BGH: Verantwortlicher muss nach Beendigung eines Auftragsverarbeitungsvertrages sicherstellen, dass personenbezogene Daten tatsächlich gelöscht oder zurückgegeben werden, sofern kein Recht zur fortdauernden Speicherung besteht

Du betrachtest gerade BGH: Verantwortlicher muss nach Beendigung eines Auftragsverarbeitungsvertrages sicherstellen, dass personenbezogene Daten tatsächlich gelöscht oder zurückgegeben werden, sofern kein Recht zur fortdauernden Speicherung besteht

KI-generiertes Bild/Bild erstellt mit Adobe Firefly durch Prompting

BGH: Verantwortlicher muss nach Beendigung eines Auftragsverarbeitungsvertrages sicherstellen, dass personenbezogene Daten tatsächlich gelöscht oder zurückgegeben werden, sofern kein Recht zur fortdauernden Speicherung besteht

Beitrags-Autor:Rolf Albrecht
Beitrag veröffentlicht:November 27, 2025
Beitrags-Kategorie:Datenschutzrecht

So das Gericht in seinem Urteil vom 11. November 2025 (Az.: VI ZR 396/24) in einem Rechtsstreit rund um Ansprüche aus einem „Datenleck“ bei einem Unternehmen, dass Streamingdienstleistungen für Musik anbietet. In dem Rechtsstreit wurde ein Schadensersatzanspruch nach Art. 82 DSGVO geltend gemacht. Im Zuge dessen war auch zu klären, ob eine Pflichtverletzung des beklagten Unternehmens nach Art. 5 II .V.m. Art. 5 I lit.c.), e.) und f.) DSGVO sowie aus Art. 32 I DSGVO vorlag. Das Gericht sah dies als erwiesen an. Dabei führt es zur Begründung unter anderem in den Entscheidungsgründen des Urteils aus:

„…Gemäß Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Datenverarbeitung verbunden sind, unter anderem durch den unbefugten Zugang zu gespeicherten Daten. Das Risiko eines unbefugten Zugriffs auf die gespeicherten Daten besteht nicht erst bei einem Cyberangriff durch außenstehende Dritte, sondern schon dann, wenn die Daten nach Beendigung des Auftragsverhältnisses beim Auftragsverarbeiter gespeichert bleiben, obwohl dessen Zugriffsrecht mit der Beendigung des Auftrags erloschen ist. Dies hat der Verantwortliche durch geeignete Maßnahmen „so weit wie möglich“ zu verhindern (zu dieser Einschränkung vgl. EuGH, Urteil vom 14. Dezember 2023 – C-340/21, NJW 2024, 1091 Rn. 30). Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt. Die Beweislast für die Geeignetheit seiner insoweit getroffenen Sicherheitsmaßnahmen liegt beim Verantwortlichen (vgl. EuGH aaO Rn. 52, 56). Hat der Verantwortliche diese ihm selbst obliegende Pflicht verletzt und insbesondere nicht auf ein vertragskonformes Verhalten des Auftragsverarbeiters hinsichtlich der Datenlöschung bzw. -rückgabe bei Auftragsende gedrängt, so kann er sich seiner Verantwortung hierfür nicht schon durch den Hinweis auf einen Aufgabenexzess entziehen, den der Auftragsverarbeiter dadurch begeht, dass er die Daten vertragswidrig behält und weiter verarbeitet. Für die Folgen seines eigenen Pflichtenverstoßes hat der Verantwortliche selbst einzustehen…“

Schlagwörter: auftragsverarbeitung, datenschutz-grundverordnung, dsgvo, schadensersatz

Rolf Albrecht

Rechtsanwalt I Fachanwalt für Gewerblichen Rechtsschutz I Fachanwalt für Informationstechnologierecht (IT-Recht) I Lehrkraft für besondere Aufgaben für das Gebiet Wirtschaftsrecht an der Hochschule Ruhr West

M	D	M	D	F	S	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

Rolf Albrecht

Das könnte dir auch gefallen

OLG Dresden: Auskunftsanspruch nach Art. 15 DSGVO ist bei ausdrücklicher oder konkludenter Erklärung der Vollständigkeit der Auskunft durch den Verantwortlichen als erfüllt anzusehen

EuGH: Rechtsprechung zum Schadensersatzanspruch nach Art. 82 DSGVO bestätigt

OLG Köln: Nicht alle Daten in Nachträgen zum Versicherungsschein einer privaten Krankenversicherung sind personenbezogenen Daten im Sinne der DSGVO