Zum vorliegenden Urteilstext springen: VI ZR 396/24
Das Wichtigste im Überblick
BGH stärkt Datenkläger: Schadensersatz und Feststellung bleiben möglich nach Darknet-Veröffentlichung.
- Der BGH hob die Klageabweisung teilweise auf.
- Die Beklagte sicherte die Löschung ihrer Daten nicht ausreichend.
- Die Darknet-Veröffentlichung begründete einen immateriellen Schaden.
- Eine spätere Geldschadens-Folge bleibt aus Sicht des Klägers möglich.
- Gericht: Bundesgerichtshof, VI. Zivilsenat
- Datum: 11.11.2025
- Aktenzeichen: VI ZR 396/24
- Verfahren: Revision
- Rechtsbereiche: Datenschutzrecht, Schadensersatzrecht
- Relevant für: Betroffene von Datenlecks, Plattformbetreiber, Auftragsverarbeiter
Wer bekommt Schadensersatz bei einem Datenschutzverstoß?
Ein Anspruch auf Schadensersatz nach Artikel 82 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) setzt zwingend drei Bedingungen voraus: einen konkreten Datenschutzverstoß, einen daraus resultierenden materiellen oder immateriellen Schaden sowie den ursächlichen Zusammenhang zwischen den beiden Vorfällen. Das bedeutet konkret: Materieller Schaden ist ein tatsächlicher finanzieller Verlust, immaterieller Schaden umfasst psychische Belastungen wie Angst, Stress oder das Gefühl des Ausgeliefertseins durch Datenmissbrauch. Für den immateriellen Schaden existiert in der juristischen Bewertung keine Erheblichkeits- oder Bagatellschwelle, da der Schadensbegriff unionsautonom auszulegen ist — das heißt, nicht deutsche Gerichte definieren den Begriff eng, sondern der Europäische Gerichtshof gibt einen weiten EU-weiten Maßstab vor, der bereits geringe psychische Beeinträchtigungen genügen lässt. Zwar trägt die jeweils betroffene Person vor Gericht die volle Darlegungs- und Beweislast für den Fehler und den eingetretenen Schaden, muss also konkret vortragen und mit Belegen wie Dokumenten, Screenshots oder Gutachten nachweisen, dass der Verstoß und der Schaden tatsächlich stattgefunden haben. Der für die Daten Verantwortliche muss im Gegenzug jedoch aktiv nachweisen, dass ihn kein Verschulden trifft, um sich nach Artikel 82 Absatz 3 DSGVO wirksam zu entlasten.
Welche Ausprägungen von Kontrollverlust für einen erfolgreichen Anspruch genügen, musste der Bundesgerichtshof am 11. November 2025 in einem Streitfall um einen französischen Musikstreamingdienst klären (Az. VI ZR 396/24). Ein Nutzer hatte auf Entschädigung geklagt, nachdem persönliche Informationen wie sein Vor- und Nachname, die E-Mail-Adresse und das Geschlecht von unbekannten Tätern seit Ende 2022 im Darknet zum Kauf angeboten wurden. Der Streaming-Anbieter und zuvor auch das Oberlandesgericht Dresden in der Berufungsinstanz wiesen die Forderungen zunächst ab, da die bloße Sorge vor Identitätsdiebstahl oder Spam-Mails angeblich nur eine alltägliche Unannehmlichkeit darstelle….