27.11.2025
·
4
Minuten Lesezeit

BGH-Entscheidung zum Datenleck bei Deezer – wegweisend für DSGVO-Schadensersatzansprüche

Home
>
News
>
BGH-Entscheidung zum Datenleck bei Deezer – wegweisend für DSGVO-Schadensersatzansprüche

In einem vom unserer Kanzleigeführtem Verfahren hat der Bundesgerichtshof (BGH) mit Urteil vom 11. November 2025 (Az. VI ZR 396/24) klargestellt, dass der Musik-Streaming-Anbieter Deezer für ein erhebliches Datenleck haftet – rund ein Jahr nach der Entscheidung zum Datenvorfall bei Meta (Facebook) ein weiteres weitreichendes Urteil.

Wesentliche Inhalte der Entscheidung

  • Der BGH bestätigt einen Verstoß von Deezer gegen die Datenschutzgrundverordnung (DSGVO).
  • Die Veröffentlichung der Daten im Darknet begründet nach Auffassung des BGHs einen immateriellen Schaden. Dies resultiert daraus, dass bereits der Verlust der Kontrolle über personenbezogene Daten – verbunden mit der begründeten Furcht vor Missbrauch – einen Anspruch auf Schadensersatz auslösen.
  • Weitere frühere oder spätere Datenlecks, selbst mit denselben Daten, schmälern diesen Schadensersatzanspruch nicht; vielmehr bleibt der begangene Datenschutzverstoß wirksam – und mit ihm das Recht der Betroffenen auf Entschädigung.

Der Vorgang: Was geschah beim Deezer-Datenleck?

Bereits im Jahr 2019 kam es bei Deezer über einen externen Dienstleister zu einem massiven Abfluss personenbezogener Daten — laut Berichten insgesamt rund 230 Mio. Nutzerkonten weltweit, darunter zahlreiche mit Wohnsitz in Deutschland. Unter den kompromittierten Informationen fanden sich Name, E-Mail-Adresse, Geburtsdatum, Wohnort und weitere Profildaten — eine klassische Angriffsfläche für Spam, Phishing und Betrug.

Besonders gravierend: Die gestohlenen Datensätze wurden im Darknet veröffentlicht und zum Verkauf angeboten. Für viele Nutzer begann damit eine bis heute andauernde Phase der Unsicherheit, geprägt durch Spam, Phishing-Versuche und die ständige Sorge vor Identitätsmissbrauch.

Der BGH stellt Pflichtverletzungen von Deezer fest

Deezer leitete personenbezogene Daten an einen externen Dienstleister weiter, ohne dabei die strengen Vorgaben der DSGVO zur Auftragsverarbeitung – insbesondere die vertraglichen Sicherungs- und Kontrollpflichten nach Art. 28 DSGVO – ordnungsgemäß einzuhalten. Auch nach dem Ende des Vertragsverhältnisses erfolgte keine Löschung der Daten. Sie blieben weiterhin gespeichert, was letztlich den späteren Zugriff und die Veröffentlichung erst ermöglichte. Nach Ansicht des BGH ist diese fortdauernde Speicherung und die daraus resultierende Preisgabe der Informationen dem Unternehmen zuzurechnen. Darüber hinaus verletzte Deezer seine Informationspflichten, weil die betroffenen Nutzer nicht unverzüglich über das Datenleck benachrichtigt wurden, wie es die DSGVO ausdrücklich verlangt.

Rechtsprechung zum immateriellen Schaden — und ihre Bedeutung für Betroffene

Mit der vorliegenden Entscheidung führt der BGH die Rechtsprechung zum immateriellen Schaden konsequent fort — mit drei zentralen Klarstellungen:

  • Der Verlust der Kontrolle über personenbezogene Daten allein — etwa durch unbefugte Speicherung, Kopie oder Weitergabe — begründet einen immateriellen Schaden, ohne dass ein konkreter Identitätsdiebstahl oder finanzieller Verlust erforderlich ist.
  • Sobald Daten tatsächlich im Darknet auftauchen oder für Betrugs- oder Phishing-Zwecke verwendet werden, ist der Schaden ungleich gewichtiger; in solchen Fällen ist ein Anspruch auf Entschädigung umso eindeutiger zu bejahen.
  • Die bloße Befürchtung eines zukünftigen Missbrauchs — bei objektiv nachvollziehbaren Gründen (z. B. Darknet-Veröffentlichung) — reicht für sich genommen bereits aus, wenn sie schlüssig dargestellt wird. Es bedarf nicht eines großen psychischen Ausnahmezustands: Alltägliche, jedoch ernsthafte Sorgen und Belastungen genügen.

Der Hinweis des Gerichts auf eine „versteckte Bagatellgrenze“ ist klar: Eine solche existiert nicht. Eine datenschutzwidrige Datenpreisgabe bleibt haftungsbegründend – selbst wenn der Nutzer vermeintlich „nur ein paar Spam-Mails mehr“ erhält.

Konsequenzen für Betroffene und Empfehlung zur Rechtsverfolgung

Betroffene — insbesondere solche, die Nutzerkonten bei Deezer unterhalten haben — sollten prüfen (lassen), ob ihre E-Mail-Adresse oder sonstige personenbezogene Daten im Zusammenhang mit Deezer im Darknet veröffentlicht wurden und ob Deezer sie ordnungsgemäß informiert hat. Es empfiehlt sich, umgehend fachkundige rechtliche Beratung in Anspruch zu nehmen. Mit der neuen BGH-Rechtsprechung steigen die Aussichten, erfolgreiche Ansprüche auf immateriellen Schadensersatz geltend zu machen — und gegebenenfalls über Feststellungsklage auch künftige materielle Schäden sichern zu lassen.

Die Entscheidung des BGH sendet ein deutliches Signal an Anbieter wie Deezer: Datenschutzverstöße sind nicht ohne Folgen. Nutzer müssen sich nicht mit beruhigenden Standard-Mails begnügen, wenn ihre Daten in die Hände Dritter gelangen — die Rechtswege für Entschädigungsforderungen stehen offen und sind angesichts der neuen Rechtsprechung vielversprechend.

Sie haben Fragen? - Jetzt Kontakt aufnehmen

Warum corelaw?

Erfahrung & Spezialisierung:

Über ein Jahrzehnt Erfahrung im Verbraucherrecht, spezialisiert auf Auseinandersetzungen mit Banken und Finanzinstituten.

Erfolg durch Präzision:

Wir kennen die Schwachstellen in Verträgen und setzen genau dort an.

Kostenfreie Ersteinschätzung:

Ihre Unterlagen prüfen wir vorab kostenlos und klären Sie transparent über Ihre Chancen auf.

Individuelle Betreuung:

Keine Massenabfertigung – sondern persönliche Betreuung durch unser erfahrenes Anwaltsteam.