Wer die Datenverarbeitung an einen Dritten auslagert, muss auf die Löschung dieser Daten nach Auftragsende achten. Sonst kann er auch später noch haften – sogar bei bereits kompromittierten Daten. Der Bundesgerichtshof stützt hier die DSGVO.
Der Fall: Datenleck beim Streamingdienst
Ein Streaminganbieter hatte einen Dienstleister hinzugezogen, um für ihn personenbezogene Daten zu verarbeiten. Dieser Auftrag endete, und der Dienstleister gab an, alle gespeicherten Daten am Folgetag zu löschen – eine Bestätigung der Löschung blieb jedoch aus. Jahre später wurde ein Datenleck bekannt und Nutzerdaten tauchten zum Verkauf im Darknet auf. Es stellte sich heraus, dass der Dienstleister die Daten nicht wie angegeben gelöscht, sondern nur in eine Testumgebung transferiert hatte. Dort waren sie vermutlich gehackt oder von Angestellten weitergegeben worden. Einer der Nutzer klagte.
Das Urteil
Waren erste Instanzen noch skeptisch bezüglich des entstandenen Schadens, widersprach ihnen letztendlich der Bundesgerichtshof. Er stellte unter Berufung auf den Europäischen Gerichtshof fest, dass bereits der Verlust der Kontrolle über die Daten einen immateriellen Schaden darstelle. So hätte der Verantwortliche, hier der Streaminganbieter, aktiv prüfen und sicherstellen müssen, dass die Daten vom Auftragsverarbeiter wirklich direkt gelöscht worden seien. Damit bezieht sich das Gericht auch auf die Erwägungsgründe der DSGVO, die ebenfalls einen Kontrollverlust als Schadensbeispiel nennen. Die Ansprüche des Klägers sind damit berechtigt (Bundesgerichtshof, Urteil vom 11.11.2025, Az. VI ZR 396/24).
Cyber-Versicherung
Rechtsanwälte und Steuerberater arbeiten tagtäglich mit vielen sensiblen Daten ihrer Mandanten. Schützen Sie Ihren „virtuellen Raum“ mit der Cyber-Haftpflicht- und Eigenschadenversicherung der AFB. So sind Sie optimal vor finanziellen Folgen durch Cyber-Attacken geschützt.
