WISSENSWERTES | 20.01.2026
Haftung nach Beendigung eines Auftragsverarbeitungsvertrages (AVV) – BGH verschärft Pflichten des Verantwortlichen
Wer personenbezogene Daten verarbeitet, tut dies häufig nicht allein. IT-Dienstleister, Cloud-Anbieter, externe Rechenzentren oder Supportunternehmen sind aus der modernen Unternehmenspraxis nicht wegzudenken. Genau hier setzt das datenschutzrechtliche Konstrukt der Auftragsverarbeitung an – und genau hier entstehen regelmäßig Irrtümer über Verantwortlichkeiten und Haftungsrisiken.
Kurz zur Einordnung: Was ist eine Auftragsverarbeitung?
Von einer Auftragsverarbeitung spricht man, wenn ein Unternehmen personenbezogene Daten nicht für eigene Zwecke, sondern weisungsgebunden im Auftrag eines anderen verarbeitet. Klassische Beispiele sind Hosting-Dienstleister, CRM-Systeme, externe Lohnbuchhaltung oder IT-Support. Auftragsverarbeitung funktioniert in zwei Richtungen: Unternehmen können selbst Auftragsverarbeiter mit Dienstleistungen beauftragen oder umgekehrt für andere solche Leistungen als Auftragsverarbeiter erbringen.
Rechtlich bleibt immer eine klare Rollenverteilung bestehen: Der Verantwortliche entscheidet über Zweck und Mittel der Verarbeitung (Art. 4 Nr. 7 DSGVO). ). Der Auftragsverarbeiter setzt diese Vorgaben technisch um (Art. 4 Nr. 8 DSGVO). Die Verantwortung für die Rechtmäßigkeit der Verarbeitung – und damit auch für deren ordnungsgemäßen Abschluss – verbleibt allerdings beim Verantwortlichen.
Gerade beim Ende einer Auftragsverarbeitung wird diese Rollenverteilung in der Praxis oft unterschätzt. Häufig herrscht die Vorstellung, mit dem Vertragsende gehe auch die Verantwortung „zurück an den Dienstleister“. Dass das ein gefährlicher Irrtum ist, hat der Bundesgerichtshof (BGH) nun erneut deutlich gemacht.
Vertragsende bedeutet nicht das Ende der Verantwortlichkeit
Der BGH stellt nun mit Urteil vom 11. November 2025 zum Az. VI ZR 396/24 klar: Wer personenbezogene Daten an einen Auftragsverarbeiter übermittelt, bleibt „Herr der Verarbeitung“. Diese Stellung endet nicht automatisch mit dem letzten Tag der Vertragslaufzeit. Vielmehr trifft den Verantwortlichen auch im Zusammenhang mit der Beendigung der Auftragsverarbeitung eine aktive Pflicht, sicherzustellen, dass die überlassenen Daten tatsächlich gelöscht oder zurückgegeben werden.
Im entschiedenen Fall hatte der Auftragsverarbeiter nach Vertragsende lediglich mitgeteilt, die personenbezogenen Daten würden am Folgetag gelöscht. Tatsächlich unterblieb die Löschung jedoch. Die Daten verblieben beim Dienstleister, wurden später dort abgegriffen und schließlich im Darknet zum Verkauf angeboten. Der Verantwortliche hatte sich weder von der tatsächlichen Löschung überzeugt noch weiter nachgefasst.
Eine solche bloße Löschankündigung oder die pauschale Zusicherung des Dienstleisters genügt nach Einschätzung des BGH nicht. Entscheidend ist, dass der Verantwortliche das seinerseits nach den Umständen Erforderliche unternimmt, um den tatsächlichen Vollzug der Löschung zu überprüfen. Andernfalls besteht bereits mit dem fortdauernden Datenbestand beim Auftragsverarbeiter ein unzulässiges Risiko eines unbefugten Zugriffs – unabhängig davon, ob es später tatsächlich zu einem Hackerangriff kommt.
Kontrollverlust als Schaden – keine Bagatelle mehr
Bemerkenswert ist auch die klare Linie des BGH zum immateriellen Schaden nach Art. 82 DSGVO, die er bereits mit Urteil vom 18. November 2024 zum Az. VI ZR 10/24 begründet und nun fortsetzt hat: Bereits der Verlust der Kontrolle über personenbezogene Daten kann einen ersatzfähigen Schaden darstellen. Kommt es – wie im hier besprochenen Fall – zusätzlich zu einer missbräuchlichen Verwendung der Daten, etwa durch ein Angebot im Darknet, ist die Schwelle erst recht überschritten.
Der Einwand, die betroffenen Daten seien zuvor bereits einmal kompromittiert worden, hilft nicht weiter. Denn jeder erneute Kontrollverlust verstärkt das Risiko – und kann eigenständig haftungsrelevant sein.
„Aufgabenexzess“ schützt nicht vor eigener Haftung
Besonders praxisrelevant ist die deutliche Absage des BGH an den Versuch, sich durch den Hinweis auf einen sogenannten Aufgaben- oder Weisungsexzess des Auftragsverarbeiters zu entlasten. Selbst wenn der Dienstleister die Daten vertragswidrig zurückbehält, bleibt der Verantwortliche verpflichtet, auf ein vertragskonformes Verhalten hinzuwirken.
Zusammenfassend: Wer nach Vertragsende nicht nachfasst, keine Löschbestätigung einfordert oder vereinbarte Kontrollrechte ungenutzt lässt, verletzt eigene Pflichten aus Art. 5 und Art. 32 DSGVO – mit entsprechenden Haftungsfolgen.
Was Unternehmen jetzt überprüfen sollten – Art. 5 DSGVO
Für Unternehmen ergibt sich aus dieser Rechtsprechung unmittelbarer Handlungsbedarf:
1. Auftragsverarbeitungsverträge prüfen
Sind Lösch- und Rückgabepflichten klar geregelt – einschließlich konkreter Fristen und Nachweispflichten?
2. Löschprozesse operationalisieren
Wer fordert Löschbestätigungen an? In welcher Form? Und was passiert, wenn sie ausbleiben?
3. Kontrollrechte aktiv nutzen
Vertragsklauseln, nach denen Löschprotokolle nur „auf Anforderung“ vorzulegen sind, sollten kritisch hinterfragt werden
4. Dokumentation sicherstellen
Im Streitfall trägt der Verantwortliche die Darlegungs- und Beweislast für die Geeignetheit seiner Maßnahmen.
Fazit
Der BGH macht deutlich: Datenschutz endet nicht mit dem letzten Vertragstag. Wer personenbezogene Daten aus der Hand gibt, muss auch sicherstellen, dass sie am Ende tatsächlich gelöscht werden. Vertrauen allein genügt nicht – Kontrolle ist Pflicht. Und wer diese Pflicht vernachlässigt, riskiert mehr als nur einen formalen DSGVO-Verstoß.