Leitsatz

1. Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt.

2. Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind.

Tenor

Auf die Revision des Klägers wird das Urteil des 4. Zivilsenats des Oberlandesgerichts Dresden vom 5. November 2024 im Kostenpunkt und insoweit aufgehoben, als über die Berufungsanträge des Klägers zu Ziffer 1 (immaterieller Schadensersatz), zu Ziffer 2 (Feststellung) hinsichtlich des Hilfsantrags und zu Ziffer 4 (Rechtsverfolgungskosten) zu dessen Nachteil entschieden worden ist.

Im Umfang der Aufhebung wird die Sache zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das Berufungsgericht zurückverwiesen.

Von Rechts wegen

Tatbestand

Der Kläger macht gegen die Beklagte - soweit für das Revisionsverfahren von Bedeutung - Schadensersatz- und Feststellungsansprüche wegen behaupteter Verletzung der Datenschutz-Grundverordnung geltend.

Die Beklagte, die ihren Sitz in Frankreich hat, betreibt den Online-Musikstreamingdienst D. Externer Auftragsverarbeiter der Beklagten war bis zum Auftragsende am 1. Dezember 2019 das Unternehmen O. Am 30. November 2019 teilte dieses der Beklagten per Mail mit, deren Webseite und die dort befindlichen Daten ("your site and all the data on the site") würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, erklärte das Unternehmen O. erstmalig mit E-Mail vom 22. Februar 2023. Zuvor war bekannt geworden, dass unbekannte Hacker seit November 2022 Daten von Nutzern des Dienstes der Beklagten im Darknet zum Verkauf anboten. Die Datensätze stammten aus dem Jahr 2019. Sie waren von dem Unternehmen O. nicht, wie mit der Beklagten vereinbart, unmittelbar nach Auftragsende gelöscht worden, sondern von Mitarbeitern des Unternehmens O. von der Produktiv-in eine Testumgebung überführt worden und anschließend entweder von Hackern erbeutet oder von Mitarbeitern des Unternehmens O. unbefugt weitergegeben worden. Die Beklagte informierte die von dem Vorfall betroffenen Personen nach dessen Bekanntwerden.

Der Kläger ist Nutzer des Dienstes der Beklagten. Seine Daten sind im Kundenprofil der Beklagten gespeichert. Der bei dem streitgegenständlichen Vorfall abgegriffene Datensatz enthielt Vor-, Nachname, Geschlecht, E-Mail-Adresse und Sprache des Klägers sowie das Registrierungsdatum.

Der Kläger verlangt, soweit für das Revisionsverfahren relevant, die Leistung von immateriellem Schadensersatz, weil die Beklagte die nach der Datenschutz-Grundverordnung gebotenen technischen und organisatorischen Schutzmaßnahmen nicht ergriffen habe. Seit der Kenntnis über das Datenleck mache er sich Sorgen über den Verbleib und einen möglichen Missbrauch seiner Daten in Gestalt von Identitätsdiebstahl, Phishing, unzulässigen Werbeanrufen und Werbemails. Darüber hinaus begehrt der Kläger die Feststellung, dass die Beklagte verpflichtet sei, ihm alle künftigen materiellen Schäden aufgrund der unbefugten Veröffentlichung seiner Daten im Internet im Jahr 2022 zu ersetzen. Ferner verlangt er den Ersatz außergerichtlicher Rechtsanwaltskosten.

Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen. Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger die genannten Ansprüche weiter. 

Gründe

A.

Das Berufungsgericht hat zur Begründung seiner Entscheidung, soweit für das Revisionsverfahren relevant, ausgeführt, die Beklagte habe zwar schuldhaft gegen ihre aus Art. 28, 32 DSGVO resultierenden Pflichten zur sorgfältigen Überwachung ihres externen Auftragsverarbeiters, des Unternehmens O., insbesondere dadurch verstoßen, dass sie von dem Unternehmen O. nicht die ausdrückliche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung der bei dieser vorhandenen Datensätze angefordert habe. Die E-Mail des Unternehmens O., mit der eine Löschung lediglich angekündigt worden sei, habe weder formal noch inhaltlich ausgereicht. Auch könne die Kausalität der Kontrollpflichtenverletzung für den Hacking-Vorfall nicht verneint werden: Wären die Daten auf die gebotene Nachfrage der Beklagten von O. gelöscht worden, hätten sie dort nicht abgegriffen werden können.

Aus dem Datenschutzverstoß sei dem Kläger aber kein kausaler immaterieller Schaden entstanden, denn einen durch den streitgegenständlichen Datenverlust verursachten emotionalen Schaden habe er nicht glaubhaft gemacht. Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet habe zu keinem immateriellen Schaden im Sinne von Art. 82 DSGVO geführt. Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsse die Höhe des Schadensersatzes im Hinblick auf die Ausgleichsfunktion des Art. 82 Abs. 1 DSGVO regelmäßig Null betragen. Die Befürchtung des Klägers, dass die Daten missbräuchlich verwendet werden, könne nicht als begründet angesehen werden. Bei der gehackten E-Mail-Adresse handle es sich nicht um ein besonders sensibles Datum des Klägers, sondern um eines aus der Sozialsphäre des Klägers. Die E-Mail-Adresse könne zwar missbräuchlich zur Versendung von Spam-Mails verwendet werden, ein materieller Schaden könne aber erst entstehen, wenn der mit der Mail gesendete Link verwendet werde. Der Empfang solcher Mails stelle - ohne weitere negative Folgen - für sich genommen keinen immateriellen Schaden dar. Zudem seien von der Lästigkeit von solchen Nachrichten auch Personen, deren Daten nicht gehackt worden seien, in vergleichbarer Weise betroffen. Ein Zusammenhang des Erhalts von Spam-Mails mit dem streitgegenständlichen Datensatzverlust sei nicht nachweisbar. Die E-Mail-Adresse des Klägers sei der Webseite "haveibeenpwned.com" zufolge schon vor dem streitgegenständlichen Vorfall gehackt worden. Die schriftsätzliche, allgemein gehaltene Behauptung des Klägers, er sei in einen Zustand großen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, genüge den Darlegungsanforderungen nicht. Sie sei schon nicht auf die konkrete Person des Klägers bezogen, sondern würde in einer Vielzahl von Klagen gleichlautend wiederholt. Allgemeine Sorgen, Ängste und Unwohlsein seien alltägliche Empfindungen, die keine begründete Befürchtung rechtfertigten. Bei seiner Anhörung habe der Kläger ausgeführt, dass er nach dem Vorfall einen merklichen Anstieg von Spam-Nachrichten und Phishing-Angriffen wahrgenommen habe, allerdings seien diese Nachrichten von seinem Account von vornherein in den Spam-Ordner verschoben worden, so dass keine große Gefahr bestanden habe. Er habe weiter angegeben, dass ihn die Sorge umtreibe, dass seine Daten weiter für Spam-Nachrichten verwendet würden. Er verwende die E-Mail-Adresse auch bei anderen Social-Media-Accounts und bei Amazon. Im Übrigen gebe er seine E-Mail-Adresse nicht ohne weiteres heraus. Spam-Mails blockiere er, Mails von unbekannten Absendern lese er nicht. Dies gehe über die ohnehin bei Online-Aktivitäten gebotenen und allseits regelmäßig geübten Handlungsweisen nicht hinaus. Die im Rahmen der Anhörung geschilderten Belästigungen hätten für den Kläger nicht ein Ausmaß erreicht, das ihn veranlasst hätte, seine E-Mail-Adresse zu ändern, um einen etwaig befürchteten Missbrauch vorzubeugen. Dann aber könne die Befürchtung eines Missbrauchs nicht als begründet angesehen werden. Das Berufungsgericht könne keine Schlüsse auf ein irgendwie geartetes Unwohlsein des Klägers ziehen, das über dasjenige hinausgehe, was alle sich im Internet bewegenden Privatpersonen erduldeten, die mit ungebetenen Nachrichten konfrontiert würden, bei denen im Dunkeln bleibe, woher die Kontaktaufnehmenden die für die Spam-Nachrichten erforderlichen Daten erhalten haben.

Der Feststellungsantrag sei mangels Rechtsschutzbedürfnisses unzulässig. Bei der Verletzung eines absoluten Rechts wie hier reiche die Möglichkeit eines Schadenseintritts aus. Ein Feststellungsinteresse sei nur dann zu verneinen, wenn aus Sicht des Geschädigten kein vernünftiger Grund bestehe, mit einem Schadenseintritt wenigstens zu rechnen. Das sei hier der Fall. Es sei auch zwei Jahre nach dem Vorfall kein Schaden eingetreten. Die Wahrscheinlichkeit eines Schadenseintritts nehme mit zunehmender Distanz zum Hacking-Ereignis ab, der Kausalzusammenhang lasse sich dadurch immer schwerer beweisen. Das gelte umso mehr, als naheliege, dass der Kläger anderweitig schon mehrfach von Hacking-Angriffen betroffen gewesen sei, ohne dass bislang irgendein kausaler materieller Schaden entstanden sei. Es bestünden auch keine konkreten Anhaltspunkte dafür, dass dem Kläger eine Gefährdung seines Vermögens drohen könnte. Nach alledem könne davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen sei.

B.

Die Revision ist begründet.

I.

Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen hält dessen Beurteilung, dem Kläger sei kein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden, der revisionsrechtlichen Prüfung nicht stand.

1. Die Datenschutz-Grundverordnung ist gemäß Art. 3 Abs. 1 DSGVO räumlich und, da die bei dem Unternehmen O. im Auftrag der Beklagten gespeicherten Informationen personenbezogene Daten des Klägers enthielten, gemäß Art. 2 Abs. 1 DSGVO sachlich anwendbar. Hinsichtlich der zeitlichen Anwendbarkeit ist nicht der Zeitpunkt der Registrierung eines Nutzerkontos bei der Beklagten maßgeblich, sondern der Hacking-Vorfall (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 19). Dieser hat nach den Feststellungen des Berufungsgerichts in Bezug auf den Kläger jedenfalls nach dem 25. Mai 2018 und damit nach dem Zeitpunkt stattgefunden, seit dem die Datenschutz-Grundverordnung gilt (Art. 99 Abs. 2 DSGVO).

2. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 2 DSGVO. Der Kläger als betroffene Person hat seinen gewöhnlichen Aufenthalt in Deutschland.

3. Nach ständiger Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. nur EuGH, Urteil vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 140; weitere Nachweise im Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 21). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft grundsätzlich die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (vgl. EuGH aaO Rn. 141 sowie Senatsurteil aaO mwN). Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. EuGH, Urteil vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 44 ff. sowie Senatsurteil aaO mwN).

a) Rechtlich nicht zu beanstanden ist die Beurteilung des Berufungsgerichts, dass die Beklagte bei Vorliegen eines Schadens (dazu unten b)) haftungsrechtlich dafür einzustehen hat, dass die Daten des Klägers bei dem Unternehmen O. nach Beendigung des Auftragsverarbeitungsverhältnisses nicht gelöscht wurden, so dass sie bei dem Unternehmen O. (durch Hacking oder infolge unbefugter Weitergabe durch Mitarbeiter des Unternehmens O.) abgegriffen und anschließend im Darknet zum Verkauf angeboten werden konnten. Dabei geht es nicht lediglich um einen Verstoß des Auftragsverarbeiters O. gegen die DSGVO, für den die Beklagte - vorbehaltlich der Möglichkeit einer Exkulpation nach Art. 82 Abs. 3 DSGVO - gemäß Art. 82 Abs. 2 Satz 1 DSGVO einzustehen hat. Vielmehr liegt darüber hinaus ein eigener Verstoß der Beklagten gegen die Datenschutz-Grundverordnung vor, der, wie vom Berufungsgericht zutreffend gesehen, darin besteht, dass sie sich bei Beendigung des Vertrages mit ihrem Auftragsverarbeiter O. mit dessen Ankündigung einer Datenlöschung begnügte und nicht die Bestätigung einer erfolgten umfassenden Datenlöschung einholte (dazu aa)). Wegen dieser eigenen schadensursächlichen Pflichtverletzung gelingt ihr eine Exkulpation nach Art. 82 Abs. 3 DSGVO nicht (bb)).

aa) Die Beklagte hat jedenfalls ihre Pflichten aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. c, e und f DSGVO sowie aus Art. 32 Abs. 1 DSGVO verletzt.

(1) Überträgt ein Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO die Datenverarbeitung auf einen Auftragsverarbeiter, kann er sich dadurch von seinen datenschutzrechtlichen Pflichten nicht befreien (Gabel/Lutz in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., Art. 28 Rn. 2). Er bleibt "Herr der Verarbeitung" und daher gegenüber der betroffenen Person für die Einhaltung der datenschutzrechtlichen Vorschriften bei der Verarbeitung ihrer Daten durch den Auftragsverarbeiter als seinem "verlängerten Arm" verantwortlich (Martini in Paal/Pauly, DSGVO BDSG, 3. Aufl., Art. 28 Rn. 2; Bergt in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 82 Rn. 55). Lediglich im Falle eines sogenannten Aufgaben- oder Auftragsverarbeiterexzesses, bei dem der Auftragsverarbeiter unter Verstoß gegen die Datenschutz-Grundverordnung selbst die Zwecke und Mittel der Verarbeitung bestimmt (Art. 28 Abs. 10 DSGVO), wird dieser Verantwortlicher und der ursprüngliche Verantwortliche unter Umständen aus seiner Haftung entlassen (vgl. für den Fall einer Haftung nach Art. 83 DSGVO EuGH, Urteil vom 5. Dezember 2023 - C-683/21, ZD 2024, 209 Rn. 85). Das gilt unter anderem dann, wenn der Auftragsverarbeiter Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche zugestimmt hätte (EuGH aaO). Auch in diesen Fällen kommt allerdings eine Haftung des Verantwortlichen in Betracht, wenn er es versäumt, mit den Mitteln des Vertragsrechts auf ein vertragskonformes Verhalten des Auftragsverarbeiters zu drängen (vgl. Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO Art. 28 Rn. 94).

Der Verantwortliche hat auch im Zusammenhang mit der Auftragsbeendigung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Insoweit ist von Bedeutung, dass die Übermittlung von personenbezogenen Daten seitens des Verantwortlichen an den Auftragsverarbeiter einen Eingriff in die durch Art. 7 und 8 GRCh garantierten Rechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellt, der nur solange gerechtfertigt ist, als die Voraussetzungen der Auftragsverarbeitung vorliegen. Wenn aber das Auftragsverhältnis nicht mehr besteht, gibt es keine Rechtfertigung mehr dafür, dass sich die Daten noch beim Auftragsverarbeiter befinden (BeckOK Datenschutzrecht/Spoerr, 53. Ed., Stand: 1.8.2025, DSGVO Art. 28 Rn. 78). Es ist daher auch und gerade durch den Verantwortlichen sicherzustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden (BeckOK/Spoerr aaO, Art. 28 Rn. 79; Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., DSGVO Art. 28 Rn. 78; Hartung in Kühling/Buchner aaO, Art. 28 Rn. 77). Das Zugriffsrecht des Auftragsverarbeiters auf diese Daten entfällt mit dem Auftragsende, der Zugang zu ihnen muss ihm daher ab diesem Zeitpunkt verwehrt sein (Martini aaO, Art. 28 Rn. 50). In Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO ist dementsprechend geregelt, dass in dem Vertrag oder anderen Rechtsinstrument, auf dessen Grundlage die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO zu erfolgen hat, vorzusehen ist, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Ferner ist gemäß Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten, also auch der Löschungs- bzw. Rückgabepflicht, zur Verfügung stellt und Überprüfungen seitens des Verantwortlichen oder eines von diesem beauftragten Prüfers ermöglicht und dazu beiträgt.

Der Verantwortliche darf sich allerdings grundsätzlich nicht damit begnügen, mit dem Auftragsverarbeiter einen Vertrag abzuschließen, in dem diesem die vertragliche Verpflichtung zur Löschung der Daten und zum Nachweis der Löschung bei Auftragsbeendigung auferlegt wird. Er hat vielmehr bei Beendigung des Auftragsverhältnisses das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass der Auftragsverarbeiter seine vertragliche Verpflichtung erfüllt, die personenbezogenen Daten also tatsächlich nicht länger bei ihm gespeichert bleiben, so dass er tatsächlich keinen Zugriff mehr auf diese hat. Ob sich diese Pflicht aus Art. 28 DSGVO ergibt, weil dessen Absatz 1 und Absatz 3 Satz 2 Buchst. h bei verständiger Auslegung der Vorschrift eine Kontrollpflicht des Verantwortlichen impliziert (vgl. Gabel/Lutz aaO, Art. 28 Rn. 27, 31; BeckOK/Spoerr aaO, Art. 28 Rn. 35; Martini aaO, Art. 28 Rn. 20; Hartung aaO, Art. 28 Rn. 60), kann dahinstehen. Denn jedenfalls ergibt sie sich aus dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und insbesondere dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO), der den Zeitraum der Speicherung betrifft und dessen Ausfluss die Löschungs- bzw. Rückgabepflicht bei Beendigung des Auftragsverhältnisses ist (Martini aaO, Art. 28 Rn. 50; Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., DSGVO Art. 28 Rn. 78). Für die Einhaltung dieser Grundsätze ist der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO "verantwortlich". Ferner ergibt sich seine Pflicht, sicherzustellen, dass dem Auftragsverarbeiter mit Beendigung des Auftrags der Zugang zu den personenbezogenen Daten der betroffenen Personen entzogen wird, aus der aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. f und Art. 32 Abs. 1 DSGVO folgenden Pflicht, eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. So hat der Verantwortliche gemäß Art. 32 Abs. 1 DSGVO unter Berücksichtigung unter anderem der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Datenverarbeitung verbunden sind, unter anderem durch den unbefugten Zugang zu gespeicherten Daten. Das Risiko eines unbefugten Zugriffs auf die gespeicherten Daten besteht nicht erst bei einem Cyberangriff durch außenstehende Dritte, sondern schon dann, wenn die Daten nach Beendigung des Auftragsverhältnisses beim Auftragsverarbeiter gespeichert bleiben, obwohl dessen Zugriffsrecht mit der Beendigung des Auftrags erloschen ist. Dies hat der Verantwortliche durch geeignete Maßnahmen "so weit wie möglich" zu verhindern (zu dieser Einschränkung vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 30). Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt. Die Beweislast für die Geeignetheit seiner insoweit getroffenen Sicherheitsmaßnahmen liegt beim Verantwortlichen (vgl. EuGH aaO Rn. 52, 56).

Hat der Verantwortliche diese ihm selbst obliegende Pflicht verletzt und insbesondere nicht auf ein vertragskonformes Verhalten des Auftragsverarbeiters hinsichtlich der Datenlöschung bzw. -rückgabe bei Auftragsende gedrängt, so kann er sich seiner Verantwortung hierfür nicht schon durch den Hinweis auf einen Aufgabenexzess entziehen, den der Auftragsverarbeiter dadurch begeht, dass er die Daten vertragswidrig behält und weiter verarbeitet. Für die Folgen seines eigenen Pflichtenverstoßes hat der Verantwortliche selbst einzustehen.

(2) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen ist die Beklagte ihrer unter (1) dargestellten Pflicht nicht nachgekommen. Sie hatte zwar vertragliche Regelungen mit dem Unternehmen O. getroffen, um den Vorgaben des Art. 28 Abs. 3 Satz 2 Buchst. g und h DSGVO gerecht zu werden. Insbesondere hatte das Unternehmen O. nach Wahl der Beklagten entweder eine vollständige Kopie aller personenbezogenen Daten des Unternehmens der Beklagten an diese zurückzugeben und alle anderen Kopien zu löschen oder alle Daten sowie deren Kopien zu löschen; die Löschung hatte innerhalb von 21 Tagen nach Auftragsende zu erfolgen. Ferner hatte es der Beklagten schriftlich zu bestätigen, dass es (und seine Unterauftragsverarbeiter) die Rückgabe- bzw. Löschungspflicht innerhalb der Frist "vollständig eingehalten haben". Es kann dahinstehen, ob die Beklagte schon dadurch, dass sie das ihr vertraglich eingeräumte Wahlrecht nicht ausgeübt hat, eine Pflichtverletzung begangen hat, die für das spätere Abgreifen der Daten (mit-)ursächlich war. Denn jedenfalls hat sie ihre Pflicht, das ihrerseits nach den Umständen des vorliegenden Falls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt, dadurch verletzt, dass sie sich mit der Ankündigung des Unternehmens O., es werde am nächsten Tag die "Site" der Beklagten und alle Daten auf der "Site" löschen, begnügt hat. So entsprach die angekündigte Tätigkeit schon nicht der vertraglich geschuldeten und datenschutzrechtlich geforderten umfassenden Löschung auch aller Datenkopien. Deshalb und weil die vertraglich geschuldete schriftliche Bestätigung ausblieb, dass die Löschungspflichten "vollständig eingehalten" wurden, die Löschung sämtlicher Daten und Datenkopien also vollzogen war, hatte die Beklagte in ihrer Verantwortung für die personenbezogenen Daten ihrer Kunden unmittelbar nach Ablauf der 21-tägigen Frist die Bestätigung einzufordern. Die vom Berufungsgericht festgestellte Nachfrage der Beklagten bei O. erst im Jahr 2023 - also mehr als drei Jahre nach Beendigung des Auftrags und erst nach Bekanntwerden des Hacking-Vorfalls - war ersichtlich verspätet und konnte letzteren nicht mehr verhindern.

(3) Es bedarf im Streitfall keiner Entscheidung, ob, wie die Revisionserwiderung meint, nur eine die Vorgaben der Datenschutz-Grundverordnung verletzende Datenverarbeitung Anknüpfungspunkt für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO sein kann, mithin die Nichteinhaltung nur abstrakter Pflichten außerhalb eines konkreten Verarbeitungsvorgangs eine Haftung auf Schadensersatz nicht begründen kann (zum Streitstand s. Nachweise im Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 23; für die Ansicht, dass es keiner Verarbeitung bedarf, vgl. Schlussantrag des Generalanwalts beim EuGH (Szpunar) vom 18. September 2025 in der Rechtssache C-526/24, juris Rn. 77). Denn der Gerichtshof hat bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt (vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22, ZD 2023, 606 Rn. 54-57). Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO auf Verstöße gegen Art. 5 DSGVO bestehen daher nicht (vgl. Senatsurteil aaO Rn. 24 mwN aus der Rechtsprechung des EuGH). Darüber hinaus hat der Gerichtshof auch für Verstöße unter anderem gegen Art. 32 DSGVO bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DSGVO möglich ist (vgl. EuGH, Urteile vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 42 f.; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 52 f.).

Wie ausgeführt hat die Beklagte im Streitfall unter anderem gegen ihre Pflichten aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. c, e und f DSGVO sowie aus Art. 32 Abs. 1 DSGVO verstoßen mit der Folge, dass die personenbezogenen Daten von Kunden der Beklagten einschließlich des Klägers bei dem Unternehmen O. länger gespeichert (und damit im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet) blieben als dies datenschutzrechtlich zulässig war. Damit liegt auch bei einschränkender Auslegung des Art. 82 Abs. 1 DSGVO ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne dieser Regelung vor.

bb) Revisionsrechtlich nicht zu beanstanden ist die Beurteilung des Berufungsgerichts, dass sich die Beklagte nicht nach Art. 82 Abs. 3 DSGVO - etwa unter Berufung auf ein weisungs- oder vertragswidriges Verhalten ihres Auftragsverarbeiters oder auf einen Hacking-Angriff durch unbefugte Dritte - entlasten kann. Eine Entlastung würde voraussetzen, dass die Beklagte nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, sie also keinerlei Verschulden trifft (Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., DSGVO, Art. 82 Rn. 24). Da ihr ein eigener (mindestens leicht) fahrlässiger Verstoß gegen die Datenschutz-Grundverordnung vorzuwerfen ist, müsste sie nachweisen, dass es keinerlei Kausalzusammenhang zwischen diesem Verstoß und dem dem Kläger entstandenen Schaden gibt (vgl. EuGH, Urteile vom 11. April 2024 - C-741/24, NJW 2024, 1561 Rn. 51; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 72). Dies ist ihr nicht gelungen. Die Beurteilung des Berufungsgerichts, es dürfe angenommen werden, dass das Unternehmen O. auf die gebotene Nachfrage der Beklagten bezüglich des Vollzugs der Löschung reagiert und die bei ihm noch vorhandenen Daten gelöscht hätte, ist revisionsrechtlich nicht zu beanstanden. Damit war die Pflichtverletzung der Beklagten mitursächlich dafür, dass personenbezogene Daten ihrer Kunden einschließlich des Klägers trotz Beendigung des Auftrags bei dem Unternehmen O. verblieben, dort von der Produktiv-in eine Testumgebung überführt wurden, entweder von Hackern erbeutet oder von Mitarbeitern des Unternehmens O. unbefugt weitergegeben und anschließend im Darknet zum Verkauf angeboten wurden.

b) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen ist dessen Beurteilung, dem Kläger sei kein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden, rechtsfehlerhaft. Nach den Feststellungen des Berufungsgerichts waren von dem Vorfall folgende personenbezogene Daten des Klägers betroffen: Vor- und Nachname, Geschlecht, E-Mail-Adresse, Sprache sowie sein Registrierungsdatum bei der Beklagten. Der Kläger hat nicht nur die Kontrolle über diese Daten dadurch verloren, dass nach Beendigung der Auftragsverarbeitung das Unternehmen O. und Dritte (Hacker) unbefugten Zugriff auf die Daten hatten. Vielmehr ist es darüber hinaus anschließend zu einer missbräuchlichen Verwendung der Daten dadurch gekommen, dass sie im Darknet zum Verkauf angeboten wurden. Spätestens damit ist dem Kläger ein immaterieller Schaden entstanden. Ferner ist ein solcher Schaden durch die entgegen der Auffassung des Berufungsgerichts als begründet anzusehende Befürchtung des Klägers eingetreten, es könne zu einer (weiteren) missbräuchlichen Verwendung der im Darknet veröffentlichten Daten durch Versendung von Spam-Mails kommen.

aa) Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., vgl. nur EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 55; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 139 mwN; weitere Nachweise bei Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen dieser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu begründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchsvoraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteile vom 4. September 2025 - C-655/23, aaO Rn. 56; vom 4. Oktober 2024 - C-200/23, aaO Rn. 140 mwN; weitere Nachweise bei Senatsurteil vom 18. November 2024 - VI ZR 10/24, aaO).

Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat oder eine "Bagatellgrenze" überschreitet (EuGH, Urteile vom 4. September 2025 - C-655/23, aaO Rn. 58; vom 4. Oktober 2024 - C-200/23, aaO Rn. 149 mwN; weitere Nachweise bei Senatsurteil vom 18. November 2024 - VI ZR 10/24, aaO Rn. 29). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, aaO Rn. 142; weitere Nachweise bei Senatsurteil vom 18. November 2024 - VI ZR 10/24, aaO).

bb) Wie der Senat in seinem - der angefochtenen Entscheidung allerdings zeitlich nachfolgenden - Urteil vom 18. November 2024 - VI ZR 10/24 (BGHZ 242, 180) zu einem Scraping-Vorfall bei Facebook unter Bezugnahme auf die Rechtsprechung des Gerichtshofs ausgeführt hat, kann ein immaterieller Schaden im Sinne des Art. 82 Abs. 1 DSGVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein (aaO Rn. 30 f.). Hat die betroffene Person den Nachweis erbracht, dass sie einen in einem bloßen Kontrollverlust als solchem bestehenden Schaden erlitten hat, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (aaO Rn. 31).

(1) Diese Rechtsauffassung, die der Senat in dem genannten Urteil nachfolgenden Entscheidungen wiederholt hat (Senatsurteile vom 28. Januar 2025 - VI ZR 109/23, NJW 2025, 1060 Rn. 16 f.; vom 11. Februar 2025 - VI ZR 365/22, NJW 2025, 1656 Rn. 15) und die das Bundesarbeitsgericht teilt (vgl. BAG, Urteil vom 8. Mai 2025 - 8 AZR 209/21, NZA 2025, 1248 Rn. 24), soll nach in Teilen der Literatur vertretener Meinung (vgl. Mörsdorf/Momtazi, JZ 2025, 425, 428 f.; Paal, NJW 2025, 261, 263 f.; Spittka, DSB 2024, 311, 312 f.; Schürgers/Hirschberger, NZA 2025, 216, 221 f.) sowie nach Auffassung der Revisionserwiderung im Widerspruch zur Rechtsprechung des Gerichtshofs stehen. Insbesondere wird vertreten, der Gerichtshof habe den Kontrollverlust als solchen nur als mögliche Ursache für einen immateriellen Schaden, nicht aber als den immateriellen Schaden selbst angesehen.

(2) Gegen diese Meinung spricht, dass, worauf der Gerichtshof zuletzt in seinem Urteil vom 4. September 2025 - C-655/23 (NJW 2025, 3137 Rn. 59) hingewiesen hat, in den Erwägungsgründen der Datenschutz-Grundverordnung die Hinderung der betroffenen Person daran, "die sie betreffenden personenbezogenen Daten zu kontrollieren" (ErwG 75 DSGVO) und der "Verlust der Kontrolle über ihre personenbezogenen Daten" (ErwG 85 DSGVO) als Beispiele für einen möglichen Schaden im Sinne von Art. 82 Abs. 1 DSGVO aufgeführt sind. Unter Bezugnahme auf ErwG 85 DSGVO hat der Gerichtshof wiederholt und auch in seinen jüngsten Entscheidungen zu diesem Thema darauf hingewiesen, dass der Unionsgesetzgeber unter den Begriff des Schadens auch den "bloßen Verlust der Kontrolle" über die eigenen personenbezogenen Daten dieser Personen infolge eines Verstoßes gegen die DSGVO "fassen" wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte (EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 60; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 82). Ähnlich heißt es im Urteil des Gerichtshofs vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42, dass der 85. Erwägungsgrund der DSGVO ausdrücklich den "Verlust der Kontrolle" zu den Schäden "zählt", die durch eine Verletzung personenbezogener Daten verursacht werden können. In demselben Urteil (aaO) sowie in seinem Urteil vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 33 hat der Gerichtshof ausgeführt, dass der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO "darstellen" (englische Fassung: "constitute", französische Fassung: "constituer") kann, der einen Schadensersatz begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich "einen solchen Schaden" - so geringfügig er auch sein mag - erlitten hat. Dies stützt die vom Senat vertretene Auffassung, dass bereits der Kontrollverlust als solcher ein Schaden im Sinne von Art. 82 Abs. 1 DSGVO sein kann und dementsprechend nur dieser nachgewiesen werden muss, um einen Schadensersatzanspruch zu begründen.

Allerdings ist die Wortwahl, auch im Vergleich der Sprachfassungen, nicht einheitlich. In der deutschen Fassung des Urteils des Gerichtshofs vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 66 heißt es, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO "erleiden" kann, in den Urteilen des Gerichtshofs vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 22 und vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 150, dass der Verlust der "Hoheit" über diese Daten einen Schaden "zufügen" kann. In der englischen und der französischen Fassung werden insoweit aber einheitlich die Begriffe "loss of control" bzw. "perte de contrôle" verwendet, die Verknüpfung mit dem immateriellen Schaden wird einheitlich durch die Wörter "cause/causing" bzw. "causer" hergestellt. In den deutschen Sprachfassungen findet sich das Wort "verursachen" (erst) in Rn. 156 des Urteils des Gerichtshofs vom 4. Oktober 2024 - C-200/23 (aaO) sowie im Urteil des Gerichtshofs vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 60, wo es heißt, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu "verursachen", sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden - so geringfügig er auch sein mag - erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis "zusätzlicher spürbarer negativer Folgen" erfordert (Hervorhebungen nur hier). Bei isolierter Betrachtung dieses Satzes könnte der bloße Kontrollverlust nur Ursache für einen davon zu trennenden immateriellen Schaden sein, den die betroffene Person nachweisen müsste, wobei der Nachweis zusätzlicher spürbarer negativer Folgen nicht erforderlich wäre. Damit würde sich allerdings die Frage stellen, worin genau der immaterielle Schaden als Zwischenstufe zwischen Kontrollverlust und zusätzlichen spürbaren negativen Folgen bestehen soll. Insbesondere wäre diese Interpretation mit dem (im Urteil vom 4. September 2025 - C-655/23 unmittelbar zuvor in Rn. 60 wiederholten) Hinweis des Gerichtshofs darauf, dass der Unionsgesetzgeber bei der beispielhaften Aufzählung der Schäden ("types of damage") unter diesen Begriff insbesondere auch den "bloßen Verlust der Kontrolle" über die eigenen personenbezogenen Daten dieser Personen infolge eines Verstoßes gegen die DSGVO fassen wollte ("intended to include in that concept, inter alia, mere loss of control") und der vom Gerichtshof in anderen Urteilen verwendeten Formulierung, dass der Kontrollverlust den immateriellen Schaden "darstellen" kann, kaum in Einklang zu bringen. Der Generalanwalt beim Gerichtshof (Szpunar) hat in den Schlussanträgen vom 18. September 2025 in der Rechtssache C-526/24 unter Bezugnahme unter anderem auf das Urteil des Gerichtshofs vom 4. September 2025 - C-655/23 das Wort "darstellen"("constitute", "constituer")und nicht "verursachen" ("cause", "causer") verwendet (Rn. 89). Zu berücksichtigen sind in diesem Zusammenhang ferner das mit der Datenschutz-Grundverordnung verfolgte Ziel der Gewährung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten sowie ErwG 146 Satz 3 DSGVO, der eine weite Auslegung des Begriffs des Schadens in einer Art und Weise gebietet, die den Zielen der Datenschutz-Grundverordnung in vollem Umfang entspricht.

cc) Auf diese für den Kontrollverlust als immateriellen Schaden - auch nach der Rechtsprechung des Gerichtshofs - sprechenden Gesichtspunkte kommt es im vorliegenden Fall allerdings letztlich nicht entscheidungserheblich an. Denn hier ist es wie auch in den Facebook-Scraping-Fällen (hierzu Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180) nicht nur zu einem Kontrollverlust, sondern in dessen Folge zu einer missbräuchlichen Verwendung der personenbezogenen Daten gekommen, womit ein immaterieller Schaden vorliegt.

(1) Ohne Zweifel lässt sich der Rechtsprechung des Gerichtshofs entnehmen, dass ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO jedenfalls dann vorliegt, wenn der Kontrollverlust nicht folgenlos geblieben, sondern es zu einer missbräuchlichen Verwendung der betreffenden Daten tatsächlich gekommen ist. Aus der vom Gerichtshof auch jüngst wiederholten Wendung, dass der Unionsgesetzgeber unter den Begriff des Schadens insbesondere auch den bloßen Verlust der Kontrolle über die eigenen personenbezogenen Daten fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte (EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 60; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 82, Hervorhebung nur hier), lässt sich schließen, dass erst recht ein immaterieller Schaden zu bejahen ist, wenn die Daten tatsächlich missbräuchlich verwendet wurden. Dasselbe ergibt sich aus der Rechtsprechung des Gerichtshofs, wonach auch die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, sofern diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als "begründet" angesehen werden kann, das Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten also nicht rein hypothetischer Natur ist (vgl. nur EuGH, Urteile vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 f. mwN; vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 65, 67, 68; Senatsurteil vom 13. Mai 2025 - VI ZR 186/22, CR 2025, 585 Rn. 28 f.; dazu näher unten dd)). Wie beim Kontrollverlust ist es also für die Qualifizierung einer Befürchtung als immaterieller Schaden nicht erforderlich, dass es zu der befürchteten missbräuchlichen Verwendung der Daten kommt. Hat sich das Risiko der missbräuchlichen Verwendung aber verwirklicht, so liegt ein immaterieller Schaden erst recht vor.

Insbesondere bedarf es hierfür nicht zusätzlich eines durch die missbräuchliche Datenverwendung hervorgerufenen "emotionalen" Schadens. Letzteres lässt sich nicht darauf stützen, dass der Gerichtshof in Rn. 64 des Urteils vom 4. September 2025 - C-655/23 (NJW 2025, 3137) auf die dortige vierte Vorlagefrage des Senats geantwortet hat, "dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der Begriff 'immaterieller Schaden' in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindet." Denn die vierte Vorlagefrage betraf nicht etwa die Frage, ob und unter welchen Voraussetzungen ein Kontrollverlust oder gar eine missbräuchliche Verwendung der Daten einen immateriellen Schaden darstellt, sondern, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen (aaO Rn. 35). Die Antwort, dass nachgewiesene negative Gefühle samt ihrer negativen Folgen, die durch einen Kontrollverlust etc. hervorgerufen werden, vom Begriff des immateriellen Schadens umfasst sind, lässt nicht den Schluss zu, dass es zur Begründung eines Schadens zwingend solcher negativer Gefühle bedarf.

(2) Nach diesen Maßstäben ist vorliegend von einem immateriellen Schaden im Sinne von Art. 82 DSGVO jedenfalls ab dem Zeitpunkt auszugehen, zu dem die personenbezogenen Daten des Klägers im Darknet veröffentlicht und dort zum Verkauf angeboten wurden. Zuvor hatte der Kläger die Kontrolle über diese Daten dadurch verloren, dass seine personenbezogenen Daten trotz Beendigung des Auftragsverhältnisses bei dem Unternehmen O. gespeichert blieben und damit sowohl das Unternehmen O. unbefugten Zugriff auf die Daten hatte als auch Dritte, die die Daten hackten oder von Mitarbeitern des Unternehmens O. erhielten. Mit ihrer anschließenden Veröffentlichung im Darknet wurden die Daten sodann missbräuchlich verwendet.

Allein darauf, ob die hier betroffenen Daten des Klägers auch schon vor dem streitgegenständlichen Vorfall gehackt worden waren, wie den Feststellungen des Berufungsgerichts zufolge der Website "haveibeenpwned.com" zu entnehmen ist, kommt es für das Vorliegen eines Schadens nicht an. Denn mit jedem rechtswidrigen Abgriff der Daten wird der Kontrollverlust intensiviert und die Gefahr eines Missbrauchs (durch denselben oder einen anderen Personenkreis) erhöht. Der Umstand, dass dieselben Daten schon einmal gehackt wurden, kann deshalb für sich genommen nur bei der Bemessung der Schadenshöhe eine Rolle spielen.

dd) Ein immaterieller Schaden wird vorliegend zudem durch die mit Bekanntwerden des Vorfalls ausgelöste Befürchtung des Klägers begründet, die im Darknet veröffentlichten Daten könnten (nun ein weiteres Mal) missbräuchlich verwendet werden. Die Beurteilung des Berufungsgerichts, diese Befürchtung sei nicht als begründet anzusehen, beruht auf Rechtsfehlern.

(1) Durch die Rechtsprechung des Gerichtshofs ist geklärt, dass die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste (empfundene) Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung von Dritten missbräuchlich verwendet werden, "für sich genommen" einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 61; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 f.; vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 32, 35, 36; vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 65; Senatsurteile vom 13. Mai 2025 - VI ZR 186/22, CR 2025, 585 Rn. 28; vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 32). Demgegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten (EuGH, Urteile vom 20. Juni 2024 - C-590/22, aaO Rn. 35; vom 25. Januar 2024 - C-687/21, aaO Rn. 68; Senatsurteile vom 13. Mai 2025 - VI ZR 186/22, aaO Rn. 29; vom 18. November 2024 - VI ZR 10/24, aaO). Die Befürchtung muss unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als "begründet" angesehen werden können (EuGH, Urteile vom 4. Oktober 2024 - C-200/23, aaO Rn. 143 mwN; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 85; Senatsurteil vom 13. Mai 2025 - VI ZR 186/22, aaO). Ebenso wenig wie beim Kontrollverlust ist es dagegen erforderlich, dass es zu einer missbräuchlichen Verwendung der Daten tatsächlich kommt (s.o. sub cc) (1)). Die mit der begründeten Befürchtung einer missbräuchlichen Datenverwendung verbundenen negativen Folgen können auch negative Gefühle wie Sorge und Ärger sein, auch wenn diese Teil des allgemeinen Lebensrisikos sein können (vgl. EuGH, Urteil vom 4. September 2025 - C-655/23, aaO Rn. 62, 64).

Die Anforderungen an die Darlegung der Befürchtung eines Datenmissbrauchs dürfen nicht überspannt werden. Allein der Umstand, dass sich in einer Vielzahl von Klageschriften nach einem Vorfall, der eine Vielzahl von Personen betroffen hat, gleichlautende Formulierungen zu Sorgen und Ängsten über einen Datenmissbrauch finden, steht der Schlüssigkeit der jeweiligen Klage noch nicht entgegen (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, aaO Rn. 36). Je plausibler die Befürchtung eines Datenmissbrauchs im konkreten Fall erscheint, desto geringere Anforderungen sind an ihre Darlegung zu stellen.

(2) Die Beurteilung des Berufungsgerichts, die vom Kläger vorgetragene Befürchtung eines Datenmissbrauchs könne nicht als begründet angesehen werden, steht nicht in Einklang mit der Rechtsprechung des Gerichtshofs.

Nach seinem vom Berufungsgericht festgestellten Vortrag befürchtet der Kläger aufgrund des streitgegenständlichen Vorfalls insbesondere den Erhalt von Spam-Mails mit auch betrügerischem Inhalt sowie einen Identitätsdiebstahl. Werden wie hier Name und E-Mail-Adresse einer natürlichen Person im Darknet zum Verkauf angeboten, so darf es als sehr wahrscheinlich angesehen werden, dass diese Daten dazu verwendet werden, Werbemails, aber auch Mails mit betrügerischem Inhalt an diese Person zu senden. Das stellt wohl auch das Berufungsgericht nicht in Frage. Ferner besteht die konkrete Gefahr, dass unter dem Namen der betroffenen Person und scheinbar von ihrem E-Mail-Account aus Mails mit betrügerischem Inhalt an Dritte geschickt werden. Schon mit der Versendung dieser Spam-Mails an den Kläger bzw. scheinbar von ihm als Absender an Dritte würden die Daten des Klägers (nach ihrer Veröffentlichung im Darknet ein weiteres Mal) missbräuchlich verwendet, so dass die Befürchtung eben dieser - objektiv naheliegenden - Verwendung als solche einen immateriellen Schaden darstellt, sofern diese Befürchtung samt ihrer negativen Folgen nachgewiesen ist. Darauf, welches Gefahrenpotential mit Spam-Mails verbunden ist, welche Vorsichtsmaßnahmen insoweit ergriffen werden können und wann solche Mails zu einem materiellen Schaden führen, kommt es entgegen der Auffassung des Berufungsgerichts für die Qualifizierung der Befürchtung als begründet hier nicht an. Da die missbräuchliche Datenverwendung nur befürchtet werden, aber nicht erfolgen muss, ist ferner unerheblich, ob der Kläger gerade infolge des streitgegenständlichen Vorfalls Spam-Mails erhalten hat oder erhalten wird. Mit den weiteren Erwägungen, es handle sich bei den gehackten Daten nicht um besonders sensible Daten, Spam-Mails würden auch andere Personen erhalten, deren Daten nicht gehackt worden seien, das Unwohlsein des Klägers gehe nicht über das hinaus, was alle sich im Internet bewegenden Privatpersonen beim Erhalt ungebetener Nachrichten erduldeten, zudem habe der Kläger nach Bekanntwerden des Vorfalls seine E-Mail-Adresse nicht geändert, hat das Berufungsgericht im Ergebnis eine Erheblichkeitsschwelle für die Annahme eines Schadens angenommen, die es nach der oben aufgezeigten Rechtsprechung des Gerichtshofs nicht gibt. Diese Überlegungen können erst bei der Ermittlung der Schadenshöhe eine Rolle spielen (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 99). Dabei wird allerdings zu berücksichtigen sein, dass die Befürchtung einer missbräuchlichen Datenverwendung und die damit verbundene Sorge stärker empfunden werden kann, wenn die betroffene Person positiv weiß, dass ihre Daten im Darknet zum Verkauf angeboten wurden.

Schließlich entzieht der Umstand, dass die Daten des Klägers der Webseite "haveibeenpwned.com" zufolge schon vor dem streitgegenständlichen Vorfall gehackt worden sein sollen, der Befürchtung, dass sie infolge des streitgegenständlichen Vorfalls erneut - von denselben oder anderen Personen - missbräuchlich verwendet werden, nicht die Grundlage. Insbesondere fehlt es entgegen der Ansicht der Revisionserwiderung nicht an der Kausalität zwischen dem streitgegenständlichen Verstoß und der Befürchtung als immateriellem Schaden.

II.

Auch die Abweisung des Feststellungsantrags als unzulässig beruht auf einem Rechtsfehler. In der Revisionsinstanz geht es insoweit nur noch um den Antrag auf Feststellung, dass die Beklagte verpflichtet sei, dem Kläger alle materiellen künftigen Schäden zu ersetzen, die ihm durch die unbefugte Veröffentlichung seiner Daten im Internet im Jahr 2022 entstehen werden.

1. Im Ausgangspunkt zutreffend hat das Berufungsgericht allerdings ausgeführt, dass die bloße Möglichkeit des künftigen Eintritts des geltend gemachten materiellen Schadens für die Annahme eines Feststellungsinteresses ausreicht; eine darüberhinausgehende hinreichende Schadenswahrscheinlichkeit ist nicht erforderlich. Die Möglichkeit künftiger Schäden reicht hier aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der Verletzung des Rechts des Klägers auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. seines Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh resultieren (Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 48 f.). Zutreffend weist das Berufungsgericht auch darauf hin, dass es an der Möglichkeit weiterer Schäden fehlt, wenn aus Sicht des Geschädigten bei verständiger Würdigung kein Grund besteht, mit dem Eintritt eines weiteren Schadens wenigstens zu rechnen (Senatsurteil vom 8. April 2025 - VI ZR 25/24, NJW 2025, 2619 Rn. 6 mwN).

2. Die Begründung, mit der das Berufungsgericht die bloße Möglichkeit künftiger materieller Schäden verneint hat, hält revisionsrechtlicher Nachprüfung allerdings nicht stand.

So hat das Berufungsgericht darauf abgestellt, dass die Wahrscheinlichkeit eines Schadenseintritts mit zunehmender Distanz zum Hacking-Ereignis abnehme und dass sich der Kausalzusammenhang dadurch immer schwerer beweisen lasse. Eine abnehmende Wahrscheinlichkeit schließt aber die Möglichkeit des Schadenseintritts nicht aus. Vor allem kommt es für die Zulässigkeit und Begründetheit der Feststellungsklage nicht darauf an, ob dem Kläger bei Eintritt eines materiellen Schadens der Beweis gelingen wird, dass dieser gerade auf den streitgegenständlichen Vorfall zurückzuführen ist. Dies ist erst für den Erfolg einer etwaigen Leistungsklage entscheidend.

Die bloße Möglichkeit eines Schadenseintritts kann auch nicht mit der Begründung des Berufungsgerichts verneint werden, dass der Kläger schon in der Vergangenheit von Hacking-Angriffen betroffen gewesen sei, ohne dass bislang ein kausaler materieller Schaden eingetreten sei.

Wie oben ausgeführt, ist es sehr wahrscheinlich, dass Daten wie der Name und die E-Mail-Adresse einer natürlichen Person, die im Darknet zum Verkauf angeboten wurden, zur Versendung von Mails mit betrügerischem Inhalt genutzt werden. Die Möglichkeit, dass der Kläger auch künftig noch derartige Mails infolge der streitgegenständlichen Veröffentlichung seiner Daten im Darknet erhält und dies zu einem materiellen Schaden führt, ist daher nicht so fernliegend, dass mit ihr aus Sicht des Klägers bei verständiger Würdigung nicht mehr gerechnet werden müsste.

III.

Da die Sache nicht zur Endentscheidung reif ist, ist sie zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 563 Abs. 1 Satz 1, Abs. 3 ZPO). Für die bei der Schadensbemessung anzulegenden Maßstäbe wird auf das Senatsurteil vom 18. November 2024 - VI ZR 10/24 (BGHZ 242, 180 Rn. 93 ff.) verwiesen.

Unterschrift

Seiters Oehler Müller

Klein Böhm