeiter eine Löschung angekündigt hatte, blieben die Datensätze weiterhin gespeichert. Problematisch war dabei nicht nur die fortgesetzte Aufbewahrung nach Vertragsende. Die Daten wurden intern sogar noch in eine Testumgebung übernommen. Jahre später tauchten genau diese Informationen im Darknet auf und wurden dort zum Verkauf angeboten.
Betroffen waren unter anderem folgende Angaben:
- Vor- und Nachname
- E-Mail-Adresse
- Geschlecht
- Sprache
- Registrierungsdaten
Warum der BGH den Pflichtverstoß schon deutlich früher ansetzt
Rechtlich besonders relevant ist, dass der BGH das Problem nicht erst mit dem späteren Auftauchen der Daten im Darknet beginnen lässt. Nach Auffassung des Gerichts lag das Risiko bereits in dem Moment vor, in dem die personenbezogenen Daten nach Beendigung der Auftragsverarbeitung weiter beim Dienstleister verblieben.
Damit macht der BGH deutlich: Schon die fortgesetzte Speicherung nach Vertragsende kann einen datenschutzrechtlich relevanten Verstoß begründen. Der Verantwortliche hätte durch geeignete Maßnahmen sicherstellen müssen, dass ein Zugriff auf die Daten so weit wie möglich ausgeschlossen wird.
Für die betroffenen Nutzer folgte daraus nicht nur ein Verlust der Kontrolle über ihre personenbezogenen Daten. Hinzu kam ein konkretes Risiko für Spam, Phishing und mögliche Formen des Identitätsmissbrauchs. Besonders schwer wog aus Sicht des Gerichts, dass sich das Unternehmen letztlich auf die bloße Ankündigung einer Löschung verlassen hatte, ohne deren tatsächliche Durchführung zu überprüfen.
Der BGH bewertet dieses Verhalten als eigene Pflichtverletzung des Verantwortlichen. Ausschlaggebend war insbesondere, dass nicht ausreichend auf die Einhaltung der Löschpflicht nach Art. 28 Abs. 3 lit. g DSGVO hingewirkt wurde. Gleichzeitig sah das Gericht Verstöße gegen zentrale Datenschutzgrundsätze sowie gegen die Pflicht, angemessene technische und organisatorische Maßnahmen umzusetzen.
Anders als LG und OLG Dresden verneint der BGH nicht schon deshalb einen ersatzfähigen Schaden, weil „nur“ ein Kontrollverlust vorliegt. Gerade darin liegt einer der zentralen Punkte der Entscheidung.
Wann ein DSGVO-Schadensersatz bei Datenpanne besteht
Ein Anspruch auf DSGVO-Schadensersatz bei Datenpanne setzt auch nach der aktuellen Rechtsprechung weiterhin drei zentrale Voraussetzungen voraus. An dieser Grundstruktur hält der BGH fest. Allerdings mit deutlich niedrigeren Anforderungen an den Nachweis eines immateriellen Schadens.
Im Kern handelt es sich um eine dreistufige Prüfung:
- Verstoß gegen die DSGVO
- Eintritt eines Schadens (materiell oder immateriell)
- Kausalität zwischen Verstoß und Schaden
Wann liegt ein DSGVO-Verstoß vor
Ein relevanter Verstoß kann bereits vorliegen, wenn Unternehmen ihre Kontrollpflichten nicht ausreichend wahrnehmen. Das betrifft insbesondere Fälle, in denen nach Beendigung einer Auftragsverarbeitung nicht überprüft wird, ob personenbezogene Daten tatsächlich gelöscht wurden.
Gerade im Kontext von Datenpannen zeigt sich: Nicht erst der Datenabfluss selbst ist entscheidend, sondern bereits die unzulässige weitere Speicherung oder Zugänglichkeit der Daten kann einen Verstoß begründen.
Immaterieller Schaden ohne hohe Hürden
Eine wesentliche Klarstellung des BGH betrifft den Schadensbegriff. Danach genügt bereits der Verlust der Kontrolle über personenbezogene Daten, um einen immateriellen Schaden anzunehmen.
Zusätzlich können folgende Aspekte den Schaden untermauern:
- Veröffentlichung der Daten, etwa im Darknet
- konkrete oder naheliegende Missbrauchsrisiken
- nachvollziehbare Sorgen vor Phishing oder Identitätsdiebstahl
Eine feste Erheblichkeitsschwelle lehnt der BGH ausdrücklich ab. Es kommt also nicht darauf an, wie „schwerwiegend“ die Datenpanne ist. Auch weniger sensible Daten können einen Anspruch begründen.
Die Art der betroffenen Daten spielt in erster Linie eine Rolle für die Höhe des Schadensersatzes – nicht für das „Ob“ des Anspruchs.
DSGVO-Haftung bei Datenpanne: Unternehmen bleiben in der Pflicht
Ein zentraler Punkt der Entscheidung betrifft die Frage, wer bei einer Datenpanne haftet. Der BGH stellt unmissverständlich klar: Unternehmen können ihre Verantwortung nach der DSGVO nicht einfach auf Auftragsverarbeiter abwälzen.
Auch nach Beendigung der Zusammenarbeit bleibt der Verantwortliche rechtlich in der Pflicht und fungiert weiterhin als steuernde Instanz der Datenverarbeitung.
Keine Entlastung durch Verträge allein
Besonders deutlich wird das Gericht bei der Bewertung vertraglicher Regelungen. Vereinbarungen mit Auftragsverarbeitern – etwa zur Löschung von Daten – reichen für sich genommen nicht aus, um eine Haftung auszuschließen.
Stattdessen gilt:
- Unternehmen müssen aktiv auf die Einhaltung der Pflichten hinwirken
- die Umsetzung vereinbarter Maßnahmen ist zu überprüfen
- bloße Zusicherungen oder Ankündigungen sind rechtlich nicht ausreichend
Unterbleibt diese Kontrolle, liegt eine eigene Pflichtverletzung vor. In solchen Fällen scheidet eine Entlastung nach Art. 82 Abs. 3 DSGVO regelmäßig aus.
Pflichten bei Auftragsverarbeitung
Aus der Entscheidung lassen sich klare Anforderungen für die Praxis ableiten. Unternehmen müssen insbesondere:
- die vollständige Löschung oder Rückgabe von Daten sicherstellen
- eine überprüfbare Löschbestätigung einholen
- Auftragsverarbeiter aktiv überwachen
- geeignete technische und organisatorische Maßnahmen implementieren
Darüber hinaus verlangt der BGH ein aktives Vorgehen: Verantwortliche müssen auf vertragskonformes Verhalten „drängen“. Je nach Risiko kann das auch weitergehende Maßnahmen erfordern, etwa die Anforderung von Nachweisen oder zusätzliche Kontrollen.
Die Entscheidung macht zudem deutlich, dass bereits Defizite bei der Auswahl und Überwachung von Dienstleistern haftungsrelevant sein können. Wer sich auf ungeprüfte Zusagen verlässt oder keine wirksamen Kontrollmechanismen etabliert, erhöht das Risiko eines DSGVO-Schadensersatzes bei Datenpanne erheblich.
Europäische Rechtsprechung als Grundlage der BGH-Entscheidung
Die Entscheidung des BGH steht nicht isoliert, sondern fügt sich in die Linie der Rechtsprechung des Europäischen Gerichtshofs (EuGH) ein. Dieser hat bereits zuvor klargestellt, dass der Schadensbegriff der DSGVO weit auszulegen ist.
Der BGH greift diese Vorgaben auf und entwickelt sie im Kontext konkreter Datenpannen weiter.
Immaterieller Schaden bei DSGVO-Schadensersatz bei Datenpanne
Nach der Rechtsprechung des EuGH können auch immaterielle Beeinträchtigungen ersatzfähig sein, sofern sie nachvollziehbar auf einen Datenschutzverstoß zurückzuführen sind. Dazu zählen insbesondere:
- Sorgen oder Ängste im Zusammenhang mit einem möglichen Datenmissbrauch
- ein Gefühl des Kontrollverlusts über persönliche Daten
- Ärger oder Unsicherheit infolge einer Datenpanne
Wichtig ist jedoch: Rein abstrakte oder pauschale Unannehmlichkeiten reichen nicht aus. Betroffene müssen eine konkrete persönliche Betroffenheit darlegen, die auf das Ereignis zurückgeführt werden kann.
Bedeutung für Datenpannen in der Praxis
Gerade bei Datenpannen, wie im vorliegenden Deezer-Falle bei einer Veröffentlichung im Darknet, liegt eine solche Betroffenheit häufig nahe. Denn hier besteht objektiv ein erhöhtes Risiko, dass die Daten missbräuchlich verwendet werden.
Der BGH übernimmt diese europarechtlichen Grundsätze und konkretisiert sie für die nationale Praxis. Dabei wird deutlich:
- Der Kontrollverlust kann bereits für sich genommen einen Schaden darstellen
- Die begründete Sorge vor künftigem Missbrauch ist rechtlich relevant
- Die Anforderungen an die Darlegung dürfen nicht überspannt werden
Für die Praxis bedeutet das eine spürbare Erleichterung für Betroffene. Gleichzeitig steigt für Unternehmen das Risiko, bei Datenschutzverstößen auf Schadensersatz in Anspruch genommen zu werden.
Auswirkungen des Urteils auf die Praxis
Das Urteil verändert die rechtlichen Maßstäbe für den DSGVO-Schadensersatz bei Datenpannen spürbar. Sowohl für betroffene Personen als auch für Unternehmen ergeben sich daraus konkrete Konsequenzen.
Eine zentrale Aussage: Ein Anspruch kann weder mit dem Argument abgelehnt werden, es handle sich lediglich um einen geringfügigen Vorfall noch um wenig sensible Daten.
Verbesserte Durchsetzungschancen für Betroffene
Für Betroffene steigen die Erfolgsaussichten deutlich. Insbesondere folgende Umstände können einen Anspruch stützen:
- Veröffentlichung personenbezogener Daten im Darknet
- verspätete oder unterlassene Information durch das Unternehmen
- konkrete oder nachvollziehbare Befürchtungen hinsichtlich Missbrauchs
- fehlende oder unzureichende Löschung nach Vertragsende
Zusätzlich wird ein weiterer Punkt praxisrelevant: Auch zukünftige Schäden können leichter geltend gemacht werden. Ein entsprechender Feststellungsantrag scheitert nicht daran, dass seit der Datenpanne bereits Zeit vergangen ist.
Entscheidend ist vielmehr, ob weiterhin ein reales Risiko besteht. So wie im Deezer-Fall, wo die Daten dauerhaft im Umlauf waren.
Steigende Compliance-Anforderungen für Unternehmen
Auf Unternehmensseite erhöht sich der Handlungsdruck deutlich. Datenschutz-Compliance beschränkt sich nicht mehr auf Vertragsgestaltung, sondern erfordert eine aktive Steuerung und Kontrolle der Datenverarbeitung.
Besonders risikobehaftet sind:
- unklare oder nicht dokumentierte Löschprozesse
- fehlende Nachweise über Datenlöschung
- unzureichendes Offboarding von Auftragsverarbeitern
- komplexe Verarbeitungsketten (z. B. Cloud- oder KI-Dienste)
Gerade an der Schnittstelle zwischen Vertragsende und Datenlöschung entstehen erhebliche Haftungsrisiken. Unternehmen müssen hier sicherstellen, dass Prozesse nicht nur formal bestehen, sondern tatsächlich umgesetzt und überprüft werden.
Mit zunehmender Auslagerung von Datenverarbeitung steigt zugleich die Komplexität – und damit auch das Risiko, gegen die DSGVO zu verstoßen.
DSGVO-Schadensersatz bei Datenpanne durchsetzen: Anleitung
Wer von einer Datenpanne betroffen ist, sollte nicht untätig bleiben. Auch wenn die Rechtsprechung die Anforderungen an den Schadensnachweis gesenkt hat, kommt es weiterhin auf ein strukturiertes Vorgehen und eine saubere Dokumentation an.
Zunächst ist entscheidend, überhaupt festzustellen, ob und in welchem Umfang eigene Daten betroffen sind. Hinweise können beispielsweise Mitteilungen des Unternehmens, Einträge in bekannten Leak-Datenbanken oder auffällige Aktivitäten im eigenen E-Mail-Postfach sein.
Wichtige Schritte nach einer Datenpanne
Um Ansprüche auf DSGVO-Schadensersatz bei Datenpanne effektiv vorzubereiten, empfiehlt sich folgendes Vorgehen:
- Auskunftsanspruch nach Art. 15 DSGVO geltend machen
- prüfen, ob Hinweise auf eine Veröffentlichung der Daten vorliegen (z. B. durch Mitteilungen des Unternehmens oder bekannte Leak-Datenbanken)
- ungewöhnliche Aktivitäten wie Spam oder Login-Versuche festhalten
- gesamte Kommunikation mit dem Unternehmen dokumentieren
- frühzeitig rechtlichen Rat einholen
Darüber hinaus sollten Betroffene ihre persönliche Betroffenheit möglichst konkret beschreiben.
Dazu zählen insbesondere:
- der empfundene Kontrollverlust über die eigenen Daten
- konkrete Sorgen vor Missbrauch (z. B. Phishing oder Identitätsdiebstahl)
- bereits eingetretene Auffälligkeiten
Wichtig: Solche konkreten Vorfälle sind hilfreich, aber keine zwingende Voraussetzung. Gerade bei Datenpannen lässt sich ein direkter Zusammenhang oft nur schwer nachweisen.
Auch zukünftige Schäden im Blick behalten
Ein oft unterschätzter Aspekt ist, dass Betroffene unter Umständen auch die Ersatzpflicht für künftige materielle Schäden feststellen lassen können. Nach der aktuellen Rechtsprechung steht dem nicht entgegen, dass seit dem Vorfall bereits einige Zeit vergangen ist.
Besteht weiterhin ein Risiko, wie etwa durch sich im Umlauf befindliche Datensätze im Darknet, kann ein sogenannter Feststellungsantrag sinnvoll sein. Damit bleibt die Möglichkeit erhalten, auch spätere Schäden noch rechtlich durchzusetzen.
Fazit: DSGVO-Schadensersatz bei Datenpanne wird zunehmend durchsetzbar
Die aktuelle Rechtsprechung von BGH und EuGH markiert eine klare Verschiebung zugunsten betroffener Personen. Der DSGVO-Schadensersatz bei Datenpanne ist längst kein theoretisches Konstrukt mehr, sondern entwickelt sich zu einem realistisch durchsetzbaren Anspruch.
Zentral ist dabei die Klarstellung des BGH, dass Unternehmen ihre Verantwortung nicht delegieren können. Auch nach Ende einer Auftragsverarbeitung bleibt die Pflicht bestehen, die tatsächliche Löschung personenbezogener Daten aktiv zu kontrollieren. Unterbleibt eine solche Kontrolle, kann darin bereits ein datenschutzrechtlich relevanter Pflichtverstoß liegen.
Kommt es zusätzlich zu einem Datenabfluss, wie es bei Deezer durch die Veröffentlichung der Daten im Darknet der Fall war, verschärft sich das Haftungsrisiko erheblich.
Für Betroffene verbessert sich die Ausgangslage deutlich:
- Der bloße Kontrollverlust kann bereits einen immateriellen Schaden darstellen
- auch die begründete Sorge vor künftigem Missbrauch ist ersatzfähig
- eine feste Erheblichkeitsschwelle besteht nicht
Damit setzt sich endgültig eine weite Auslegung des Schadensbegriffs durch.
Für Unternehmen bedeutet das Urteil hingegen eine deutliche Verschärfung der Anforderungen. Besonders kritisch sind:
- fehlende Kontrolle von Auftragsverarbeitern
- unzureichend dokumentierte Löschprozesse
- Vertrauen auf bloße vertragliche Zusicherungen
Gerade im Offboarding von Dienstleistern entstehen erhebliche Risiken. Wer hier keine wirksamen Kontrollmechanismen etabliert, setzt sich einem erheblichen Haftungspotenzial aus.
Unterm Strich zeigt die Entscheidung: Der DSGVO-Schadensersatz bei Datenpanne gewinnt massiv an Bedeutung und zwar sowohl rechtlich als auch praktisch.
Fragen zum DSGVO-Schadensersatz bei Datenpanne?
Sie möchten prüfen lassen, ob Ihnen nach einer Datenpanne ein Anspruch auf DSGVO-Schadensersatz zusteht? Unsere erfahrenen Rechtsanwälte unterstützen Sie bei der Einordnung von Datenschutzverstößen, der Prüfung von Haftungsfragen und der Durchsetzung möglicher Ansprüche nach Art. 82 DSGVO. Vereinbaren Sie ein Teams-Meeting oder stellen Sie direkt Ihre Rechtsfrage – wir helfen Ihnen gerne!
❓Häufige Fragen (FAQ) zum DSGVO-Schadensersatz bei Datenpanne
Wann besteht ein DSGVO-Schadensersatz bei Datenpanne?
Ein DSGVO-Schadensersatz bei Datenpanne besteht, wenn ein Verstoß gegen die DSGVO, ein Schaden und ein Zusammenhang der beiden vorliegt. Laut BGH reicht bereits der Kontrollverlust über personenbezogene Daten als immaterieller Schaden aus.
Wer haftet beim DSGVO-Schadensersatz bei Datenpanne?
Beim DSGVO-Schadensersatz bei Datenpanne können sowohl der Verantwortliche als auch der Auftragsverarbeiter haften. Nach Art. 82 DSGVO besteht eine gesamtschuldnerische Haftung, sodass Betroffene ihren Anspruch gegen jeden Beteiligten geltend machen können. In der Praxis bleibt jedoch meist das Unternehmen als Verantwortlicher zentraler Ansprechpartner.
Was sollte man tun, um DSGVO-Schadensersatz bei Datenpanne geltend zu machen?
Um DSGVO-Schadensersatz durchzusetzen, sollten Sie Auskunft nach Art. 15 DSGVO verlangen, mögliche Datenlecks prüfen und alle Auffälligkeiten dokumentieren. Rechtliche Beratung erhöht die Erfolgschancen.
Wie hoch kann der Schadensersatz ausfallen?
Die Höhe des DSGVO-Schadensersatzes bei Datenpanne richtet sich nach Art der betroffenen Daten, Schwere des Verstoßes und den konkreten Folgen für Betroffene. Bereits der Kontrollverlust über personenbezogene Daten kann einen Anspruch begründen. Über die genaue Höhe entscheidet immer der Einzelfall.
Reicht ein Datenleck ohne Missbrauch für DSGVO-Schadensersatz?
Ja. Für den DSGVO-Schadensersatz bei Datenpanne kann bereits der Verlust der Kontrolle über personenbezogene Daten ausreichen. Nach der aktuellen Rechtsprechung ist ein nachgewiesener Missbrauch nicht zwingend erforderlich. Schon die begründete Sorge vor Phishing, Spam oder Identitätsmissbrauch kann einen immateriellen Schaden stützen.
