BGH: Daten müssen nach Vertragsende wirklich weg sein, Löschzusagen reichen nicht 
 

Im Urteil des Bundesgerichtshofs vom 11. November 2025 (VI ZR 396/24) ging es um einen Musikstreamingdienst, dessen externer Auftragsverarbeiter zum Vertragsende die Löschung ankündigte, die Daten aber tatsächlich behielt. Jahre später tauchten Datensätze aus 2019 im Darknet zum Verkauf auf. Die Details wirken unspektakulär: Name, E-Mail-Adresse, Sprache, Registrierungsdatum. Und doch zeigt der Fall, wie schnell aus „Restdaten“ ein echter Risikofaktor wird, sei es durch einen Angriff von außen oder durch unbefugte interne Weitergabe.

Der BGH zieht die Linie klar: Verantwortliche bleiben „Herr der Verarbeitung“, auch dann, wenn ein Auftragsverarbeiter die operative Arbeit übernimmt. Und erst recht dann, wenn das Auftragsverhältnis endet. Wer sich zum Vertragsende mit einer Löschungsankündigung zufriedengibt, handelt pflichtwidrig. Entscheidend ist nicht, dass im Vertrag die Löschung vorgesehen wird, sondern dass am Ende tatsächlich keine personenbezogenen Daten mehr beim Dienstleister verbleiben und der Zugriff technisch unterbunden ist. 

Gabriel Montiel
Gabriel Montiel
Berater Datenschutz
Bitkom Consult

Besonders praxisrelevant ist die Schadenperspektive. Der BGH stellt heraus, dass bereits der Kontrollverlust über personenbezogene Daten einen immateriellen Schaden begründen kann. Spätestens wenn Daten im Darknet angeboten werden, ist die Schwelle überschritten. Auch die begründete Befürchtung eines Missbrauchs (etwa durch Spam oder Phishing) zählt, ohne dass Betroffene erst nachweisen müssten, dass ein konkreter Betrug bereits eingetreten ist. Und: Ein früherer Datenabfluss derselben Informationen nimmt dem neuen Vorfall nicht automatisch den „Schaden“; er kann allenfalls die Höhe beeinflussen.

Für Unternehmen ist das weniger juristische Feinjustierung als Governance-Aufgabe. Offboarding wird zur Kontrollfrage: Wo liegen Kopien, Backups, Testumgebungen, Unterauftragnehmer-Spuren? Wer bestätigt was und womit? Nachweisbarkeit ist wichtig. Das passt zu einer Entwicklung, die man auch aus anderen Konstellationen kennt, nämlich dass Datenschutzschäden zunehmend über den Verlust der Kontrolle gedacht werden, nicht erst über messbare Folgeschäden.

Genau hier entscheidet sich, ob Compliance im Alltag trägt. Bitkom Consult unterstützt Unternehmen dabei, Auftragsverarbeitung nicht nur vertraglich richtig, sondern operativ belastbar zu organisieren: Exit-Prozesse, Prüf- und Nachweisketten, technische Abschaltung von Zugriffen, Umgang mit Kopien und Backups, sowie eine vollständige Dokumentation. Denn wenn der Vorfall eintritt, ist die entscheidende Frage oft nicht „Hatten wir einen AV Vertrag?“, sondern „Können wir zeigen, dass wir die Löschung wirklich sichergestellt haben?“

Sprechen Sie mit uns über Ihre Offboarding- und Nachweisstrategie in der Auftragsverarbeitung unter datenschutz@bitkom-consult.de. 

Share