VI ZR 396/24

ECLI:DE:BGH:2025:111125UVIZR396.24.0 BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL VI ZR 396/24 in dem Rechtsstreit Nachschlagewerk: ja BGHZ: nein BGHR: ja JNEU: ja DSGVO Art. 82 Abs. 1; Art. 28 Abs. 3 Satz 2 Buchst. g, h; Art. 5 Abs. 1 Buchst. c, e, f; Art. 5 Abs. 2; Art. 32 a) Der Verantwortliche hat auch im Zusammenhang mit der Beendigung ei- ner Auftragsverarbeitung den Schutz der Rechte der betroffenen Perso- nen zu gewährleisten. Er hat sicherzustellen, dass - vorbehaltlich etwai- ger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortli- - 2 - chen zwecks Auftragserfüllung überlassen wurden. Er hat daher das sei- nerseits nach den Umständen des Einzelfalls Erforderliche dazu beizu- tragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auf- tragsverarbeiter kommt. b) Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind. BGH, Urteil vom 11. November 2025 - VI ZR 396/24 - OLG Dresden LG Dresden - 3 - Der VI. Zivilsenat des Bundesgerichtshofs hat auf die mündliche Verhandlung vom 11. November 2025 durch den Vorsitzenden Richter Seiters, die Richterin- nen Dr. Oehler und Müller sowie die Richter Dr. Klein und Böhm für Recht erkannt: Auf die Revision des Klägers wird das Urteil des 4. Zivilsenats des Oberlandesgerichts Dresden vom 5. November 2024 im Kosten- punkt und insoweit aufgehoben, als über die Berufungsanträge des Klägers zu Ziffer 1 (immaterieller Schadensersatz), zu Ziffer 2 (Feststellung) hinsichtlich des Hilfsantrags und zu Ziffer 4 (Rechts- verfolgungskosten) zu dessen Nachteil entschieden worden ist. Im Umfang der Aufhebung wird die Sache zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das Berufungsgericht zurückverwiesen. Von Rechts wegen Tatbestand: Der Kläger macht gegen die Beklagte - soweit für das Revisionsverfahren von Bedeutung - Schadensersatz- und Feststellungsansprüche wegen behaup- teter Verletzung der Datenschutz-Grundverordnung geltend. Die Beklagte, die ihren Sitz in Frankreich hat, betreibt den Online-Musik- streamingdienst D. Externer Auftragsverarbeiter der Beklagten war bis zum Auf- tragsende am 1. Dezember 2019 das Unternehmen O. Am 30. November 2019 1 2 - 4 - teilte dieses der Beklagten per Mail mit, deren Webseite und die dort befindlichen Daten ("your site and all the data on the site") würden am Folgetag gelöscht. Dass dies auch tatsächlich geschehen sei, erklärte das Unternehmen O. erstma- lig mit E-Mail vom 22. Februar 2023. Zuvor war bekannt geworden, dass unbe- kannte Hacker seit November 2022 Daten von Nutzern des Dienstes der Beklag- ten im Darknet zum Verkauf anboten. Die Datensätze stammten aus dem Jahr 2019. Sie waren von dem Unternehmen O. nicht, wie mit der Beklagten verein- bart, unmittelbar nach Auftragsende gelöscht worden, sondern von Mitarbeitern des Unternehmens O. von der Produktiv- in eine Testumgebung überführt wor- den und anschließend entweder von Hackern erbeutet oder von Mitarbeitern des Unternehmens O. unbefugt weitergegeben worden. Die Beklagte informierte die von dem Vorfall betroffenen Personen nach dessen Bekanntwerden. Der Kläger ist Nutzer des Dienstes der Beklagten. Seine Daten sind im Kundenprofil der Beklagten gespeichert. Der bei dem streitgegenständlichen Vor- fall abgegriffene Datensatz enthielt Vor-, Nachname, Geschlecht, E-Mail-Adresse und Sprache des Klägers sowie das Registrierungsdatum. Der Kläger verlangt, soweit für das Revisionsverfahren relevant, die Lei- stung von immateriellem Schadensersatz, weil die Beklagte die nach der Daten- schutz-Grundverordnung gebotenen technischen und organisatorischen Schutz- maßnahmen nicht ergriffen habe. Seit der Kenntnis über das Datenleck mache er sich Sorgen über den Verbleib und einen möglichen Missbrauch seiner Daten in Gestalt von Identitätsdiebstahl, Phishing, unzulässigen Werbeanrufen und Werbemails. Darüber hinaus begehrt der Kläger die Feststellung, dass die Be- klagte verpflichtet sei, ihm alle künftigen materiellen Schäden aufgrund der un- befugten Veröffentlichung seiner Daten im Internet im Jahr 2022 zu ersetzen. Ferner verlangt er den Ersatz außergerichtlicher Rechtsanwaltskosten. 3 4 - 5 - Das Landgericht hat die Klage abgewiesen. Die Berufung des Klägers hat das Oberlandesgericht zurückgewiesen. Mit der vom Berufungsgericht zugelas- senen Revision verfolgt der Kläger die genannten Ansprüche weiter. Entscheidungsgründe: A. Das Berufungsgericht hat zur Begründung seiner Entscheidung, soweit für das Revisionsverfahren relevant, ausgeführt, die Beklagte habe zwar schuldhaft gegen ihre aus Art. 28, 32 DSGVO resultierenden Pflichten zur sorgfältigen Über- wachung ihres externen Auftragsverarbeiters, des Unternehmens O., insbeson- dere dadurch verstoßen, dass sie von dem Unternehmen O. nicht die ausdrück- liche schriftliche Bestätigung einer tatsächlich durchgeführten Löschung der bei dieser vorhandenen Datensätze angefordert habe. Die E-Mail des Unternehmens O., mit der eine Löschung lediglich angekündigt worden sei, habe weder formal noch inhaltlich ausgereicht. Auch könne die Kausalität der Kontrollpflichtenver- letzung für den Hacking-Vorfall nicht verneint werden: Wären die Daten auf die gebotene Nachfrage der Beklagten von O. gelöscht worden, hätten sie dort nicht abgegriffen werden können. Aus dem Datenschutzverstoß sei dem Kläger aber kein kausaler immate- rieller Schaden entstanden, denn einen durch den streitgegenständlichen Daten- verlust verursachten emotionalen Schaden habe er nicht glaubhaft gemacht. Der Kontrollverlust der Daten und deren Veröffentlichung im Darknet habe zu keinem immateriellen Schaden im Sinne von Art. 82 DSGVO geführt. Ließe man einen für den Betroffenen folgenlosen Kontrollverlust als immateriellen Schaden zu, müsse die Höhe des Schadensersatzes im Hinblick auf die Ausgleichsfunktion 5 6 7 - 6 - des Art. 82 Abs. 1 DSGVO regelmäßig Null betragen. Die Befürchtung des Klä- gers, dass die Daten missbräuchlich verwendet werden, könne nicht als begrün- det angesehen werden. Bei der gehackten E-Mail-Adresse handle es sich nicht um ein besonders sensibles Datum des Klägers, sondern um eines aus der So- zialsphäre des Klägers. Die E-Mail-Adresse könne zwar missbräuchlich zur Ver- sendung von Spam-Mails verwendet werden, ein materieller Schaden könne aber erst entstehen, wenn der mit der Mail gesendete Link verwendet werde. Der Empfang solcher Mails stelle - ohne weitere negative Folgen - für sich genommen keinen immateriellen Schaden dar. Zudem seien von der Lästigkeit von solchen Nachrichten auch Personen, deren Daten nicht gehackt worden seien, in ver- gleichbarer Weise betroffen. Ein Zusammenhang des Erhalts von Spam-Mails mit dem streitgegenständlichen Datensatzverlust sei nicht nachweisbar. Die E-Mail-Adresse des Klägers sei der Webseite "haveibeenpwned.com" zufolge schon vor dem streitgegenständlichen Vorfall gehackt worden. Die schriftsätzli- che, allgemein gehaltene Behauptung des Klägers, er sei in einen Zustand gro- ßen Unwohlseins und Sorge über einen möglichen Missbrauch geraten, genüge den Darlegungsanforderungen nicht. Sie sei schon nicht auf die konkrete Person des Klägers bezogen, sondern würde in einer Vielzahl von Klagen gleichlautend wiederholt. Allgemeine Sorgen, Ängste und Unwohlsein seien alltägliche Empfin- dungen, die keine begründete Befürchtung rechtfertigten. Bei seiner Anhörung habe der Kläger ausgeführt, dass er nach dem Vorfall einen merklichen Anstieg von Spam-Nachrichten und Phishing-Angriffen wahrgenommen habe, allerdings seien diese Nachrichten von seinem Account von vornherein in den Spam-Ord- ner verschoben worden, so dass keine große Gefahr bestanden habe. Er habe weiter angegeben, dass ihn die Sorge umtreibe, dass seine Daten weiter für Spam-Nachrichten verwendet würden. Er verwende die E-Mail-Adresse auch bei anderen Social-Media-Accounts und bei Amazon. Im Übrigen gebe er seine E-Mail-Adresse nicht ohne weiteres heraus. Spam-Mails blockiere er, Mails von - 7 - unbekannten Absendern lese er nicht. Dies gehe über die ohnehin bei Online- Aktivitäten gebotenen und allseits regelmäßig geübten Handlungsweisen nicht hinaus. Die im Rahmen der Anhörung geschilderten Belästigungen hätten für den Kläger nicht ein Ausmaß erreicht, das ihn veranlasst hätte, seine E-Mail-Adresse zu ändern, um einen etwaig befürchteten Missbrauch vorzubeugen. Dann aber könne die Befürchtung eines Missbrauchs nicht als begründet angesehen wer- den. Das Berufungsgericht könne keine Schlüsse auf ein irgendwie geartetes Un- wohlsein des Klägers ziehen, das über dasjenige hinausgehe, was alle sich im Internet bewegenden Privatpersonen erduldeten, die mit ungebetenen Nachrich- ten konfrontiert würden, bei denen im Dunkeln bleibe, woher die Kontaktaufneh- menden die für die Spam-Nachrichten erforderlichen Daten erhalten haben. Der Feststellungsantrag sei mangels Rechtsschutzbedürfnisses unzuläs- sig. Bei der Verletzung eines absoluten Rechts wie hier reiche die Möglichkeit eines Schadenseintritts aus. Ein Feststellungsinteresse sei nur dann zu vernei- nen, wenn aus Sicht des Geschädigten kein vernünftiger Grund bestehe, mit ei- nem Schadenseintritt wenigstens zu rechnen. Das sei hier der Fall. Es sei auch zwei Jahre nach dem Vorfall kein Schaden eingetreten. Die Wahrscheinlichkeit eines Schadenseintritts nehme mit zunehmender Distanz zum Hacking-Ereignis ab, der Kausalzusammenhang lasse sich dadurch immer schwerer beweisen. Das gelte umso mehr, als naheliege, dass der Kläger anderweitig schon mehr- fach von Hacking-Angriffen betroffen gewesen sei, ohne dass bislang irgendein kausaler materieller Schaden entstanden sei. Es bestünden auch keine konkre- ten Anhaltspunkte dafür, dass dem Kläger eine Gefährdung seines Vermögens drohen könnte. Nach alledem könne davon ausgegangen werden, dass mit dem Eintritt eines materiellen Schadens nicht mehr zu rechnen sei. 8 - 8 - B. Die Revision ist begründet. I. Auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen hält dessen Beurteilung, dem Kläger sei kein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden, der revisionsrechtlichen Prüfung nicht stand. 1. Die Datenschutz-Grundverordnung ist gemäß Art. 3 Abs. 1 DSGVO räumlich und, da die bei dem Unternehmen O. im Auftrag der Beklagten gespei- cherten Informationen personenbezogene Daten des Klägers enthielten, gemäß Art. 2 Abs. 1 DSGVO sachlich anwendbar. Hinsichtlich der zeitlichen Anwend- barkeit ist nicht der Zeitpunkt der Registrierung eines Nutzerkontos bei der Be- klagten maßgeblich, sondern der Hacking-Vorfall (vgl. Senatsurteil vom 18. No- vember 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 19). Dieser hat nach den Feststellungen des Berufungsgerichts in Bezug auf den Kläger jedenfalls nach dem 25. Mai 2018 und damit nach dem Zeitpunkt stattgefunden, seit dem die Datenschutz-Grundverordnung gilt (Art. 99 Abs. 2 DSGVO). 2. Die internationale Zuständigkeit deutscher Gerichte folgt aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 Satz 2 DSGVO. Der Kläger als betroffene Person hat seinen gewöhnlichen Aufenthalt in Deutschland. 3. Nach ständiger Rechtsprechung des Gerichtshofes der Europäischen Union (im Folgenden: Gerichtshof) erfordert ein Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO einen Verstoß gegen die Datenschutz-Grund- verordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. nur EuGH, Urteil vom 4. Oktober 9 10 11 12 13 - 9 - 2024 - C-200/23, DB 2024, 2952 Rn. 140; weitere Nachweise im Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 21). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft grundsätzlich die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Scha- dens verlangt (vgl. EuGH aaO Rn. 141 sowie Senatsurteil aaO mwN). Nicht nach- zuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspru- ches nach Art. 82 Abs. 1 DSGVO ein Verschulden des Verantwortlichen. Art. 82 DSGVO sieht vielmehr eine Haftung für vermutetes Verschulden vor, die Exkul- pation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. EuGH, Ur- teil vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 44 ff. sowie Senatsurteil aaO mwN). a) Rechtlich nicht zu beanstanden ist die Beurteilung des Berufungsge- richts, dass die Beklagte bei Vorliegen eines Schadens (dazu unten b)) haftungs- rechtlich dafür einzustehen hat, dass die Daten des Klägers bei dem Unterneh- men O. nach Beendigung des Auftragsverarbeitungsverhältnisses nicht gelöscht wurden, so dass sie bei dem Unternehmen O. (durch Hacking oder infolge unbe- fugter Weitergabe durch Mitarbeiter des Unternehmens O.) abgegriffen und an- schließend im Darknet zum Verkauf angeboten werden konnten. Dabei geht es nicht lediglich um einen Verstoß des Auftragsverarbeiters O. gegen die DSGVO, für den die Beklagte - vorbehaltlich der Möglichkeit einer Exkulpation nach Art. 82 Abs. 3 DSGVO - gemäß Art. 82 Abs. 2 Satz 1 DSGVO einzustehen hat. Vielmehr liegt darüber hinaus ein eigener Verstoß der Beklagten gegen die Datenschutz- Grundverordnung vor, der, wie vom Berufungsgericht zutreffend gesehen, darin besteht, dass sie sich bei Beendigung des Vertrages mit ihrem Auftragsverarbei- ter O. mit dessen Ankündigung einer Datenlöschung begnügte und nicht die Be- stätigung einer erfolgten umfassenden Datenlöschung einholte (dazu aa)). We- gen dieser eigenen schadensursächlichen Pflichtverletzung gelingt ihr eine Ex- kulpation nach Art. 82 Abs. 3 DSGVO nicht (bb)). 14 - 10 - aa) Die Beklagte hat jedenfalls ihre Pflichten aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. c, e und f DSGVO sowie aus Art. 32 Abs. 1 DSGVO verletzt. (1) Überträgt ein Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO die Datenverarbeitung auf einen Auftragsverarbeiter, kann er sich dadurch von sei- nen datenschutzrechtlichen Pflichten nicht befreien (Gabel/Lutz in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl., Art. 28 Rn. 2). Er bleibt "Herr der Verarbeitung" und daher gegenüber der betroffenen Person für die Einhaltung der datenschutz- rechtlichen Vorschriften bei der Verarbeitung ihrer Daten durch den Auftragsver- arbeiter als seinem "verlängerten Arm" verantwortlich (Martini in Paal/Pauly, DSGVO BDSG, 3. Aufl., Art. 28 Rn. 2; Bergt in Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 82 Rn. 55). Lediglich im Falle eines sogenannten Aufgaben- oder Auftragsverarbeiterexzesses, bei dem der Auftragsverarbeiter unter Verstoß ge- gen die Datenschutz-Grundverordnung selbst die Zwecke und Mittel der Verar- beitung bestimmt (Art. 28 Abs. 10 DSGVO), wird dieser Verantwortlicher und der ursprüngliche Verantwortliche unter Umständen aus seiner Haftung entlassen (vgl. für den Fall einer Haftung nach Art. 83 DSGVO EuGH, Urteil vom 5. Dezem- ber 2023 - C-683/21, ZD 2024, 209 Rn. 85). Das gilt unter anderem dann, wenn der Auftragsverarbeiter Daten auf eine Weise verarbeitet hat, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche zugestimmt hätte (EuGH aaO). Auch in diesen Fällen kommt allerdings eine Haftung des Ver- antwortlichen in Betracht, wenn er es versäumt, mit den Mitteln des Vertrags- rechts auf ein vertragskonformes Verhalten des Auftragsverarbeiters zu drängen (vgl. Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DSGVO Art. 28 Rn. 94). 15 16 - 11 - Der Verantwortliche hat auch im Zusammenhang mit der Auftragsbeendi- gung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Inso- weit ist von Bedeutung, dass die Übermittlung von personenbezogenen Daten seitens des Verantwortlichen an den Auftragsverarbeiter einen Eingriff in die durch Art. 7 und 8 GRCh garantierten Rechte der betroffenen Personen auf Ach- tung des Privatlebens und auf Schutz personenbezogener Daten darstellt, der nur solange gerechtfertigt ist, als die Voraussetzungen der Auftragsverarbeitung vorliegen. Wenn aber das Auftragsverhältnis nicht mehr besteht, gibt es keine Rechtfertigung mehr dafür, dass sich die Daten noch beim Auftragsverarbeiter befinden (BeckOK Datenschutzrecht/Spoerr, 53. Ed., Stand: 1.8.2025, DSGVO Art. 28 Rn. 78). Es ist daher auch und gerade durch den Verantwortlichen sicher- zustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden (BeckOK/Spoerr aaO, Art. 28 Rn. 79; Petri in Simitis/Hornung/Spiecker gen. Döh- mann, Datenschutzrecht, 2. Aufl., DSGVO Art. 28 Rn. 78; Hartung in Küh- ling/Buchner aaO, Art. 28 Rn. 77). Das Zugriffsrecht des Auftragsverarbeiters auf diese Daten entfällt mit dem Auftragsende, der Zugang zu ihnen muss ihm daher ab diesem Zeitpunkt verwehrt sein (Martini aaO, Art. 28 Rn. 50). In Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO ist dementsprechend geregelt, dass in dem Vertrag oder anderen Rechtsinstrument, auf dessen Grundlage die Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO zu erfolgen hat, vorzusehen ist, dass der Auf- tragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speiche- rung der personenbezogenen Daten besteht. Ferner ist gemäß Art. 28 Abs. 3 17 - 12 - Satz 2 Buchst. h DSGVO vorzusehen, dass der Auftragsverarbeiter dem Verant- wortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten, also auch der Löschungs- bzw. Rück- gabepflicht, zur Verfügung stellt und Überprüfungen seitens des Verantwortlichen oder eines von diesem beauftragten Prüfers ermöglicht und dazu beiträgt. Der Verantwortliche darf sich allerdings grundsätzlich nicht damit begnü- gen, mit dem Auftragsverarbeiter einen Vertrag abzuschließen, in dem diesem die vertragliche Verpflichtung zur Löschung der Daten und zum Nachweis der Löschung bei Auftragsbeendigung auferlegt wird. Er hat vielmehr bei Beendigung des Auftragsverhältnisses das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass der Auftragsverar- beiter seine vertragliche Verpflichtung erfüllt, die personenbezogenen Daten also tatsächlich nicht länger bei ihm gespeichert bleiben, so dass er tatsächlich keinen Zugriff mehr auf diese hat. Ob sich diese Pflicht aus Art. 28 DSGVO ergibt, weil dessen Absatz 1 und Absatz 3 Satz 2 Buchst. h bei verständiger Auslegung der Vorschrift eine Kontrollpflicht des Verantwortlichen impliziert (vgl. Gabel/Lutz aaO, Art. 28 Rn. 27, 31; BeckOK/Spoerr aaO, Art. 28 Rn. 35; Martini aaO, Art. 28 Rn. 20; Hartung aaO, Art. 28 Rn. 60), kann dahinstehen. Denn jedenfalls ergibt sie sich aus dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und insbesondere dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO), der den Zeitraum der Speicherung betrifft und dessen Ausfluss die Löschungs- bzw. Rückgabepflicht bei Beendigung des Auftragsver- hältnisses ist (Martini aaO, Art. 28 Rn. 50; Petri in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., DSGVO Art. 28 Rn. 78). Für die Einhaltung dieser Grundsätze ist der Verantwortliche gemäß Art. 5 Abs. 2 DSGVO "verant- wortlich". Ferner ergibt sich seine Pflicht, sicherzustellen, dass dem Auftragsver- arbeiter mit Beendigung des Auftrags der Zugang zu den personenbezogenen Daten der betroffenen Personen entzogen wird, aus der aus Art. 5 Abs. 2 i.V.m. 18 - 13 - Art. 5 Abs. 1 Buchst. f und Art. 32 Abs. 1 DSGVO folgenden Pflicht, eine ange- messene Sicherheit der personenbezogenen Daten zu gewährleisten. So hat der Verantwortliche gemäß Art. 32 Abs. 1 DSGVO unter Berücksichtigung unter an- derem der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Gemäß Art. 32 Abs. 2 DSGVO sind bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Daten- verarbeitung verbunden sind, unter anderem durch den unbefugten Zugang zu gespeicherten Daten. Das Risiko eines unbefugten Zugriffs auf die gespeicherten Daten besteht nicht erst bei einem Cyberangriff durch außenstehende Dritte, son- dern schon dann, wenn die Daten nach Beendigung des Auftragsverhältnisses beim Auftragsverarbeiter gespeichert bleiben, obwohl dessen Zugriffsrecht mit der Beendigung des Auftrags erloschen ist. Dies hat der Verantwortliche durch geeignete Maßnahmen "so weit wie möglich" zu verhindern (zu dieser Einschrän- kung vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 30). Er hat daher das seinerseits nach den Umständen des Einzelfalls Erfor- derliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tat- sächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auf- tragsverarbeiter kommt. Die Beweislast für die Geeignetheit seiner insoweit ge- troffenen Sicherheitsmaßnahmen liegt beim Verantwortlichen (vgl. EuGH aaO Rn. 52, 56). Hat der Verantwortliche diese ihm selbst obliegende Pflicht verletzt und insbesondere nicht auf ein vertragskonformes Verhalten des Auftragsverarbei- ters hinsichtlich der Datenlöschung bzw. -rückgabe bei Auftragsende gedrängt, so kann er sich seiner Verantwortung hierfür nicht schon durch den Hinweis auf einen Aufgabenexzess entziehen, den der Auftragsverarbeiter dadurch begeht, 19 - 14 - dass er die Daten vertragswidrig behält und weiter verarbeitet. Für die Folgen seines eigenen Pflichtenverstoßes hat der Verantwortliche selbst einzustehen. (2) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellun- gen ist die Beklagte ihrer unter (1) dargestellten Pflicht nicht nachgekommen. Sie hatte zwar vertragliche Regelungen mit dem Unternehmen O. getroffen, um den Vorgaben des Art. 28 Abs. 3 Satz 2 Buchst. g und h DSGVO gerecht zu werden. Insbesondere hatte das Unternehmen O. nach Wahl der Beklagten entweder eine vollständige Kopie aller personenbezogenen Daten des Unternehmens der Beklagten an diese zurückzugeben und alle anderen Kopien zu löschen oder alle Daten sowie deren Kopien zu löschen; die Löschung hatte innerhalb von 21 Ta- gen nach Auftragsende zu erfolgen. Ferner hatte es der Beklagten schriftlich zu bestätigen, dass es (und seine Unterauftragsverarbeiter) die Rückgabe- bzw. Lö- schungspflicht innerhalb der Frist "vollständig eingehalten haben". Es kann da- hinstehen, ob die Beklagte schon dadurch, dass sie das ihr vertraglich einge- räumte Wahlrecht nicht ausgeübt hat, eine Pflichtverletzung begangen hat, die für das spätere Abgreifen der Daten (mit-)ursächlich war. Denn jedenfalls hat sie ihre Pflicht, das ihrerseits nach den Umständen des vorliegenden Falls Erforder- liche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsäch- lich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auf- tragsverarbeiter kommt, dadurch verletzt, dass sie sich mit der Ankündigung des Unternehmens O., es werde am nächsten Tag die "Site" der Beklagten und alle Daten auf der "Site" löschen, begnügt hat. So entsprach die angekündigte Tätig- keit schon nicht der vertraglich geschuldeten und datenschutzrechtlich geforder- ten umfassenden Löschung auch aller Datenkopien. Deshalb und weil die ver- traglich geschuldete schriftliche Bestätigung ausblieb, dass die Löschungspflich- ten "vollständig eingehalten" wurden, die Löschung sämtlicher Daten und Daten- kopien also vollzogen war, hatte die Beklagte in ihrer Verantwortung für die per- sonenbezogenen Daten ihrer Kunden unmittelbar nach Ablauf der 21-tägigen 20 - 15 - Frist die Bestätigung einzufordern. Die vom Berufungsgericht festgestellte Nach- frage der Beklagten bei O. erst im Jahr 2023 - also mehr als drei Jahre nach Beendigung des Auftrags und erst nach Bekanntwerden des Hacking-Vorfalls - war ersichtlich verspätet und konnte letzteren nicht mehr verhindern. (3) Es bedarf im Streitfall keiner Entscheidung, ob, wie die Revisionserwi- derung meint, nur eine die Vorgaben der Datenschutz-Grundverordnung verlet- zende Datenverarbeitung Anknüpfungspunkt für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO sein kann, mithin die Nichteinhaltung nur abstrakter Pflichten außerhalb eines konkreten Verarbeitungsvorgangs eine Haftung auf Schadensersatz nicht begründen kann (zum Streitstand s. Nachweise im Senats- urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 23; für die Ansicht, dass es keiner Verarbeitung bedarf, vgl. Schlussantrag des Generalan- walts beim EuGH (Szpunar) vom 18. September 2025 in der Rechtssache C-526/24, juris Rn. 77). Denn der Gerichtshof hat bereits entschieden, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt (vgl. EuGH, Urteil vom 4. Mai 2023 - C-60/22, ZD 2023, 606 Rn. 54-57). Beden- ken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO auf Verstöße gegen Art. 5 DSGVO bestehen daher nicht (vgl. Senatsurteil aaO Rn. 24 mwN aus der Rechtsprechung des EuGH). Darüber hinaus hat der Gerichtshof auch für Ver- stöße unter anderem gegen Art. 32 DSGVO bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DSGVO möglich ist (vgl. EuGH, Urteile vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 42 f.; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 52 f.). Wie ausgeführt hat die Beklagte im Streitfall unter anderem gegen ihre Pflichten aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. c, e und f DSGVO sowie 21 22 - 16 - aus Art. 32 Abs. 1 DSGVO verstoßen mit der Folge, dass die personenbezoge- nen Daten von Kunden der Beklagten einschließlich des Klägers bei dem Unter- nehmen O. länger gespeichert (und damit im Sinne von Art. 4 Nr. 2 DSGVO ver- arbeitet) blieben als dies datenschutzrechtlich zulässig war. Damit liegt auch bei einschränkender Auslegung des Art. 82 Abs. 1 DSGVO ein Verstoß gegen die Datenschutz-Grundverordnung im Sinne dieser Regelung vor. bb) Revisionsrechtlich nicht zu beanstanden ist die Beurteilung des Beru- fungsgerichts, dass sich die Beklagte nicht nach Art. 82 Abs. 3 DSGVO - etwa unter Berufung auf ein weisungs- oder vertragswidriges Verhalten ihres Auf- tragsverarbeiters oder auf einen Hacking-Angriff durch unbefugte Dritte - entla- sten kann. Eine Entlastung würde voraussetzen, dass die Beklagte nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetre- ten ist, verantwortlich ist, sie also keinerlei Verschulden trifft (Boehm in Simi- tis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl., DSGVO, Art. 82 Rn. 24). Da ihr ein eigener (mindestens leicht) fahrlässiger Verstoß gegen die Datenschutz-Grundverordnung vorzuwerfen ist, müsste sie nachweisen, dass es keinerlei Kausalzusammenhang zwischen diesem Verstoß und dem dem Kläger entstandenen Schaden gibt (vgl. EuGH, Urteile vom 11. April 2024 - C-741/24, NJW 2024, 1561 Rn. 51; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 72). Dies ist ihr nicht gelungen. Die Beurteilung des Berufungsgerichts, es dürfe angenommen werden, dass das Unternehmen O. auf die gebotene Nach- frage der Beklagten bezüglich des Vollzugs der Löschung reagiert und die bei ihm noch vorhandenen Daten gelöscht hätte, ist revisionsrechtlich nicht zu bean- standen. Damit war die Pflichtverletzung der Beklagten mitursächlich dafür, dass personenbezogene Daten ihrer Kunden einschließlich des Klägers trotz Beendi- gung des Auftrags bei dem Unternehmen O. verblieben, dort von der Produktiv- in eine Testumgebung überführt wurden, entweder von Hackern erbeutet oder 23 - 17 - von Mitarbeitern des Unternehmens O. unbefugt weitergegeben und anschlie- ßend im Darknet zum Verkauf angeboten wurden. b) Auf der Grundlage der vom Berufungsgericht getroffenen Feststellun- gen ist dessen Beurteilung, dem Kläger sei kein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden, rechtsfehlerhaft. Nach den Feststellun- gen des Berufungsgerichts waren von dem Vorfall folgende personenbezogene Daten des Klägers betroffen: Vor- und Nachname, Geschlecht, E-Mail-Adresse, Sprache sowie sein Registrierungsdatum bei der Beklagten. Der Kläger hat nicht nur die Kontrolle über diese Daten dadurch verloren, dass nach Beendigung der Auftragsverarbeitung das Unternehmen O. und Dritte (Hacker) unbefugten Zugriff auf die Daten hatten. Vielmehr ist es darüber hinaus anschließend zu einer miss- bräuchlichen Verwendung der Daten dadurch gekommen, dass sie im Darknet zum Verkauf angeboten wurden. Spätestens damit ist dem Kläger ein immateri- eller Schaden entstanden. Ferner ist ein solcher Schaden durch die entgegen der Auffassung des Berufungsgerichts als begründet anzusehende Befürchtung des Klägers eingetreten, es könne zu einer (weiteren) missbräuchlichen Verwendung der im Darknet veröffentlichten Daten durch Versendung von Spam-Mails kom- men. aa) Der Begriff des "immateriellen Schadens" ist in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitglied- staaten im Sinne dieser Bestimmung autonom unionsrechtlich zu definieren (st. Rspr., vgl. nur EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 55; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 139 mwN; weitere Nachweise bei Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 28). Dabei soll nach ErwG 146 Satz 3 DSGVO der Begriff des Schadens weit ausgelegt werden, in einer Art und Weise, die den Zielen die- ser Verordnung in vollem Umfang entspricht. Der bloße Verstoß gegen die Be- 24 25 - 18 - stimmungen der Datenschutz-Grundverordnung reicht nach der Rechtsprechung des Gerichtshofs jedoch nicht aus, um einen Schadensersatzanspruch zu be- gründen, vielmehr ist darüber hinaus - im Sinne einer eigenständigen Anspruchs- voraussetzung - der Eintritt eines Schadens (durch diesen Verstoß) erforderlich (st. Rspr., vgl. EuGH, Urteile vom 4. September 2025 - C-655/23, aaO Rn. 56; vom 4. Oktober 2024 - C-200/23, aaO Rn. 140 mwN; weitere Nachweise bei Se- natsurteil vom 18. November 2024 - VI ZR 10/24, aaO). Weiter hat der Gerichtshof ausgeführt, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateri- ellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Schwere oder Erheblichkeit erreicht hat oder eine "Bagatellgrenze" überschreitet (EuGH, Urteile vom 4. September 2025 - C-655/23, aaO Rn. 58; vom 4. Oktober 2024 - C-200/23, aaO Rn. 149 mwN; weitere Nachweise bei Senatsurteil vom 18. November 2024 - VI ZR 10/24, aaO Rn. 29). Allerdings hat der Gerichtshof auch erklärt, dass diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet ist, nach- zuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden er- litten hat. Die Ablehnung einer Erheblichkeitsschwelle bedeutet nicht, dass eine Person, die von einem Verstoß gegen die Datenschutz-Grundverordnung betrof- fen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verord- nung darstellen (vgl. EuGH, Urteil vom 4. Oktober 2024 - C-200/23, aaO Rn. 142; weitere Nachweise bei Senatsurteil vom 18. November 2024 - VI ZR 10/24, aaO). bb) Wie der Senat in seinem - der angefochtenen Entscheidung allerdings zeitlich nachfolgenden - Urteil vom 18. November 2024 - VI ZR 10/24 (BGHZ 242, 180) zu einem Scraping-Vorfall bei Facebook unter Bezugnahme auf die Recht- sprechung des Gerichtshofs ausgeführt hat, kann ein immaterieller Schaden im 26 27 - 19 - Sinne des Art. 82 Abs. 1 DSGVO auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung sein (aaO Rn. 30 f.). Hat die betroffene Per- son den Nachweis erbracht, dass sie einen in einem bloßen Kontrollverlust als solchem bestehenden Schaden erlitten hat, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich dar- aus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Per- son; diese sind lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern (aaO Rn. 31). (1) Diese Rechtsauffassung, die der Senat in dem genannten Urteil nach- folgenden Entscheidungen wiederholt hat (Senatsurteile vom 28. Januar 2025 - VI ZR 109/23, NJW 2025, 1060 Rn. 16 f.; vom 11. Februar 2025 - VI ZR 365/22, NJW 2025, 1656 Rn. 15) und die das Bundesarbeitsgericht teilt (vgl. BAG, Urteil vom 8. Mai 2025 - 8 AZR 209/21, NZA 2025, 1248 Rn. 24), soll nach in Teilen der Literatur vertretener Meinung (vgl. Mörsdorf/Momtazi, JZ 2025, 425, 428 f.; Paal, NJW 2025, 261, 263 f.; Spittka, DSB 2024, 311, 312 f.; Schürgers/Hirsch- berger, NZA 2025, 216, 221 f.) sowie nach Auffassung der Revisionserwiderung im Widerspruch zur Rechtsprechung des Gerichtshofs stehen. Insbesondere wird vertreten, der Gerichtshof habe den Kontrollverlust als solchen nur als mögliche Ursache für einen immateriellen Schaden, nicht aber als den immateriellen Scha- den selbst angesehen. (2) Gegen diese Meinung spricht, dass, worauf der Gerichtshof zuletzt in seinem Urteil vom 4. September 2025 - C-655/23 (NJW 2025, 3137 Rn. 59) hin- gewiesen hat, in den Erwägungsgründen der Datenschutz-Grundverordnung die Hinderung der betroffenen Person daran, "die sie betreffenden personenbezoge- nen Daten zu kontrollieren" (ErwG 75 DSGVO) und der "Verlust der Kontrolle über ihre personenbezogenen Daten" (ErwG 85 DSGVO) als Beispiele für einen 28 29 - 20 - möglichen Schaden im Sinne von Art. 82 Abs. 1 DSGVO aufgeführt sind. Unter Bezugnahme auf ErwG 85 DSGVO hat der Gerichtshof wiederholt und auch in seinen jüngsten Entscheidungen zu diesem Thema darauf hingewiesen, dass der Unionsgesetzgeber unter den Begriff des Schadens auch den "bloßen Verlust der Kontrolle" über die eigenen personenbezogenen Daten dieser Personen in- folge eines Verstoßes gegen die DSGVO "fassen" wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte (EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 60; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 82). Ähnlich heißt es im Urteil des Gerichtshofs vom 11. April 2024 - C-741/21, NJW 2024, 1561 Rn. 42, dass der 85. Erwägungs- grund der DSGVO ausdrücklich den "Verlust der Kontrolle" zu den Schäden "zählt", die durch eine Verletzung personenbezogener Daten verursacht werden können. In demselben Urteil (aaO) sowie in seinem Urteil vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 33 hat der Gerichtshof ausgeführt, dass der - selbst kurzzeitige - Verlust der Kontrolle über personenbezogene Daten einen immate- riellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO "darstellen" (englische Fas- sung: "constitute", französiche Fassung: "constituer") kann, der einen Schadens- ersatz begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich "einen solchen Schaden" - so geringfügig er auch sein mag - erlitten hat. Dies stützt die vom Senat vertretene Auffassung, dass bereits der Kontroll- verlust als solcher ein Schaden im Sinne von Art. 82 Abs. 1 DSGVO sein kann und dementsprechend nur dieser nachgewiesen werden muss, um einen Scha- densersatzanspruch zu begründen. Allerdings ist die Wortwahl, auch im Vergleich der Sprachfassungen, nicht einheitlich. In der deutschen Fassung des Urteils des Gerichtshofs vom 25. Ja- nuar 2024 - C-687/21, CR 2024, 160 Rn. 66 heißt es, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle einen immateriellen Schaden im 30 - 21 - Sinne von Art. 82 Abs. 1 DSGVO "erleiden" kann, in den Urteilen des Gerichts- hofs vom 14. Dezember 2023 - C-456/22, NZA 2024, 56 Rn. 22 und vom 4. Ok- tober 2024 - C-200/23, DB 2024, 2952 Rn. 150, dass der Verlust der "Hoheit" über diese Daten einen Schaden "zufügen" kann. In der englischen und der fran- zösischen Fassung werden insoweit aber einheitlich die Begriffe "loss of control" bzw. "perte de contrôle" verwendet, die Verknüpfung mit dem immateriellen Schaden wird einheitlich durch die Wörter "cause/causing" bzw. "causer" herge- stellt. In den deutschen Sprachfassungen findet sich das Wort "verursachen" (erst) in Rn. 156 des Urteils des Gerichtshofs vom 4. Oktober 2024 - C-200/23 (aaO) sowie im Urteil des Gerichtshofs vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 60, wo es heißt, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten ausreichen kann, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu "verur- sachen", sofern die betroffene Person nachweist, dass sie tatsächlich einen sol- chen Schaden - so geringfügig er auch sein mag - erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis "zusätzlicher spürbarer nega- tiver Folgen" erfordert (Hervorhebungen nur hier). Bei isolierter Betrachtung die- ses Satzes könnte der bloße Kontrollverlust nur Ursache für einen davon zu tren- nenden immateriellen Schaden sein, den die betroffene Person nachweisen müs- ste, wobei der Nachweis zusätzlicher spürbarer negativer Folgen nicht erforder- lich wäre. Damit würde sich allerdings die Frage stellen, worin genau der imma- terielle Schaden als Zwischenstufe zwischen Kontrollverlust und zusätzlichen spürbaren negativen Folgen bestehen soll. Insbesondere wäre diese Interpreta- tion mit dem (im Urteil vom 4. September 2025 - C-655/23 unmittelbar zuvor in Rn. 60 wiederholten) Hinweis des Gerichtshofs darauf, dass der Unionsgesetz- geber bei der beispielhaften Aufzählung der Schäden ("types of damage") unter diesen Begriff insbesondere auch den "bloßen Verlust der Kontrolle" über die ei- - 22 - genen personenbezogenen Daten dieser Personen infolge eines Verstoßes ge- gen die DSGVO fassen wollte ("intended to include in that concept, inter alia, mere loss of control") und der vom Gerichtshof in anderen Urteilen verwendeten Formulierung, dass der Kontrollverlust den immateriellen Schaden "darstellen" kann, kaum in Einklang zu bringen. Der Generalanwalt beim Gerichtshof (Szpunar) hat in den Schlussanträgen vom 18. September 2025 in der Rechts- sache C-526/24 unter Bezugnahme unter anderem auf das Urteil des Gerichts- hofs vom 4. September 2025 - C-655/23 das Wort "darstellen" ("constitute", "con- stituer") und nicht "verursachen" ("cause", "causer") verwendet (Rn. 89). Zu be- rücksichtigen sind in diesem Zusammenhang ferner das mit der Datenschutz- Grundverordnung verfolgte Ziel der Gewährung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten sowie ErwG 146 Satz 3 DSGVO, der eine weite Auslegung des Begriffs des Schadens in einer Art und Weise gebietet, die den Zielen der Datenschutz-Grundverordnung in vol- lem Umfang entspricht. cc) Auf diese für den Kontrollverlust als immateriellen Schaden - auch nach der Rechtsprechung des Gerichtshofs - sprechenden Gesichtspunkte kommt es im vorliegenden Fall allerdings letztlich nicht entscheidungserheblich an. Denn hier ist es wie auch in den Facebook-Scraping-Fällen (hierzu Senats- urteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180) nicht nur zu einem Kontrollverlust, sondern in dessen Folge zu einer missbräuchlichen Verwendung der personenbezogenen Daten gekommen, womit ein immaterieller Schaden vorliegt. (1) Ohne Zweifel lässt sich der Rechtsprechung des Gerichtshofs entneh- men, dass ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO jeden- falls dann vorliegt, wenn der Kontrollverlust nicht folgenlos geblieben, sondern es 31 32 - 23 - zu einer missbräuchlichen Verwendung der betreffenden Daten tatsächlich ge- kommen ist. Aus der vom Gerichtshof auch jüngst wiederholten Wendung, dass der Unionsgesetzgeber unter den Begriff des Schadens insbesondere auch den bloßen Verlust der Kontrolle über die eigenen personenbezogenen Daten fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte (EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 60; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 145; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 82, Hervorhebung nur hier), lässt sich schließen, dass erst recht ein immaterieller Schaden zu bejahen ist, wenn die Daten tatsächlich missbräuchlich verwendet wurden. Dasselbe ergibt sich aus der Rechtsprechung des Gerichtshofs, wonach auch die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Scha- den im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, sofern diese Befürch- tung unter den gegebenen besonderen Umständen und im Hinblick auf die be- troffene Person als "begründet" angesehen werden kann, das Risiko der miss- bräuchlichen Verwendung durch einen unbefugten Dritten also nicht rein hypo- thetischer Natur ist (vgl. nur EuGH, Urteile vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 f. mwN; vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 65, 67, 68; Senatsurteil vom 13. Mai 2025 - VI ZR 186/22, CR 2025, 585 Rn. 28 f.; dazu näher unten dd)). Wie beim Kontrollverlust ist es also für die Qua- lifizierung einer Befürchtung als immaterieller Schaden nicht erforderlich, dass es zu der befürchteten missbräuchlichen Verwendung der Daten kommt. Hat sich das Risiko der missbräuchlichen Verwendung aber verwirklicht, so liegt ein im- materieller Schaden erst recht vor. - 24 - Insbesondere bedarf es hierfür nicht zusätzlich eines durch die miss- bräuchliche Datenverwendung hervorgerufenen "emotionalen" Schadens. Letz- teres lässt sich nicht darauf stützen, dass der Gerichtshof in Rn. 64 des Urteils vom 4. September 2025 - C-655/23 (NJW 2025, 3137) auf die dortige vierte Vor- lagefrage des Senats geantwortet hat, "dass Art. 82 Abs. 1 DSGVO dahin aus- zulegen ist, dass der Begriff ‚immaterieller Schaden‘ in dieser Bestimmung nega- tive Gefühle umfasst, die die betroffene Person infolge einer unbefugten Über- mittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorge- rufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindet." Denn die vierte Vorlagefrage betraf nicht etwa die Frage, ob und unter welchen Voraussetzungen ein Kontrollverlust oder gar eine miss- bräuchliche Verwendung der Daten einen immateriellen Schaden darstellt, son- dern, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass für die An- nahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße nega- tive Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, ge- nügen (aaO Rn. 35). Die Antwort, dass nachgewiesene negative Gefühle samt ihrer negativen Folgen, die durch einen Kontrollverlust etc. hervorgerufen wer- den, vom Begriff des immateriellen Schadens umfasst sind, lässt nicht den Schluss zu, dass es zur Begründung eines Schadens zwingend solcher negativer Gefühle bedarf. (2) Nach diesen Maßstäben ist vorliegend von einem immateriellen Scha- den im Sinne von Art. 82 DSGVO jedenfalls ab dem Zeitpunkt auszugehen, zu dem die personenbezogenen Daten des Klägers im Darknet veröffentlicht und dort zum Verkauf angeboten wurden. Zuvor hatte der Kläger die Kontrolle über 33 34 - 25 - diese Daten dadurch verloren, dass seine personenbezogenen Daten trotz Be- endigung des Auftragsverhältnisses bei dem Unternehmen O. gespeichert blie- ben und damit sowohl das Unternehmen O. unbefugten Zugriff auf die Daten hatte als auch Dritte, die die Daten hackten oder von Mitarbeitern des Unterneh- mens O. erhielten. Mit ihrer anschließenden Veröffentlichung im Darknet wurden die Daten sodann missbräuchlich verwendet. Allein darauf, ob die hier betroffenen Daten des Klägers auch schon vor dem streitgegenständlichen Vorfall gehackt worden waren, wie den Feststellun- gen des Berufungsgerichts zufolge der Website "haveibeenpwned.com" zu ent- nehmen ist, kommt es für das Vorliegen eines Schadens nicht an. Denn mit je- dem rechtswidrigen Abgriff der Daten wird der Kontrollverlust intensiviert und die Gefahr eines Missbrauchs (durch denselben oder einen anderen Personenkreis) erhöht. Der Umstand, dass dieselben Daten schon einmal gehackt wurden, kann deshalb für sich genommen nur bei der Bemessung der Schadenshöhe eine Rolle spielen. dd) Ein immaterieller Schaden wird vorliegend zudem durch die mit Be- kanntwerden des Vorfalls ausgelöste Befürchtung des Klägers begründet, die im Darknet veröffentlichten Daten könnten (nun ein weiteres Mal) missbräuchlich verwendet werden. Die Beurteilung des Berufungsgerichts, diese Befürchtung sei nicht als begründet anzusehen, beruht auf Rechtsfehlern. (1) Durch die Rechtsprechung des Gerichtshofs ist geklärt, dass die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste (empfun- dene) Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung von Dritten missbräuchlich verwendet werden, "für sich genommen" einen immateri- ellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, sofern diese 35 36 37 - 26 - Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (EuGH, Urteile vom 4. September 2025 - C-655/23, NJW 2025, 3137 Rn. 61; vom 4. Oktober 2024 - C-200/23, DB 2024, 2952 Rn. 143 f.; vom 20. Juni 2024 - C-590/22, ZD 2024, 519 Rn. 32, 35, 36; vom 25. Januar 2024 - C-687/21, CR 2024, 160 Rn. 65; Senatsurteile vom 13. Mai 2025 - VI ZR 186/22, CR 2025, 585 Rn. 28; vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 32). Dem- gegenüber genügt die bloße Behauptung einer Befürchtung ohne nachgewie- sene negative Folgen ebenso wenig wie ein rein hypothetisches Risiko der miss- bräuchlichen Verwendung durch einen unbefugten Dritten (EuGH, Urteile vom 20. Juni 2024 - C-590/22, aaO Rn. 35; vom 25. Januar 2024 - C-687/21, aaO Rn. 68; Senatsurteile vom 13. Mai 2025 - VI ZR 186/22, aaO Rn. 29; vom 18. No- vember 2024 - VI ZR 10/24, aaO). Die Befürchtung muss unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als "begrün- det" angesehen werden können (EuGH, Urteile vom 4. Oktober 2024 - C-200/23, aaO Rn. 143 mwN; vom 14. Dezember 2023 - C-340/21, NJW 2024, 1091 Rn. 85; Senatsurteil vom 13. Mai 2025 - VI ZR 186/22, aaO). Ebenso wenig wie beim Kontrollverlust ist es dagegen erforderlich, dass es zu einer missbräuchlichen Verwendung der Daten tatsächlich kommt (s.o. sub cc) (1)). Die mit der begrün- deten Befürchtung einer missbräuchlichen Datenverwendung verbundenen ne- gativen Folgen können auch negative Gefühle wie Sorge und Ärger sein, auch wenn diese Teil des allgemeinen Lebensrisikos sein können (vgl. EuGH, Urteil vom 4. September 2025 - C-655/23, aaO Rn. 62, 64). Die Anforderungen an die Darlegung der Befürchtung eines Datenmiss- brauchs dürfen nicht überspannt werden. Allein der Umstand, dass sich in einer Vielzahl von Klageschriften nach einem Vorfall, der eine Vielzahl von Personen betroffen hat, gleichlautende Formulierungen zu Sorgen und Ängsten über einen Datenmissbrauch finden, steht der Schlüssigkeit der jeweiligen Klage noch nicht entgegen (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, aaO Rn. 36). 38 - 27 - Je plausibler die Befürchtung eines Datenmissbrauchs im konkreten Fall er- scheint, desto geringere Anforderungen sind an ihre Darlegung zu stellen. (2) Die Beurteilung des Berufungsgerichts, die vom Kläger vorgetragene Befürchtung eines Datenmissbrauchs könne nicht als begründet angesehen wer- den, steht nicht in Einklang mit der Rechtsprechung des Gerichtshofs. Nach seinem vom Berufungsgericht festgestellten Vortrag befürchtet der Kläger aufgrund des streitgegenständlichen Vorfalls insbesondere den Erhalt von Spam-Mails mit auch betrügerischem Inhalt sowie einen Identitätsdiebstahl. Wer- den wie hier Name und E-Mail-Adresse einer natürlichen Person im Darknet zum Verkauf angeboten, so darf es als sehr wahrscheinlich angesehen werden, dass diese Daten dazu verwendet werden, Werbemails, aber auch Mails mit betrüge- rischem Inhalt an diese Person zu senden. Das stellt wohl auch das Berufungs- gericht nicht in Frage. Ferner besteht die konkrete Gefahr, dass unter dem Na- men der betroffenen Person und scheinbar von ihrem E-Mail-Account aus Mails mit betrügerischem Inhalt an Dritte geschickt werden. Schon mit der Versendung dieser Spam-Mails an den Kläger bzw. scheinbar von ihm als Absender an Dritte würden die Daten des Klägers (nach ihrer Veröffentlichung im Darknet ein weite- res Mal) missbräuchlich verwendet, so dass die Befürchtung eben dieser - objek- tiv naheliegenden - Verwendung als solche einen immateriellen Schaden dar- stellt, sofern diese Befürchtung samt ihrer negativen Folgen nachgewiesen ist. Darauf, welches Gefahrenpotential mit Spam-Mails verbunden ist, welche Vor- sichtsmaßnahmen insoweit ergriffen werden können und wann solche Mails zu einem materiellen Schaden führen, kommt es entgegen der Auffassung des Be- rufungsgerichts für die Qualifizierung der Befürchtung als begründet hier nicht an. Da die missbräuchliche Datenverwendung nur befürchtet werden, aber nicht er- folgen muss, ist ferner unerheblich, ob der Kläger gerade infolge des streitgegen- ständlichen Vorfalls Spam-Mails erhalten hat oder erhalten wird. Mit den weiteren 39 40 - 28 - Erwägungen, es handle sich bei den gehackten Daten nicht um besonders sen- sible Daten, Spam-Mails würden auch andere Personen erhalten, deren Daten nicht gehackt worden seien, das Unwohlsein des Klägers gehe nicht über das hinaus, was alle sich im Internet bewegenden Privatpersonen beim Erhalt unge- betener Nachrichten erduldeten, zudem habe der Kläger nach Bekanntwerden des Vorfalls seine E-Mail-Adresse nicht geändert, hat das Berufungsgericht im Ergebnis eine Erheblichkeitsschwelle für die Annahme eines Schadens ange- nommen, die es nach der oben aufgezeigten Rechtsprechung des Gerichtshofs nicht gibt. Diese Überlegungen können erst bei der Ermittlung der Schadenshöhe eine Rolle spielen (vgl. Senatsurteil vom 18. November 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 99). Dabei wird allerdings zu berücksichtigen sein, dass die Befürchtung einer missbräuchlichen Datenverwendung und die damit verbun- dene Sorge stärker empfunden werden kann, wenn die betroffene Person positiv weiß, dass ihre Daten im Darknet zum Verkauf angeboten wurden. Schließlich entzieht der Umstand, dass die Daten des Klägers der Web- seite "haveibeenpwned.com" zufolge schon vor dem streitgegenständlichen Vor- fall gehackt worden sein sollen, der Befürchtung, dass sie infolge des streitge- genständlichen Vorfalls erneut - von denselben oder anderen Personen - miss- bräuchlich verwendet werden, nicht die Grundlage. Insbesondere fehlt es entge- gen der Ansicht der Revisionserwiderung nicht an der Kausalität zwischen dem streitgegenständlichen Verstoß und der Befürchtung als immateriellem Schaden. II. Auch die Abweisung des Feststellungsantrags als unzulässig beruht auf einem Rechtsfehler. In der Revisionsinstanz geht es insoweit nur noch um den 41 42 - 29 - Antrag auf Feststellung, dass die Beklagte verpflichtet sei, dem Kläger alle ma- teriellen künftigen Schäden zu ersetzen, die ihm durch die unbefugte Veröffentli- chung seiner Daten im Internet im Jahr 2022 entstehen werden. 1. Im Ausgangspunkt zutreffend hat das Berufungsgericht allerdings aus- geführt, dass die bloße Möglichkeit des künftigen Eintritts des geltend gemachten materiellen Schadens für die Annahme eines Feststellungsinteresses ausreicht; eine darüberhinausgehende hinreichende Schadenswahrscheinlichkeit ist nicht erforderlich. Die Möglichkeit künftiger Schäden reicht hier aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der Verletzung des Rechts des Klägers auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. seines Rechts auf Schutz der personen- bezogenen Daten gemäß Art. 8 GRCh resultieren (Senatsurteil vom 18. Novem- ber 2024 - VI ZR 10/24, BGHZ 242, 180 Rn. 48 f.). Zutreffend weist das Beru- fungsgericht auch darauf hin, dass es an der Möglichkeit weiterer Schäden fehlt, wenn aus Sicht des Geschädigten bei verständiger Würdigung kein Grund be- steht, mit dem Eintritt eines weiteren Schadens wenigstens zu rechnen (Senats- urteil vom 8. April 2025 - VI ZR 25/24, NJW 2025, 2619 Rn. 6 mwN). 2. Die Begründung, mit der das Berufungsgericht die bloße Möglichkeit künftiger materieller Schäden verneint hat, hält revisionsrechtlicher Nachprüfung allerdings nicht stand. So hat das Berufungsgericht darauf abgestellt, dass die Wahrscheinlich- keit eines Schadenseintritts mit zunehmender Distanz zum Hacking-Ereignis ab- nehme und dass sich der Kausalzusammenhang dadurch immer schwerer be- weisen lasse. Eine abnehmende Wahrscheinlichkeit schließt aber die Möglichkeit des Schadenseintritts nicht aus. Vor allem kommt es für die Zulässigkeit und Be- 43 44 45 - 30 - gründetheit der Feststellungsklage nicht darauf an, ob dem Kläger bei Eintritt ei- nes materiellen Schadens der Beweis gelingen wird, dass dieser gerade auf den streitgegenständlichen Vorfall zurückzuführen ist. Dies ist erst für den Erfolg einer etwaigen Leistungsklage entscheidend. Die bloße Möglichkeit eines Schadenseintritts kann auch nicht mit der Be- gründung des Berufungsgerichts verneint werden, dass der Kläger schon in der Vergangenheit von Hacking-Angriffen betroffen gewesen sei, ohne dass bislang ein kausaler materieller Schaden eingetreten sei. Wie oben ausgeführt, ist es sehr wahrscheinlich, dass Daten wie der Name und die E-Mail-Adresse einer natürlichen Person, die im Darknet zum Verkauf angeboten wurden, zur Versendung von Mails mit betrügerischem Inhalt genutzt werden. Die Möglichkeit, dass der Kläger auch künftig noch derartige Mails in- folge der streitgegenständlichen Veröffentlichung seiner Daten im Darknet erhält und dies zu einem materiellen Schaden führt, ist daher nicht so fernliegend, dass mit ihr aus Sicht des Klägers bei verständiger Würdigung nicht mehr gerechnet werden müsste. III. Da die Sache nicht zur Endentscheidung reif ist, ist sie zur neuen Ver- handlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 563 Abs. 1 Satz 1, Abs. 3 ZPO). Für die bei der Schadensbemessung anzulegenden 46 47 48 - 31 - Maßstäbe wird auf das Senatsurteil vom 18. November 2024 - VI ZR 10/24 (BGHZ 242, 180 Rn. 93 ff.) verwiesen. Seiters Oehler Müller Klein Böhm Vorinstanzen: LG Dresden, Entscheidung vom 18.06.2024 - 3 O 1284/23 - OLG Dresden, Entscheidung vom 05.11.2024 - 4 U 999/24 - - 32 - VI ZR 396/24 Verkündet am: 11. November 2025 Böhringer-Mangold, Justizamtsinspektorin als Urkundsbeamtin der Geschäftsstelle