Wenn persönliche Daten unbefugt abgegriffen werden, verlieren Betroffene die Kontrolle darüber, wer die Informationen besitzt und wie sie genutzt werden. Der Bundesgerichtshof (BGH) hat mit seiner Entscheidung vom 11.11.2025 (VI ZR 396/24) eindrücklich bestätigt, dass dieser Kontrollverlust einen immateriellen Schaden darstellen kann – und zwar jedes Mal auf's Neue, selbst wenn dieselben Daten bereits von früheren Leaks betroffen waren.
Frühere Hacks? Für den Anspruch unerheblich – jeder neue Abgriff intensiviert den Schaden
Der BGH stellt klar, dass frühere Hacks oder frühere Datenlecks einen neuen Anspruch nicht entfallen lassen. Ein erneuter rechtswidriger Zugriff verstärkt vielmehr den Schaden, da der Kontrollverlust durch jeden weiteren Vorfall zunimmt. Wörtlich heißt es unter Randnummer 35 des Urteils:
„Mit jedem rechtswidrigen Abgriff der Daten wird der Kontrollverlust intensiviert und die Gefahr eines Missbrauchs erhöht.“ und
„Der Umstand, dass dieselben Daten schon einmal gehackt wurden, kann […] nur bei der Bemessung der Schadenshöhe eine Rolle spielen.“
Damit gilt: Ein neuer Datenvorfall ist ein neuer Schaden – unabhängig von der Vorgeschichte.
Was bedeutet „Kontrollverlust“ – und warum ist er rechtlich so bedeutend?
Der Kontrollverlust bezeichnet den Moment, ab dem Betroffene nicht mehr wissen oder beeinflussen können, wer Zugriff auf ihre personenbezogenen Daten hat. Im Datenschutzrecht spielt dieser Verlust eine zentrale Rolle, denn er tritt bereits ein, bevor es zu einem konkreten Schaden wie Betrug oder Identitätsdiebstahl kommt. Die Rechtsprechung hat diesen Punkt bereits mehrfach beleuchtet – wie wir in unseren Beiträgen zum Schaden durch bloßen Datenabgriff, zur Frage warum es keine Bagatellgrenze gibt oder in unserer Analyse dazu, dass der BGH den Kontrollverlust selbst als eigenständigen Schaden anerkennt, aufzeigen.
Die neue Entscheidung knüpft daran an und formuliert nochmals eindeutig unter Rn. 27:
„Ein immaterieller Schaden […] (kann) auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten sein.“
Der Schaden entsteht damit bereits im Moment des Kontrollverlusts – nicht erst dann, wenn Daten missbraucht wurden.
Missbrauch muss nicht eingetreten sein – die Gefahr allein genügt
Der BGH betont zudem ausdrücklich, dass ein Missbrauch nicht bewiesen sein muss. Entscheidend ist, dass der Kontrollverlust eingetreten ist und eine realistische Gefahr des Missbrauchs besteht. Das sei insbesondere dann wahrscheinlich, wenn die Daten im Darknet auftauchen:
Es ist „nicht erforderlich, dass es zu einer missbräuchlichen Verwendung der Daten tatsächlich kommt.“ (Rn. 37) und
„Werden wie hier Name und E-Mail-Adresse […] im Darknet zum Verkauf angeboten (...), so darf es als sehr wahrscheinlich angesehen werden, dass diese Daten dazu verwendet werden.“ (Rn. 40)
Die bloße Veröffentlichung sorgt also dafür, dass ein Schaden vorliegt.
Darknet-Fund als automatisch missbräuchliche Verwendung
Erscheinen Daten im Darknet, wertet der BGH das ohne weiteres als Missbrauch. Ein zusätzlicher Nachweis ist laut BGH nicht erforderlich:
„Mit ihrer anschließenden Veröffentlichung im Darknet wurden die Daten sodann missbräuchlich verwendet.“ (Rn. 34)
Damit ist ein Darknet-Fund ein eindeutiger Beleg eines Datenschutzverstoßes und eines immateriellen Schadens.
Was bedeutet das für Betroffene?
Die Entscheidung stärkt die Betroffenenrechte erheblich und konkretisiert die Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 DSGVO :
- Jeder neue Datenabgriff ist ein eigenständiger Schaden - Frühere Leaks ändern nichts an der Anspruchsberechtigung.
- Der Kontrollverlust reicht aus - Es ist keine missbräuchliche Verwendung erforderlich.
- Ein Darknet-Fund ist automatisch ein Missbrauch - Der Schaden ist damit ohne weitere Nachweise gegeben.
- Die Gefahr eines Missbrauchs ist rechtlich relevant - bereits die begründete Befürchtung eines Missbrauchs stellt einen immateriellen Schaden dar.
- Unternehmen bleiben haftbar - Die Pflicht, personenbezogene Daten zu schützen – auch über Vertragsbeendigungen hinweg – bleibt bestehen.