So das Gericht in seinem Urteil vom 11. November 2025 (Az.: VI ZR 396/24) in einem Rechtsstreit rund um Ansprüche aus einem „Datenleck“ bei einem Unternehmen, dass Streamingdienstleistungen für Musik anbietet. In dem Rechtsstreit wurde ein Schadensersatzanspruch nach Art. 82 DSGVO geltend gemacht. Im Zuge dessen war auch zu klären, ein Anspruch dem Grund nach bestehen kann. Das Gericht führt in den Entscheidungsgründen unter anderem aus:
„…Nach diesen Maßstäben ist vorliegend von einem immateriellen Schaden im Sinne von Art. 82 DSGVO jedenfalls ab dem Zeitpunkt auszugehen, zu dem die personenbezogenen Daten des Klägers im Darknet veröffentlicht und dort zum Verkauf angeboten wurden. Zuvor hatte der Kläger die Kontrolle über diese Daten dadurch verloren, dass seine personenbezogenen Daten trotz Beendigung des Auftragsverhältnisses bei dem Unternehmen O. gespeichert blieben und damit sowohl das Unternehmen O. unbefugten Zugriff auf die Daten hatte als auch Dritte, die die Daten hackten oder von Mitarbeitern des Unternehmens O. erhielten. Mit ihrer anschließenden Veröffentlichung im Darknet wurden die Daten sodann missbräuchlich verwendet. Allein darauf, ob die hier betroffenen Daten des Klägers auch schon vor dem streitgegenständlichen Vorfall gehackt worden waren, wie den Feststellungen des Berufungsgerichts zufolge der Website „haveibeenpwned.com“ zu entnehmen ist, kommt es für das Vorliegen eines Schadens nicht an. Denn mit jedem rechtswidrigen Abgriff der Daten wird der Kontrollverlust intensiviert und die Gefahr eines Missbrauchs (durch denselben oder einen anderen Personenkreis) erhöht. Der Umstand, dass dieselben Daten schon einmal gehackt wurden, kann deshalb für sich genommen nur bei der Bemessung der Schadenshöhe eine Rolle spielen…“
