Ein Datenleck bei einem Dienstleister eines Streaming-Anbieters, durch das Kundendaten verloren gehen und im Darknet auftauchen, kann einen Anspruch auf immateriellen DSGVO-Schadensersatz nach sich ziehen (BGH, Urt. v. 11.11.2025 - Az.: VI ZR 396/24).
Ein Nutzer eines Musikstreamingdienstes verklagte den Betreiber wegen eines Datenschutzvorfalls. Ein externer Dienstleister hatte die personenbezogenen Daten nach Vertragsende im Dezember 2019 nicht wie vereinbart gelöscht. Stattdessen gelangten die Daten einige Zeit später unerlaubt in das Darknet. Betroffen waren u.a. Name, E-Mail-Adresse und Sprache.
Der Kläger verlangte DSGVO-Schadensersatz und Feststellung der Haftung für künftige materielle Schäden.
In der Vorinstanz wies das OLG Dresden die Klage ab. Der BGH hob diese Entscheidung nun auf und verwies den Fall zurück.
Der Kläger habe grundsätzlich Anspruch auf immateriellen Schadensersatz, da ein Datenschutzverstoß vorliege. Die Befürchtung eines Missbrauchs der Daten sei ernst zu nehmen. Auch der Feststellungsantrag auf künftige materielle Schäden sei zulässig.
Die amtlichen Leitsätze lauten:
"a) Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt.
b) Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind."
Der Kontrollverlust über die Daten und deren Angebot im Darknet stellten bereits einen immateriellen Schaden dar. Dies gelte auch unabhängig davon, ob konkrete negative Folgen eingetreten seien. Ebenso sei die begründete Sorge des Klägers vor einem zukünftigen Missbrauch ein immaterieller Schaden.
Die Einschätzung des OLG Dresden, es liege kein Schaden vor, weil Spam-Mails alltäglich seien oder die Daten möglicherweise schon früher gehackt wurden, sei mit der europäischen Datenschutzrechtsprechung unvereinbar. Entscheidend sei, dass eine reale Gefahr bestehe und der Kläger diese nachgewiesen habe.
Der BGH verwies den Fall zurück an das OLG Dresden, damit dieses den Schadensersatzbetrag ermitteln kann. Dabei muss das Berufungsgericht die besonderen Umstände des Falls berücksichtigen (u. a. Umfang der Betroffenheit und Schwere des Kontrollverlustes).