Sie befinden sich hier:

Gewährleistung des Datenschutzes auch nach Beendigung einer Auftragsverarbeitung

Ein Verantwortlicher hat sicherzustellen, dass – vorbehaltlich etwaiger gesetzlicher Speicherpflichten – keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem zwecks Auftragserfüllung überlassen wurden.

Der Kläger macht gegen die Beklagte Schadensersatz- und Feststellungsansprüche wegen behaupteter Verletzung der Datenschutz-Grundverordnung geltend.

Die Beklagte, die ihren Sitz in Frankreich hat, betreibt einen Online-Musikstreamingdienst. Externer Auftragsverarbeiter der Beklagten war bis zum Auftragsende das Unternehmen O. Am 30. November 2019 teilte dieses der Beklagten per Mail mit, deren Webseite und die dort befindlichen Daten („your site and all the data on the site“) würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, erklärte das Unternehmen mit E-Mail vom 22. Februar 2023. Zuvor war bekannt geworden, dass unbekannte Hacker seit November 2022 Daten von Nutzern des Dienstes der Beklagten im Darknet zum Verkauf anboten. Die Datensätze stammten aus dem Jahr 2019. Sie waren von dem Unternehmen O. nicht, wie mit der Beklagten vereinbart, unmittelbar nach Auftragsende gelöscht worden, sondern von Mitarbeitern des Unternehmens O. von der Produktiv- in eine Testumgebung überführt worden und anschließend entweder von Hackern erbeutet oder von Mitarbeitern des Unternehmens O. unbefugt weitergegeben worden. Die Beklagte informierte die von dem Vorfall betroffenen Personen nach dessen Bekanntwerden.

Der Kläger ist Nutzer des Dienstes der Beklagten. Seine Daten sind im Kundenprofil der Beklagten gespeichert. Der bei dem streitgegenständlichen Vorfall abgegriffene Datensatz enthielt Vor-, Nachname, Geschlecht, E-Mail-Adresse und Sprache des Klägers sowie das Registrierungsdatum.

Der Kläger verlangt die Leistung von immateriellem Schadensersatz, weil die Beklagte die nach der Datenschutz-Grundverordnung gebotenen technischen und organisatorischen Schutzmaßnahmen nicht ergriffen habe. Seit der Kenntnis über das Datenleck mache er sich Sorgen über den Verbleib und einen möglichen Missbrauch seiner Daten in Gestalt von Identitätsdiebstahl, Phishing, unzulässigen Werbeanrufen und Werbemails. Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm alle künftigen materiellen Schäden aufgrund der unbefugten Veröffentlichung seiner Daten im Internet im Jahr 2022 zu ersetzen.

Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger die genannten Ansprüche weiter.

Aus den Entscheidungsgründen des BGH

Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 2 DSGVO. Der Kläger als betroffene Person hat seinen gewöhnlichen Aufenthalt in Deutschland.

Nach ständiger Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Die Darlegungs- und Beweislast für diese Voraussetzungen trifft grundsätzlich die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt. Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen.

Überträgt ein Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO die Datenverarbeitung auf einen Auftragsverarbeiter, kann er sich dadurch von seinen datenschutzrechtlichen Pflichten nicht befreien. Er bleibt „Herr der Verarbeitung“ und daher gegenüber der betroffenen Person für die Einhaltung der datenschutzrechtlichen Vorschriften bei der Verarbeitung ihrer Daten durch den Auftragsverarbeiter als seinem „verlängerten Arm“ verantwortlich. Lediglich im Falle eines sogenannten Aufgaben- oder Auftragsverarbeiterexzesses, bei dem der Auftragsverarbeiter unter Verstoß gegen die Datenschutz-Grundverordnung selbst die Zwecke und Mittel der Verarbeitung bestimmt (Art. 28 Abs. 10 DSGVO), wird dieser Verantwortlicher und der ursprüngliche Verantwortliche unter Umständen aus seiner Haftung entlassen. Das gilt unter anderem dann, wenn der Auftragsverarbeiter Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche zugestimmt hätte. Auch in diesen Fällen kommt allerdings eine Haftung des Verantwortlichen in Betracht, wenn er es versäumt, mit den Mitteln des Vertragsrechts auf ein vertragskonformes Verhalten des Auftragsverarbeiters zu drängen.

Der Verantwortliche hat auch im Zusammenhang mit der Auftragsbeendigung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Insoweit ist von Bedeutung, dass die Übermittlung von personenbezogenen Daten seitens des Verantwortlichen an den Auftragsverarbeiter einen Eingriff in die durch Art. 7 und 8 GRCh garantierten Rechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellt, der nur so lange gerechtfertigt ist, als die Voraussetzungen der Auftragsverarbeitung vorliegen. Wenn aber das Auftragsverhältnis nicht mehr besteht, gibt es keine Rechtfertigung mehr dafür, dass sich die Daten noch beim Auftragsverarbeiter befinden. Es ist daher auch und gerade durch den Verantwortlichen sicherzustellen, dass – vorbehaltlich etwaiger gesetzlicher Speicherpflichten – keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Das Zugriffsrecht des Auftragsverarbeiters auf diese Daten entfällt mit dem Auftragsende, der Zugang zu ihnen muss ihm daher ab diesem Zeitpunkt verwehrt sein. In Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO ist dementsprechend geregelt, dass in dem Vertrag oder anderen Rechtsinstrument, auf dessen Grundlage die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO zu erfolgen hat, vorzusehen ist, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Ferner ist gemäß Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten, also auch der Löschungs- bzw. Rückgabepflicht, zur Verfügung stellt und Überprüfungen seitens des Verantwortlichen oder eines von diesem beauftragten Prüfers ermöglicht und dazu beiträgt.

Der Verantwortliche darf sich allerdings grundsätzlich nicht damit begnügen, mit dem Auftragsverarbeiter einen Vertrag abzuschließen, in dem diesem die vertragliche Verpflichtung zur Löschung der Daten und zum Nachweis der Löschung bei Auftragsbeendigung auferlegt wird. Er hat vielmehr bei Beendigung des Auftragsverhältnisses das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass der Auftragsverarbeiter seine vertragliche Verpflichtung erfüllt, die personenbezogenen Daten also tatsächlich nicht länger bei ihm gespeichert bleiben, so dass er tatsächlich keinen Zugriff mehr auf diese hat. Ob sich diese Pflicht aus Art. 28 DSGVO ergibt, weil dessen Absatz 1 und Absatz 3 Satz 2 Buchst. h bei verständiger Auslegung der Vorschrift eine Kontrollpflicht des Verantwortlichen impliziert, kann dahinstehen. Denn jedenfalls ergibt sie sich aus dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und insbesondere dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO), der den Zeitraum der Speicherung betrifft und dessen Ausfluss die Löschungs- bzw. Rückgabepflicht bei Beendigung des Auftragsverhältnisses ist. Für die Einhaltung dieser Grundsätze ist der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO „verantwortlich“. Ferner ergibt sich seine Pflicht, sicherzustellen, dass dem Auftragsverarbeiter mit Beendigung des Auftrags der Zugang zu den personenbezogenen Daten der betroffenen Personen entzogen wird, aus der aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. f und Art. 32 Abs. 1 DSGVO folgenden Pflicht, eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. So hat der Verantwortliche gemäß Art. 32 Abs. 1 DSGVO unter Berücksichtigung unter anderem der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Datenverarbeitung verbunden sind, unter anderem durch den unbefugten Zugang zu gespeicherten Daten. Das Risiko eines unbefugten Zugriffs auf die gespeicherten Daten besteht nicht erst bei einem Cyberangriff durch außenstehende Dritte, sondern schon dann, wenn die Daten nach Beendigung des Auftragsverhältnisses beim Auftragsverarbeiter gespeichert bleiben, obwohl dessen Zugriffsrecht mit der Beendigung des Auftrags erloschen ist. Dies hat der Verantwortliche durch geeignete Maßnahmen „so weit wie möglich“ zu verhindern. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt. Die Beweislast für die Geeignetheit seiner insoweit getroffenen Sicherheitsmaßnahmen liegt beim Verantwortlichen.

Hat der Verantwortliche diese ihm selbst obliegende Pflicht verletzt und insbesondere nicht auf ein vertragskonformes Verhalten des Auftragsverarbeiters hinsichtlich der Datenlöschung bzw. -rückgabe bei Auftragsende gedrängt, so kann er sich seiner Verantwortung hierfür nicht schon durch den Hinweis auf einen Aufgabenexzess entziehen, den der Auftragsverarbeiter dadurch begeht, dass er die Daten vertragswidrig behält und weiter verarbeitet. Für die Folgen seines eigenen Pflichtenverstoßes hat der Verantwortliche selbst einzustehen.

Dieser Verpflichtung ist die Beklagte nicht nachgekommen. Sie hatte zwar vertragliche Regelungen mit dem Unternehmen O. getroffen, um den Vorgaben des Art. 28 Abs. 3 Satz 2 Buchst. g und h DSGVO gerecht zu werden. Insbesondere hatte das Unternehmen O. nach Wahl der Beklagten entweder eine vollständige Kopie aller personenbezogenen Daten des Unternehmens der Beklagten an diese zurückzugeben und alle anderen Kopien zu löschen oder alle Daten sowie deren Kopien zu löschen; die Löschung hatte innerhalb von 21 Tagen nach Auftragsende zu erfolgen. Ferner hatte es der Beklagten schriftlich zu bestätigen, dass es (und seine Unterauftragsverarbeiter) die Rückgabe- bzw. Löschungspflicht innerhalb der Frist „vollständig eingehalten haben“. Es kann dahinstehen, ob die Beklagte schon dadurch, dass sie das ihr vertraglich eingeräumte Wahlrecht nicht ausgeübt hat, eine Pflichtverletzung begangen hat, die für das spätere Abgreifen der Daten (mit-)ursächlich war. Denn jedenfalls hat sie ihre Pflicht, das ihrerseits nach den Umständen des vorliegenden Falls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt, dadurch verletzt, dass sie sich mit der Ankündigung des Unternehmens O., es werde am nächsten Tag die „Site“ der Beklagten und alle Daten auf der „Site“ löschen, begnügt hat. So entsprach die angekündigte Tätigkeit schon nicht der vertraglich geschuldeten und datenschutzrechtlich geforderten umfassenden Löschung auch aller Datenkopien. Deshalb und weil die vertraglich geschuldete schriftliche Bestätigung ausblieb, dass die Löschungspflichten „vollständig eingehalten“ wurden, die Löschung sämtlicher Daten und Datenkopien also vollzogen war, hatte die Beklagte in ihrer Verantwortung für die personenbezogenen Daten ihrer Kunden unmittelbar nach Ablauf der 21-tägigen Frist die Bestätigung einzufordern. Die Nachfrage der Beklagten bei O. erst im Jahr 2023 – also mehr als drei Jahre nach Beendigung des Auftrags und erst nach Bekanntwerden des Hacking-Vorfalls – war ersichtlich verspätet und konnte letzteren nicht mehr verhindern.

Der Gerichtshof hat entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt. Darüber hinaus hat der Gerichtshof auch für Verstöße unter anderem gegen Art. 32 DSGVO bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DSGVO möglich ist.

Wie ausgeführt hat die Beklagte im Streitfall unter anderem gegen ihre Pflichten aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. c, e und f DSGVO sowie aus Art. 32 Abs. 1 DSGVO verstoßen mit der Folge, dass die personenbezogenen Daten von Kunden der Beklagten einschließlich des Klägers bei dem Untenehmen O. länger gespeichert (und damit im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet) blieben als dies datenschutzrechtlich zulässig war. Damit liegt auch bei einschränkender Auslegung des Art. 82 Abs. 1 DSGVO ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne dieser Regelung vor.

Die Beklagte kann sich nicht nach Art. 82 Abs. 3 DSGVO – etwa unter Berufung auf ein weisungs- oder vertragswidriges Verhalten ihres Auftragsverarbeiters oder auf einen Hacking-Angriff durch unbefugte Dritte – entlasten. Eine Entlastung würde voraussetzen, dass die Beklagte nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, sie also keinerlei Verschulden trifft. Da ihr ein eigener (mindestens leicht) fahrlässiger Verstoß gegen die Datenschutz-Grundverordnung vorzuwerfen ist, müsste sie nachweisen, dass es keinerlei Kausalzusammenhang zwischen diesem Verstoß und dem dem Kläger entstandenen Schaden gibt. Dies ist ihr nicht gelungen.

Von dem Vorfall sind folgende personenbezogene Daten des Klägers betroffen: Vor- und Nachname, Geschlecht, E-Mail-Adresse, Sprache sowie sein Registrierungsdatum bei der Beklagten. Der Kläger hat nicht nur die Kontrolle über diese Daten dadurch verloren, dass nach Beendigung der Auftragsverarbeitung das Unternehmen O. und Dritte (Hacker) unbefugten Zugriff auf die Daten hatten. Vielmehr ist es darüber hinaus anschließend zu einer missbräuchlichen Verwendung der Daten dadurch gekommen, dass sie im Darknet zum Verkauf angeboten wurden. Spätestens damit ist dem Kläger ein immaterieller Schaden entstanden. Ferner ist ein solcher Schaden durch die als begründet anzusehende Befürchtung des Klägers eingetreten, es könne zu einer (weiteren) missbräuchlichen Verwendung der im Darknet veröffentlichten Daten durch Versendung von Spam-Mails kommen.

Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren. Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchs-voraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich.

Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat oder eine „Bagatellgrenze“ überschreitet. Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.

Wie der Senat in seinem - der angefochtenen Entscheidung allerdings zeitlich nachfolgenden - Urteil vom 18. November 2024 - VI ZR 10/24 (BGHZ 242, 180) zu einem Scraping-Vorfall bei Facebook unter Bezugnahme auf die Rechtsprechung des Gerichtshofs ausgeführt hat, kann ein immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein. Hat die betroffene Person den Nachweis erbracht, dass sie einen in einem bloßen Kontrollverlust als solchem bestehenden Schaden erlitten hat, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.

Fazit

Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass – vorbehaltlich etwaiger gesetzlicher Speicherpflichten – keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt.

Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind.

Fundstelle

Urteil des Bundesgerichtshofs, VI ZR 396/24, vom 11.11.2025 – abrufbar im Internet beispielsweise unter https://dejure.org/ext/49075439fea676f3775363f70e7ff3d8

nach oben