OLG: 200 Euro für Daten‑Kontrollverlust

OLG Düsseldorf spricht immateriellen Schadensersatz zu – und zeigt, worauf es bei der Haftung für Datenlecks wirklich ankommt

Ein Musikstreamingdienst, ein externer IT-Dienstleister in Israel, ein Hackerangriff – und mittendrin: die personenbezogenen Daten eines Nutzers, die im Darknet auftauchten. Was wie ein Drehbuch für einen Tech-Thriller klingt, hat das Oberlandesgericht Düsseldorf mit Urteil vom 10.07.2025 – 6 U 83/24 – (beachte aber die neuere Rechtsprechung des EuGH hierzu) nun rechtlich eingeordnet – mit weitreichenden Folgen für Unternehmen und Verbraucher gleichermaßen.

Der Fall: Daten im Darknet, Kläger klagt auf Schadensersatz

Ein Nutzer eines französischen Streamingdienstes hatte 2015 ein Kundenkonto angelegt. Jahre später – im November 2022 – wurde bekannt, dass persönliche Daten aus alten Nutzerkonten im Darknet gehandelt wurden. Unter den erbeuteten Informationen: Name, Geburtsdatum, E-Mail-Adresse und weitere Nutzungsdaten. Der Kläger vermutete, auch seine Daten seien betroffen. Er verlangte Schadensersatz nach Art. 82 DSGVO.

Das Landgericht Duisburg hatte seine Klage noch abgewiesen: Ein „reiner Kontrollverlust“ über Daten sei kein Schaden. Außerdem fehle es an Beweisen, dass der Kläger überhaupt betroffen sei.

Doch das Oberlandesgericht Düsseldorf sieht das anders – und korrigiert die erstinstanzliche Entscheidung in wesentlichen Punkten.

Das Urteil: 200 Euro Schadensersatz – auch ohne konkrete Folgeschäden

Das OLG bestätigt: Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen ersatzfähigen immateriellen Schaden darstellen. Es kommt nicht darauf an, ob Dritte die Daten tatsächlich missbraucht haben – oder ob etwa Phishing, Identitätsdiebstahl oder andere konkrete Schäden eingetreten sind. Es reicht, wenn die Daten, wie hier, durch einen Verstoß gegen die DSGVO in falsche Hände geraten.

Bemerkenswert ist die klare Linie des Gerichts:

• 100 Euro werden für den reinen Kontrollverlust zuerkannt – insbesondere für die unrechtmäßige Speicherung personenbezogener Daten nach Vertragsende.

• Weitere 100 Euro gibt es für die belastenden Sorgen des Klägers über eine potenzielle berufliche Beeinträchtigung durch den Datenmissbrauch.

In der Summe: 200 Euro immaterieller Schadensersatz, obwohl keine unmittelbaren wirtschaftlichen Folgen eingetreten waren.

Was Unternehmen wissen müssen: Auftragsverarbeiter bleiben ein Risiko

Zentraler Aspekt des Falls: Die Beklagte hatte ihre Datenverarbeitung an ein israelisches Unternehmen ausgelagert – dieses wiederum arbeitete mit einem verbundenen Subunternehmen zusammen, jedoch ohne rechtlich saubere Vereinbarung. Nach Vertragsende wurden die Daten nicht wie vorgesehen gelöscht, sondern in eine „Testumgebung“ verschoben. Von dort gelangten sie in die Hände von Hackern.

Das OLG stellt klar:

• Die Verantwortlichkeit endet nicht an der Grenze zum Auftragsverarbeiter. Wer Daten übermittelt, muss auch sicherstellen, dass sie korrekt gelöscht und gesichert werden – selbst nach Vertragsende.

• Eine einfache E-Mail („Wir löschen morgen die Daten“) reicht nicht. Es braucht prüfbare Nachweise, idealerweise vertraglich vereinbarte Dokumentations- und Kontrollpflichten.

Unternehmen sollten daher:

• Auftragsverarbeitungsverträge gründlich prüfen und dokumentieren,

• regelmäßig kontrollieren, ob Daten tatsächlich gelöscht wurden,

• und eine Rechtsgrundlage für jede Datenverarbeitung durch Dritte schaffen.

Und was bedeutet das für Betroffene?

Verbraucher, deren Daten durch Sicherheitsmängel kompromittiert wurden, haben nach diesem Urteil deutlich bessere Karten. Das OLG betont:

„Ein Kontrollverlust über personenbezogene Daten kann für sich genommen einen immateriellen Schaden im Sinne des Art. 82 DSGVO darstellen.“

Wer also weiß oder den Verdacht hat, dass eigene Daten durch ein Datenleck öffentlich geworden sind – etwa über Leak-Datenbanken oder Spam-Mails mit persönlichen Anreden – kann seine Rechte geltend machen.

Wichtig: Es kommt nicht auf gefühlte Verletzungen an, sondern auf nachvollziehbare Tatsachen, z. B. die Nennung der eigenen E-Mail-Adresse in einer geleakten Liste oder die Veröffentlichung sensibler Daten durch Dritte.

Fazit: DSGVO-Verstöße können teuer werden – auch ohne Großschaden

Mit dem Urteil schärft das OLG Düsseldorf die Maßstäbe für datenschutzrechtliche Schadensersatzansprüche. Dabei orientiert es sich an der Linie des EuGH und des BGH: Die Schwelle für einen immateriellen Schaden liegt nicht mehr hoch. Es reicht, dass die Kontrolle über personenbezogene Daten nachweislich verloren geht, etwa durch ein Datenleck bei einem unzureichend kontrollierten Auftragsverarbeiter.

Für Unternehmen heißt das: Der Schutz personenbezogener Daten endet nicht beim eigenen Server. Und für Betroffene: Selbst „kleine“ Datenschutzverstöße können einen Ausgleich rechtfertigen.