Urteil : Es bleibt dabei: Kontrollverlust allein ist immaterieller Schaden : aus der RDV 1/2026, Seite 43 bis 48

Aus den Gründen:

B. Die Revision ist begründet.

I. Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen hält dessen Beurteilung, dem Kläger sei kein immaterieller Schaden im Sinne von Art.  82 Abs.  1 DS‑GVO entstanden, der revisionsrechtlichen Prüfung nicht stand. […]

3. Nach ständiger Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadenersatzanspruch im Sinne des Art.  82 Abs.  1 DS‑GVO einen Verstoß gegen die DS‑GVO, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. nur EuGH, Urt. v. 4.10.2024 – C-200/23, DB 2024, 2952 Rn. 140; weitere Nachweise im Senatsurteil v. 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn.  21). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft grundsätzlich die Person, die auf der Grundlage von Art. 82 Abs. 1 DS‑GVO den Ersatz eines (immateriellen) Schadens verlangt (vgl. EuGH a.a.O. Rn.  141 sowie Senatsurteil a.a.O. m.w.N.). Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadenersatzanspruches nach Art. 82 Abs. 1 DS‑GVO ein Verschulden des Verantwortlichen. Art.  82 DS‑GVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DS‑GVO dem Verantwortlichen (vgl. EuGH, Urt. v. 11.4.2024 – C-741/21, NJW 2024, 1561 Rn. 44 ff. sowie Senatsurteil a.a.O. m.w.N.).

a) Rechtlich nicht zu beanstanden ist die Beurteilung des Berufungsgerichts, dass die Beklagte bei Vorliegen eines Schadens (dazu unten b)) haftungsrechtlich dafür einzustehen hat, dass die Daten des Klägers bei dem Unternehmen O. nach Beendigung des Auftragsverarbeitungsverhältnisses nicht gelöscht wurden, so dass sie bei dem Unternehmen O. (durch Hacking oder infolge unbefugter Weitergabe durch Mitarbeiter des Unternehmens O.) abgegriffen und anschließend im Darknet zum Verkauf angeboten werden konnten. Dabei geht es nicht lediglich um einen Verstoß des Auftragsverarbeiters O. gegen die DS‑GVO, für den die Beklagte – vorbehaltlich der Möglichkeit einer Exkulpation nach Art. 82 Abs. 3 DS‑GVO – gem. Art. 82 Abs. 2 S. 1 DS‑GVO einzustehen hat. Vielmehr liegt darüber hinausein eigener Verstoß der Beklagten gegen die DS‑GVO vor, der, wie vom Berufungsgericht zutreffend gesehen, darin besteht, dass sie sich bei Beendigung des Vertrages mit ihrem Auftragsverarbeiter O. mit dessen Ankündigung einer Datenlöschung begnügte und nicht die Bestätigung einer erfolgten umfassenden Datenlöschung einholte (dazu aa)). Wegen dieser eigenen schadensursächlichen Pflichtverletzung gelingt ihr eine Exkulpation nach Art. 82 Abs. 3 DS‑GVO nicht (bb)).

aa) Die Beklagte hat jedenfalls ihre Pflichten aus Art.  5 Abs.  2 i.V.m. Art.  5 Abs.  1 lit.  c), e) und f) DS‑GVO sowie aus Art. 32 Abs. 1 DS‑GVO verletzt.

(1) Überträgt ein Verantwortlicher im Sinne von Art. 4 Nr. 7 DS‑GVO die Datenverarbeitung auf einen Auftragsverarbeiter, kann er sich dadurch von seinen datenschutzrechtlichen Pflichten nicht befreien (Taeger/Gabel/Gabel/Lutz, DS‑GVOBDSG-TTDSG, 4. Aufl., Art. 28 Rn. 2). Er bleibt „Herr der Verarbeitung“ und daher gegenüber der betroffenen Person für die Einhaltung der datenschutzrechtlichen Vorschriften bei der Verarbeitung ihrer Daten durch den Auftragsverarbeiter als seinem „verlängerten Arm“ verantwortlich (Paal/Pauly/ Martini, DS‑GVO BDSG, 3. Aufl., Art. 28 Rn. 2; Kühling/Buchner/Bergt, DS‑GVO BDSG, 4. Aufl., Art. 82 Rn. 55). Lediglich im Falle eines sogenannten Aufgaben- oder Auftragsverarbeiterexzesses, bei dem der Auftragsverarbeiter unter Verstoß gegen die DS‑GVO selbst die Zwecke und Mittel der Verarbeitung bestimmt (Art. 28 Abs. 10 DS‑GVO), wird dieser Verantwortlicher und der ursprüngliche Verantwortliche unter Umständen aus seiner Haftung entlassen (vgl. für den Fall einer Haftung nach Art. 83 DS‑GVO EuGH, Urt. v. 5.12.2023 – C-683/21, ZD 2024, 209 Rn. 85). Das gilt unter anderem dann, wenn der Auftragsverarbeiter Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche zugestimmt hätte (EuGH a.a.O.). Auch in diesen Fällen kommt allerdings eine Haftung des Verantwortlichen in Betracht, wenn er es versäumt, mit den Mitteln des Vertragsrechts auf ein vertragskonformes Verhalten des Auftragsverarbeiters zu drängen (vgl. Simitis/Hornung/Spiecker gen. Döhmann/Petri, Datenschutzrecht, 2. Aufl. 2025, DS‑GVO Art. 28 Rn. 94).

Der Verantwortliche hat auch im Zusammenhang mit der Auftragsbeendigung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Insoweit ist von Bedeutung, dass die Übermittlung von personenbezogenen Daten seitens des Verantwortlichen an den Auftragsverarbeiter einen Eingriff in die durch Art. 7 und 8 GRCh garantierten Rechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellt, der nur solange gerechtfertigt ist, als die Voraussetzungen der Auftragsverarbeitung vorliegen. Wenn aber das Auftragsverhältnis nicht mehr besteht, gibt es keine Rechtfertigung mehr dafür, dass sich die Daten noch beim Auftragsverarbeiter befinden (BeckOK Datenschutzrecht/Spoerr, 53. Ed., Stand: 1.8.2025, DS‑GVO Art. 28 Rn. 78). Es ist daher auch und gerade durch den Verantwortlichen sicherzustellen, dass – vorbehaltlich etwaiger gesetzlicher Speicherpflichten – keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden (BeckOK/Spoerr a.a.O., Art. 28 Rn. 79; Simitis/ Hornung/Spiecker gen. Döhmann/Petri, Datenschutzrecht, 2. Aufl., DS‑GVO Art.  28 Rn.  78; Kühling/Buchner/Hartung, a.a.O., Art.  28 Rn.  77). Das Zugriffsrecht des Auftragsverarbeiters auf diese Daten entfällt mit dem Auftragsende, der Zugang zu ihnen muss ihm daher ab diesem Zeitpunkt verwehrt sein (Martini a.a.O., Art. 28 Rn. 50). In Art. 28 Abs. 3 S. 2 lit.  g) DS‑GVO ist dementsprechend geregelt, dass in dem Vertrag oder anderen Rechtsinstrument, auf dessen Grundlage die Auftragsverarbeitung gem. Art. 28 Abs. 3 DS‑GVO zu erfolgen hat, vorzusehen ist, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Ferner ist gem. Art.  28 Abs.  3 S.  2 lit.  h) DS‑GVO vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art.  28 DS‑GVO niedergelegten Pflichten, also auch der Löschungsbzw. Rückgabepflicht, zur Verfügung stellt und Überprüfungen seitens des Verantwortlichen oder eines von diesem beauftragten Prüfers ermöglicht und dazu beiträgt.

Der Verantwortliche darf sich allerdings grundsätzlich nicht damit begnügen, mit dem Auftragsverarbeiter einen Vertrag abzuschließen, in dem diesem die vertragliche Verpflichtung zur Löschung der Daten und zum Nachweis der Löschung bei Auftragsbeendigung auferlegt wird. Er hat vielmehr bei Beendigung des Auftragsverhältnisses das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass der Auftragsverarbeiter seine vertragliche Verpflichtung erfüllt, die personenbezogenen Daten also tatsächlich nicht länger bei ihm gespeichert bleiben, so dass er tatsächlich keinen Zugriff mehr auf diese hat. Ob sich diese Pflicht aus Art. 28 DS‑GVO ergibt, weil dessen Abs. 1 und Abs. 3 S. 2 lit. h) bei verständiger Auslegung der Vorschrift eine Kontrollpflicht des Verantwortlichen impliziert (vgl. Gabel/Lutz a.a.O., Art.  28 Rn.  27, 31; BeckOK/ Spoerr a.a.O., Art. 28 Rn. 35; Martini a.a.O., Art. 28 Rn. 20; Hartung a.a.O., Art.  28 Rn.  60), kann dahinstehen. Denn jedenfalls ergibt sie sich aus dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DS‑GVO) und insbesondere dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DS‑GVO), der den Zeitraum der Speicherung betrifft und dessen Ausfluss die Löschungs- bzw. Rückgabepflicht bei Beendigung des Auftragsverhältnisses ist (Martini a.a.O., Art. 28 Rn. 50; Simitis/ Hornung/Spiecker gen. Döhmann/Petri, Datenschutzrecht, 2. Aufl., DS‑GVO Art.  28 Rn.  78). Für die Einhaltung dieser Grundsätze ist der Verantwortliche gem. Art. 5 Abs. 2 DS‑GVO „verantwortlich“. Ferner ergibt sich seine Pflicht, sicherzustellen, dass dem Auftragsverarbeiter mit Beendigung des Auftrags der Zugang zu den personenbezogenen Daten der betroffenen Personen entzogen wird, aus der aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 DS‑GVO folgenden Pflicht, eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. So hat der Verantwortliche gem. Art. 32 Abs. 1 DS‑GVO unter Berücksichtigung unter anderem der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Gem. Art. 32 Abs. 2 DS‑GVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Datenverarbeitung verbunden sind, unter anderem durch den unbefugten Zugang zu gespeicherten Daten. Das Risiko eines unbefugten Zugriffs auf die gespeicherten Daten besteht nicht erst bei einem Cyberangriff durch außenstehende Dritte, sondern schon dann, wenn die Daten nach Beendigung des Auftragsverhältnisses beim Auftragsverarbeiter gespeichert bleiben, obwohl dessen Zugriffsrecht mit der Beendigung des Auftrags erloschen ist. Dies hat der Verantwortliche durch geeignete Maßnahmen „so weit wie möglich“ zu verhindern (zu dieser Einschränkung vgl. EuGH, Urt. v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 30). Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt. Die Beweislast für die Geeignetheit seiner insoweit getroffenen Sicherheitsmaßnahmen liegt beim Verantwortlichen (vgl. EuGH a.a.O. Rn. 52, 56).

Hat der Verantwortliche diese ihm selbst obliegende Pflicht verletzt und insbesondere nicht auf ein vertragskonformes Verhalten des Auftragsverarbeiters hinsichtlich der Datenlöschung bzw. -rückgabe bei Auftragsende gedrängt, so kann er sich seiner Verantwortung hierfür nicht schon durch den Hinweis auf einen Aufgabenexzess entziehen, den der Auftragsverarbeiter dadurch begeht, dass er die Daten vertragswidrig behält und weiter verarbeitet. Für die Folgen seines eigenen Pflichtenverstoßes hat der Verantwortliche selbst einzustehen. […]

b) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen ist dessen Beurteilung, dem Kläger sei kein immaterieller Schaden im Sinne von Art.  82 Abs.  1 DS‑GVO entstanden, rechtsfehlerhaft. Nach den Feststellungen des Berufungsgerichts waren von dem Vorfall folgende personenbezogene Daten des Klägers betroffen: Vor- und Nachname, Geschlecht, E-Mail-Adresse, Sprache sowie sein Registrierungsdatum bei der Beklagten. Der Kläger hat nicht nur die Kontrolle über diese Daten dadurch verloren, dass nach Beendigung der Auftragsverarbeitung das Unternehmen O. und Dritte (Hacker) unbefugten Zugriff auf die Daten hatten. Vielmehr ist es darüber hinaus anschließend zu einer missbräuchlichen Verwendung der Daten dadurch gekommen, dass sie im Darknet zum Verkauf angeboten wurden. Spätestens damit ist dem Kläger ein immaterieller Schaden entstanden. Ferner ist ein solcher Schaden durch die entgegen der Auffassung des Berufungsgerichts als begründet anzusehende Befürchtung des Klägers eingetreten, es könne zu einer (weiteren) missbräuchlichen Verwendung der im Darknet veröffentlichten Daten durch Versendung von Spam-Mails kommen.

aa) Der Begriff des „immateriellen Schadens“ ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DS‑GVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., vgl. nur EuGH, Urt. v. 4.9.2025 – C-655/23, NJW 2025, 3137 Rn. 55; v. 4.10.2024 – C-200/23, DB 2024, 2952 Rn. 139 m.w.N.; weitere Nachweise bei Senatsurteil v. 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn. 28). Dabei soll nach ErwG 146 S. 3 DS‑GVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der DS‑GVO reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadenersatzanspruch zu begründen, vielmehr ist darüber hinaus – im Sinne einer eigenständigen Anspruchsvoraussetzung – der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urt. v. 4.9.2025 – C-655/23, a.a.O. Rn. 56; v. 4.10.2024 – C-200/23, a.a.O. Rn.  140 m.w.N.; weitere Nachweise bei Senatsurteil v. 18.11.2024 – VI ZR 10/24, a.a.O.).

Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DS‑GVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat oder eine „Bagatellgrenze“ überschreitet (EuGH, Urt. v. 4.9.2025 – C-655/23, a.a.O. Rn. 58; v. 4.10.2024 – C-200/23, a.a.O. Rn. 149 m.w.N.; weitere Nachweise bei Senatsurteil v. 18.11.2024 – VI ZR 10/24, a.a.O. Rn. 29). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DS‑GVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die DS‑GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urt. v. 4.10.2024 – C-200/23, a.a.O. Rn. 142; weitere Nachweise bei Senatsurteil v. 18.11.2024 – VI ZR 10/24, a.a.O.).

bb) Wie der Senat in seinem – der angefochtenen Entscheidung allerdings zeitlich nachfolgenden – Urt. v. 18.11.2024 – VI ZR 10/24 (BGHZ 242, 180) zu einem Scraping-Vorfall bei Facebook unter Bezugnahme auf die Rechtsprechung des Gerichtshofs ausgeführt hat, kann ein immaterieller Schaden i.S.d. Art.  82 Abs.  1 DS‑GVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS‑GVO sein (a.a.O. Rn. 30 f.). Hat die betroffene Person den Nachweis erbracht, dass sie einen in einem bloßen Kontrollverlust als solchem bestehenden Schaden erlitten hat, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (a.a.O. Rn. 31).

(1) Diese Rechtsauffassung, die der Senat in dem genannten Urteil nachfolgenden Entscheidungen wiederholt hat (Senatsurteile v. 28.1.2025 – VI ZR 109/23, NJW 2025, 1060 Rn. 16 f.; v. 11.2.2025 – VI ZR 365/22, NJW 2025, 1656 Rn. 15) und die das Bundesarbeitsgericht teilt (vgl. BAG, Urt. v. 8.5.2025 – 8 AZR 209/21, NZA 2025, 1248 Rn. 24), soll nach in Teilen der Literatur vertretener Meinung (vgl. Mörsdorf/Momtazi, JZ 2025, 425, 428 f.; Paal, NJW 2025, 261, 263 f.; Spittka, DSB 2024, 311, 312 f.; Schürgers/Hirschberger, NZA 2025, 216, 221 f.) sowie nach Auffassung der Revisionserwiderung im Widerspruch zur Rechtsprechung des Gerichtshofs stehen. Insbesondere wird vertreten, der Gerichtshof habe den Kontrollverlust als solchen nur als mögliche Ursache für einen immateriellen Schaden, nicht aber als den immateriellen Schaden selbst angesehen

(2) Gegen diese Meinung spricht, dass, worauf der Gerichtshof zuletzt in seinem Urt. v. 4.9.2025 – C-655/23 (NJW 2025, 3137 Rn. 59) hingewiesen hat, in den Erwägungsgründen der DS‑GVO die Hinderung der betroffenen Person daran, „die sie betreffenden personenbezogenen Daten zu kontrollieren“ (ErwG 75 DS‑GVO) und der „Verlust der Kontrolle über ihre personenbezogenen Daten“ (ErwG 85 DS‑GVO) als Beispiele für einen möglichen Schaden im Sinne von Art. 82 Abs. 1 DS‑GVO aufgeführt sind. Unter Bezugnahme auf ErwG 85 DS‑GVO hat der Gerichtshof wiederholt und auch in seinen jüngsten Entscheidungen zu diesem Thema darauf hingewiesen, dass der Unionsgesetzgeber unter den Begriff des Schadens auch den „bloßen Verlust der Kontrolle“ über die eigenen personenbezogenen Daten dieser Personen infolge eines Verstoßes gegen die DS‑GVO „fassen“ wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte (EuGH, Urt. v. 4.9.2025 – C-655/23, NJW 2025, 3137 Rn. 60; v. 4.10.2024 – C-200/23, DB 2024, 2952 Rn.  145; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 82). Ähnlich heißt es im Urteil des Gerichtshofs v. 11.4.2024 – C-741/21, NJW 2024, 1561 Rn.  42, dass der 85. ErwG der DS‑GVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden „zählt“, die durch eine Verletzung personenbezogener Daten verursacht werden können. In demselben Urteil (a.a.O.) sowie in seinem Urt. v. 20.6.2024 – C-590/22, ZD 2024, 519 Rn. 33 hat der Gerichtshof ausgeführt, dass der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DS‑GVO „darstellen“ (englische Fassung: „constitute“, französische Fassung: „constituer“) kann, der einen Schadenersatz begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich „einen solchen Schaden“ – so geringfügig er auch sein mag – erlitten hat. Dies stützt die vom Senat vertretene Auffassung, dass bereits der Kontrollverlust als solcher ein Schaden im Sinne von Art.  82 Abs.  1 DS‑GVO sein kann und dementsprechend nur dieser nachgewiesen werden muss, um einen Schadenersatzanspruch zu begründen.

Allerdings ist die Wortwahl, auch im Vergleich der Sprachfassungen, nicht einheitlich. In der deutschen Fassung des Urteils des Gerichtshofs v. 25.1.2024 – C-687/21, CR 2024, 160 Rn. 66 heißt es, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle einen immateriellen Schaden im Sinne von Art.  82 Abs.  1 DS‑GVO „erleiden“ kann, in den Urteilen des Gerichtshofs v. 14.12.2023 – C-456/22, NZA 2024, 56 Rn. 22 und v. 4.10.2024 – C-200/23, DB 2024, 2952 Rn. 150, dass der Verlust der „Hoheit“ über diese Daten einen Schaden „zufügen“ kann. In der englischen und der französischen Fassung werden insoweit aber einheitlich die Begriffe „loss of control“ bzw. „perte de contrôle“ verwendet, die Verknüpfung mit dem immateriellen Schaden wird einheitlich durch die Wörter „cause/causing“ bzw. „causer“ hergestellt. In den deutschen Sprachfassungen findet sich das Wort „verursachen“ (erst) in Rn.  156 des Urteils des Gerichtshofs v. 4.10.2024 – C-200/23 (a.a.O.) sowie im Urteil des Gerichtshofsv. 4.9.2025 – C-655/23, NJW 2025, 3137 Rn. 60, wo es heißt, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DS‑GVO zu „verursachen“, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis „zusätzlicher spürbarer negativer Folgen“ erfordert (Hervorhebungen nur hier). Bei isolierter Betrachtung dieses Satzes könnte der bloße Kontrollverlust nur Ursache für einen davon zu trennenden immateriellen Schaden sein, den die betroffene Person nachweisen müsste, wobei der Nachweis zusätzlicherspürbarer negativer Folgen nicht erforderlich wäre. Damit würde sich allerdings die Frage stellen, worin genau der immaterielle Schaden als Zwischenstufe zwischen Kontrollverlust und zusätzlichen spürbaren negativen Folgen bestehen soll. Insbesondere wäre diese Interpretation mit dem (im Urt. v. 4.9.2025 – C-655/23 unmittelbar zuvor in Rn. 60 wiederholten) Hinweis des Gerichtshofs darauf, dass der Unionsgesetzgeber bei der beispielhaften Aufzählung der Schäden („types of damage“) unter diesen Begriff insbesondere auch den „bloßen Verlust der Kontrolle“ über die eigenen personenbezogenen Daten dieser Personen infolge eines Verstoßes gegen die DS‑GVO fassen wollte („intended to include in that concept, inter alia, mere loss of control“) und der vom Gerichtshof in anderen Urteilen verwendeten Formulierung, dass der Kontrollverlust den immateriellen Schaden „darstellen“ kann, kaum in Einklang zu bringen. Der Generalanwalt beim Gerichtshof (Szpunar) hat in den Schlussanträgen v. 18.9.2025 in der Rechtssache C-526/24 unter Bezugnahme unter anderem auf das Urteil des Gerichtshofs v. 4.9.2025 – C-655/23 das Wort „darstellen“(„constitute“, „constituer“)und nicht „verursachen“ („cause“, „causer“) verwendet (Rn. 89). Zu berücksichtigen sind in diesem Zusammenhang ferner das mit der DS‑GVO verfolgte Ziel der Gewährung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten sowie ErwG 146 S. 3 DS‑GVO, der eine weite Auslegung des Begriffs des Schadens in einer Art und Weise gebietet, die den Zielen der DS‑GVO in vollem Umfang entspricht.

cc) Auf diese für den Kontrollverlust als immateriellen Schaden – auch nach der Rechtsprechung des Gerichtshofs – sprechenden Gesichtspunkte kommt es im vorliegenden Fall allerdings letztlich nicht entscheidungserheblich an. Denn hier ist es wie auch in den Facebook-Scraping-Fällen (hierzu Senatsurteil v. 18.11.2024 – VI ZR 10/24, BGHZ 242, 180) nicht nur zu einem Kontrollverlust, sondern in dessen Folge zu einer missbräuchlichen Verwendung der personenbezogenen Daten gekommen, womit ein immaterieller Schaden vorliegt.

(1) Ohne Zweifel lässt sich der Rechtsprechung des Gerichtshofs entnehmen, dass ein immaterieller Schaden im Sinne von Art.  82 Abs.  1 DS‑GVO jedenfalls dann vorliegt, wenn der Kontrollverlust nicht folgenlos geblieben, sondern es zu einer missbräuchlichen Verwendung der betreffenden Daten tatsächlich gekommen ist. Aus der vom Gerichtshof auch jüngst wiederholten Wendung, dass der Unionsgesetzgeber unter den Begriff des Schadens insbesondere auch den bloßen Verlust der Kontrolle über die eigenen personenbezogenen Daten fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte (EuGH, Urt. v. 4.9.2025 – C-655/23, NJW 2025, 3137 Rn. 60; v. 4.10.2024 – C-200/23, DB 2024, 2952 Rn. 145; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 82, Hervorhebung nur hier), lässt sich schließen, dass erst recht ein immaterieller Schaden zu bejahen ist, wenn die Daten tatsächlich missbräuchlich verwendet wurden. Dasselbe ergibt sich aus der Rechtsprechung des Gerichtshofs, wonach auch die durch einen Verstoß gegen die DS‑GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DS‑GVO darstellen kann, sofern diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als „begründet“ angesehen werden kann, das Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten also nicht rein hypothetischer Natur ist (vgl. nur EuGH, Urt. v. 4.10.2024 – C-200/23, DB 2024, 2952 Rn. 143 f. m.w.N.; v. 25.1.2024 – C-687/21, CR 2024, 160 Rn. 65, 67, 68; Senatsurteil v. 13.5.2025 – VI ZR 186/22, CR 2025, 585 Rn. 28 f.; dazu näher unten dd)). Wie beim Kontrollverlust ist es also für die Qualifizierung einer Befürchtung als immaterieller Schaden nicht erforderlich, dass es zu der befürchteten missbräuchlichen Verwendung der Daten kommt. Hat sich das Risiko der missbräuchlichen Verwendung aber verwirklicht, so liegt ein immaterieller Schaden erst recht vor.

Insbesondere bedarf es hierfür nicht zusätzlich eines durch die missbräuchliche Datenverwendung hervorgerufenen „emotionalen“ Schadens. Letzteres lässt sich nicht darauf stützen, dass der Gerichtshof in Rn. 64 des Urt. v. 4.9.2025 – C-655/23 (NJW 2025, 3137) auf die dortige vierte Vorlagefrage des Senats geantwortet hat, „dass Art. 82 Abs. 1 DS‑GVO dahin auszulegen ist, dass der Begriff ‚immaterieller Schaden‘ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z.B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DS‑GVO empfindet.“ Denn die vierte Vorlagefrage betraf nicht etwa die Frage, ob und unter welchen Voraussetzungen ein Kontrollverlust oder gar eine missbräuchliche Verwendung der Daten einen immateriellen Schaden darstellt, sondern, ob Art. 82 Abs. 1 DS‑GVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen (a.a.O. Rn.  35). Die Antwort, dass nachgewiesene negative Gefühle samt ihrer negativen Folgen, die durch einen Kontrollverlust etc. hervorgerufen werden, vom Begriff des immateriellen Schadens umfasst sind, lässt nicht den Schluss zu, dass es zur Begründung eines Schadens zwingend solcher negativer Gefühle bedarf.

(2) Nach diesen Maßstäben ist vorliegend von einem immateriellen Schaden im Sinne von Art. 82 DS‑GVO jedenfalls ab dem Zeitpunkt auszugehen, zu dem die personenbezogenen Daten des Klägers im Darknet veröffentlicht und dort zum Verkauf angeboten wurden. Zuvor hatte der Kläger die Kontrolle über diese Daten dadurch verloren, dass seine personenbezogenen Daten trotz Beendigung des Auftragsverhältnisses bei dem Unternehmen O. gespeichert blieben und damit sowohl das Unternehmen O. unbefugten Zugriff auf die Daten hatte als auch Dritte, die die Daten hackten oder von Mitarbeitern des Unternehmens O. erhielten. Mit ihrer anschließenden Veröffentlichung im Darknet wurden die Daten sodann missbräuchlich verwendet.

Allein darauf, ob die hier betroffenen Daten des Klägers auch schon vor dem streitgegenständlichen Vorfall gehackt worden waren, wie den Feststellungen des Berufungsgerichts zufolge der Website „haveibeenpwned.com“ zu entnehmen ist, kommt es für das Vorliegen eines Schadens nicht an. Denn mit jedem rechtswidrigen Abgriff der Daten wird der Kontrollverlust intensiviert und die Gefahr eines Missbrauchs (durch denselben oder einen anderen Personenkreis) erhöht. Der Umstand, dass dieselben Daten schon einmal gehackt wurden, kann deshalb für sich genommen nur bei der Bemessung der Schadenshöhe eine Rolle spielen.

dd) Ein immaterieller Schaden wird vorliegend zudem durch die mit Bekanntwerden des Vorfalls ausgelöste Befürchtung des Klägers begründet, die im Darknet veröffentlichten Daten könnten (nun ein weiteres Mal) missbräuchlich verwendet werden. Die Beurteilung des Berufungsgerichts, diese Befürchtung sei nicht als begründet anzusehen, beruht auf Rechtsfehlern.

(1) Durch die Rechtsprechung des Gerichtshofs ist geklärt, dass die durch einen Verstoß gegen die DS‑GVO ausgelöste (empfundene) Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten infolge eines Verstoßes gegen die DS‑GVO von Dritten missbräuchlich verwendet werden, „für sich genommen“ einen immateriellen Schaden im Sinne von Art.  82 Abs.  1 DS‑GVO darstellen kann, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (EuGH, Urt. v. 4.9.2025 – C-655/23, NJW 2025, 3137 Rn. 61; v. 4.10.2024 – C-200/23, DB 2024, 2952 Rn. 143 f.; v. 20.6.2024 – C-590/22, ZD 2024, 519 Rn. 32, 35, 36; v. 25.1.2024 – C-687/21, CR 2024, 160 Rn. 65; Senatsurteile v. 13.5.2025 – VI ZR 186/22, CR 2025, 585 Rn. 28; v. 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn. 32). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (EuGH, Urt. v. 20.6.2024 – C-590/22, a.a.O. Rn. 35; v. 25.1.2024 – C-687/21, a.a.O. Rn. 68; Senatsurteile v. 13.5.2025 – VI ZR 186/22, a.a.O. Rn.  29; v. 18.11.2024 – VI ZR 10/24, a.a.O.). Die Befürchtung muss unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als „begründet“ angesehen werden können (EuGH, Urt. v. 4.10.2024 – C-200/23, a.a.O. Rn. 143 m.w.N.; v. 14.12.2023 – C-340/21, NJW 2024, 1091 Rn. 85; Senatsurteil v. 13.5.2025 – VI ZR 186/22, a.a.O.). Ebenso wenig wie beim Kontrollverlust ist es dagegen erforderlich, dass es zu einer missbräuchlichen Verwendung der Daten tatsächlich kommt (s.o. sub cc) (1)). Die mit der begründeten Befürchtung einer missbräuchlichen Datenverwendung verbundenen negativen Folgen können auch negative Gefühle wie Sorge und Ärger sein, auch wenn diese Teil des allgemeinen Lebensrisikos sein können (vgl. EuGH, Urt. v. 4.9.2025 – C-655/23, a.a.O. Rn. 62, 64).

Die Anforderungen an die Darlegung der Befürchtung eines Datenmissbrauchs dürfen nicht überspannt werden. Allein der Umstand, dass sich in einer Vielzahl von Klageschriften nach einem Vorfall, der eine Vielzahl von Personen betroffen hat, gleichlautende Formulierungen zu Sorgen und Ängsten über einen Datenmissbrauch finden, steht der Schlüssigkeit der jeweiligen Klage noch nicht entgegen (vgl. Senatsurteil v. 18.11.2024 – VI ZR 10/24, a.a.O. Rn. 36). Je plausibler die Befürchtung eines Datenmissbrauchs im konkreten Fall erscheint, desto geringere Anforderungen sind an ihre Darlegung zu stellen.

(2) Die Beurteilung des Berufungsgerichts, die vom Kläger vorgetragene Befürchtung eines Datenmissbrauchs könne nicht als begründet angesehen werden, steht nicht in Einklang mit der Rechtsprechung des Gerichtshofs.

Nach seinem vom Berufungsgericht festgestellten Vortrag befürchtet der Kläger aufgrund des streitgegenständlichen Vorfalls insbesondere den Erhalt von Spam-Mails mit auch betrügerischem Inhalt sowie einen Identitätsdiebstahl. Werden wie hier Name und E-Mail-Adresse einer natürlichen Person im Darknet zum Verkauf angeboten, so darf es als sehr wahrscheinlich angesehen werden, dass diese Daten dazu verwendet werden, Werbemails, aber auch Mails mit betrügerischem Inhalt an diese Person zu senden. Das stellt wohl auch das Berufungsgericht nicht in Frage. Ferner besteht die konkrete Gefahr, dass unter dem Namen der betroffenen Person und scheinbar von ihrem E-Mail-Account aus Mails mit betrügerischem Inhalt an Dritte geschickt werden. Schon mit der Versendung dieser Spam-Mails an den Kläger bzw. scheinbar von ihm als Absender an Dritte würden die Daten des Klägers (nach ihrer Veröffentlichung im Darknet ein weiteres Mal) missbräuchlich verwendet, so dass die Befürchtung eben dieser – objektiv naheliegenden – Verwendung als solche einen immateriellen Schaden darstellt, sofern diese Befürchtung samt ihrer negativen Folgen nachgewiesen ist. Darauf, welches Gefahrenpotenzial mit Spam-Mails verbunden ist, welche Vorsichtsmaßnahmen insoweit ergriffen werden können und wann solche Mails zu einem materiellen Schaden führen, kommt es entgegen der Auffassung des Berufungsgerichts für die Qualifizierung der Befürchtung als begründet hier nicht an. Da die missbräuchliche Datenverwendung nur befürchtet werden, aber nicht erfolgen muss, ist ferner unerheblich, ob der Kläger gerade infolge des streitgegenständlichen Vorfalls Spam-Mails erhalten hat oder erhalten wird. Mit den weiteren Erwägungen, es handle sich bei den gehackten Daten nicht um besonders sensible Daten, Spam-Mails würden auch andere Personen erhalten, deren Daten nicht gehackt worden seien, das Unwohlsein des Klägers gehe nicht über das hinaus, was alle sich im Internet bewegenden Privatpersonen beim Erhalt ungebetener Nachrichten erduldeten, zudem habe der Kläger nach Bekanntwerden des Vorfalls seine E-Mail-Adresse nicht geändert, hat das Berufungsgericht im Ergebnis eine Erheblichkeitsschwelle für die Annahme eines Schadens angenommen, die es nach der oben aufgezeigten Rechtsprechung des Gerichtshofs nicht gibt. Diese Überlegungen können erst bei der Ermittlung der Schadenshöhe eine Rolle spielen (vgl. Senatsurteil v. 18.11.2024 – VI ZR 10/24, BGHZ 242, 180 Rn. 99). Dabei wird allerdings zu berücksichtigen sein, dass die Befürchtung einer missbräuchlichen Datenverwendung und die damit verbundene Sorge stärker empfunden werden kann, wenn die betroffene Person positiv weiß, dass ihre Daten im Darknet zum Verkauf angeboten wurden.

Schließlich entzieht der Umstand, dass die Daten des Klägers der Webseite „haveibeenpwned.com“ zufolge schon vor dem streitgegenständlichen Vorfall gehackt worden sein sollen, der Befürchtung, dass sie infolge des streitgegenständlichen Vorfalls erneut – von denselben oder anderen Personen – missbräuchlich verwendet werden, nicht die Grundlage. Insbesondere fehlt es entgegen der Ansicht der Revisionserwiderung nicht an der Kausalität zwischen dem streitgegenständlichen Verstoß und der Befürchtung als immateriellem Schaden. […]

Zur Vertiefung

Kremer/Laue, Kontrollverlust als Schaden beim Scraping sowie Tenorierung von Unterlassungsansprüchen im Datenschutz = EuDIR 1/2025

Allgayer, Die Rechtsprechung des BGH zum Datenschutzrecht im Jahr 2024 = EuDIR 2/2025

[Urteil] Schadenersatzanspruch allein aufgrund des Kontrollverlustes über die eigenen Daten = RDV 1/2025