Mit Urteil vom 11. November 2025 (Az. VI ZR 396/24) hat der Bundesgerichtshof eine zentrale Weichenstellung im Datenschutzrecht vorgenommen. Er klärt darin die Frage, welche Pflichten Unternehmen auch nach dem Ende einer Auftragsverarbeitung nach der Datenschutz-Grundverordnung (DSGVO) weiterhin treffen. Die Entscheidung macht deutlich, dass datenschutzrechtliche Verantwortung nicht automatisch mit dem Vertragsende entfällt. Vielmehr können Verstöße gegen fortbestehende Löschpflichten erhebliche rechtliche Konsequenzen haben. Zugleich konkretisiert der Bundesgerichtshof die Anforderungen an die ordnungsgemäße Löschung personenbezogener Daten bei Auftragsverarbeitern und stärkt die Rechte betroffener Personen auf Schadensersatz nach Art. 82 DSGVO.

Auftragsverarbeitung und Verantwortlichkeit nach der DSGVO

Die Auftragsverarbeitung ist in Art. 28 DSGVO gesetzlich geregelt und liegt vor, wenn personenbezogene Daten durch einen externen Dienstleister im Auftrag eines Unternehmens verarbeitet werden. Der Dienstleister handelt dabei nicht eigenständig, sondern ausschließlich nach Weisung des Verantwortlichen. Typische Konstellationen sind Hosting-Leistungen, Kundendatenverwaltung, Marketing-Services oder IT-Support. Trotz der Auslagerung bleibt das beauftragende Unternehmen datenschutzrechtlich Verantwortlicher im Sinne der DSGVO.

Bereits diese Systematik macht deutlich, dass die Verantwortung für die personenbezogenen Daten nicht vollständig auf den Dienstleister übergeht. Vielmehr trägt der Verantwortliche auch während und nach der Auftragsverarbeitung die Pflicht, die Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen.

Der entschiedene Fall: Datenverbleib nach Vertragsende und Datenleck

Dem Urteil des Bundesgerichtshofs lag ein Sachverhalt zugrunde, bei dem ein Musik-Streamingdienst personenbezogene Nutzerdaten durch einen externen Dienstleister verarbeiten ließ. Nach Beendigung des Auftragsverarbeitungsvertrags erklärte der Dienstleister, die gespeicherten Daten zu löschen. Tatsächlich wurden die Daten jedoch lediglich in eine interne Testumgebung verschoben und nicht vollständig entfernt. Jahre später kam es zu einem unbefugten Zugriff durch Dritte, infolgedessen die Daten im Internet und im Darknet verbreitet wurden.

Ein betroffener Nutzer machte daraufhin einen Schadensersatzanspruch geltend. Er berief sich darauf, dass seine personenbezogenen Daten nach Vertragsende unrechtmäßig gespeichert geblieben seien und er dadurch die Kontrolle über diese Daten verloren habe. Der Bundesgerichtshof gab dem Grunde nach Recht und stellte klar, dass die Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO auch dann erfüllt seien, wenn die begründete Befürchtung eines Missbrauchs besteht – zu einem tatsächlichen Missbrauch muss es eben nicht gekommen sein. Jeder zusätzliche Kontrollverlust erhöht das Risiko und begründet einen eigenen Schadenstatbestand.

Fortbestehende Pflichten des Verantwortlichen nach Vertragsbeendigung

Kern der Entscheidung war die Feststellung, dass die Pflichten des Verantwortlichen nicht mit dem Ende der Auftragsverarbeitung enden. Art. 28 Abs. 3 DSGVO verpflichtet den Auftragsverarbeiter zwar zur Löschung oder Rückgabe der personenbezogenen Daten nach Abschluss der Verarbeitung, entbindet den Verantwortlichen jedoch nicht von seinen fortbestehenden Kontroll- und Überwachungspflichten. Der Bundesgerichtshof betonte, dass der Verantwortliche aktiv sicherstellen muss, dass die Löschung tatsächlich erfolgt und keine personenbezogenen Daten beim Auftragsverarbeiter verbleiben. Eine bloße vertragliche Regelung oder die Zusicherung des Auftragsverarbeiters genüge dagegen nicht. Der Verantwortliche müsse daher geeignete Maßnahmen ergreifen, um die ordnungsgemäße Löschung zu überprüfen. Unterbleibt dies und verbleiben die Daten beim Dienstleister, liegt ein Verstoß gegen die Grundsätze der Speicherbegrenzung und Datenminimierung nach Art. 5 DSGVO vor.

Im nun entschiedenen Fall hatte es die Beklagte versäumt zu überprüfen, ob sämtliche Daten gelöscht worden sind. Hätte eine Überprüfung stattgefunden, so wären die Daten gelöscht worden. Der BGH sah die Pflichtverletzung der Beklagten daher als kausal für das spätere Datenleck an.

Schadensersatz nach Art. 82 DSGVO und immaterieller Schaden

Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden im Sinne des Art. 82 DSGVO begründen. Der BGH stellte hierbei klar, dass es eben nicht erforderlich ist, dass die Daten tatsächlich für betrügerische Zwecke verwendet oder konkrete wirtschaftliche Nachteile erlitten worden sind.

Ausreichend ist vielmehr, dass personenbezogene Daten unrechtmäßig gespeichert bleiben und anschließend unbefugt offengelegt werden. Die damit verbundene Unsicherheit, der Kontrollverlust und die begründete Sorge vor möglichem Missbrauch genügen, um einen Schadensersatzanspruch auszulösen. Hierbei verwies der BGH insbesondere auf die Erwägungsgründe der DSGVO, die den Kontrollverlust als Schaden benennen (ErwG 85 DSGVO).

Eine Bagatellgrenze lehnt der BGH zudem ausdrücklich ab. Das Berufungsgericht hatte die geäußerten Befürchtungen mit dem Hinweis zurückgewiesen, es handle sich lediglich um „alltägliche Empfindungen“, zumal der Kläger seine E-Mail-Adresse unverändert weiter nutze (Az. 4 U 999/24). Der BGH bewertete dies jedoch als rechtsfehlerhaft: Bereits die Tatsache, dass die Daten im Darknet veröffentlicht wurden, begründe die Nachvollziehbarkeit der Sorgen. Dass der Kläger keine besonders weitreichenden Schutzmaßnahmen getroffen habe, stehe der Ernsthaftigkeit seiner Besorgnisse nicht entgegen.

Zurechnung des Datenschutzverstoßes zum Verantwortlichen

Der Bundesgerichtshof stellt zudem klar, dass der Datenschutzverstoß dem Verantwortlichen zuzurechnen ist, selbst wenn der unmittelbare Fehler beim Auftragsverarbeiter liegt. Entscheidend ist, dass der Verantwortliche seine Pflichten zur Überwachung und Kontrolle nicht ausreichend erfüllt hat. Wer personenbezogene Daten an Dritte weitergibt, trägt das Risiko, dass diese Daten nach Vertragsende ordnungsgemäß gelöscht werden.

Damit verschärft das Urteil die Anforderungen an die Datenschutz-Compliance erheblich. Unternehmen müssen nicht nur sorgfältig auswählen, mit wem sie zusammenarbeiten, sondern auch sicherstellen, dass die datenschutzrechtlichen Pflichten nach Beendigung der Zusammenarbeit konsequent umgesetzt werden.

Bedeutung des Urteils für die Praxis

Das Urteil vom 11. November 2025 hat erhebliche praktische Auswirkungen. Unternehmen müssen sich bewusst sein, dass das Ende eines Auftragsverarbeitungsvertrags kein datenschutzrechtlicher Schlusspunkt ist. Vielmehr entsteht gerade zu diesem Zeitpunkt ein erhöhtes Risiko, wenn Löschpflichten nicht konsequent umgesetzt und dokumentiert werden. Der Verantwortliche muss daher sicherstellen, dass keine personenbezogenen Daten beim Auftragsverarbeiter verbleiben.

Für betroffene Personen stärkt das Urteil die Rechtsposition erheblich. Es verdeutlicht, dass Datenschutzverstöße auch dann sanktioniert werden können, wenn sie erst lange nach Vertragsende bekannt werden und nur eine begründete Befürchtung des Missbrauchs besteht.

Kernaussage: Vertragsende bedeutet nicht das Ende der Verantwortung

Der BGH hat mit seinem Urteil daher unmissverständlich klargestellt, dass Datenschutzpflichten aus der DSGVO über das Ende einer Auftragsverarbeitung hinaus fortbestehen. Verantwortliche Unternehmen müssen aktiv sicherstellen, dass personenbezogene Daten nach Vertragsende gelöscht oder zurückgegeben werden. Unterbleibt dies und kommt es zu einem Datenleck, drohen Schadensersatzansprüche nach Art. 82 DSGVO – auch ohne konkreten finanziellen Schaden.

Lesen Sie auch: Update zum Schadensersatz im Datenschutzrecht | Urteil im Volltext: BGH, 11. November 2025 – VI ZR 396/24