Der Bundesgerichtshof stellt fest: Bleiben personenbezogene Daten nach Vertragsende beim Auftragsverarbeiter, haftet der Verantwortliche – einschließlich Schadensersatz nach Art. 82 DSGVO, wenn die Daten später abgegriffen und im Darknet angeboten werden.  Die Haftung ist nur dann ausgeschlossen, bei nachweisbaren Rückgabe-/Löschprozessen, einem wirksamen Zugriffsentzug und einer aussagekräftigen Dokumentation; eine bloße Löschungsaufforderung genügt nicht. Der BGH leitet diese Pflichten aus Art. 5 Abs. 1 lit. c, e, f i.V.m. Abs. 2 sowie Art. 32 DSGVO ab und verneint die Exkulpation nach Art. 82 Abs. 3 DSGVO, wenn der eigene Pflichtenverstoß mitursächlich ist.

Was das für ihr Unternehmen bedeutet:

• Das Offboarding muss als kontrollierter, nachweisbarer Prozess ausgestaltet werden. Verantwortliche müssen aktiv entscheiden: Rückgabe oder Löschung – und sich die vollständige Löschung inkl. aller Kopien zeitnah vom Auftragsverarbeiter nachweisen lassen. Inhalt der Dokumentation beim Verantwortlichen müssen Protokolle, Bestätigungen des Auftragsverarbeiters sowie der Nachweise eines effektiven Zugriffsentzugs (Deprovisionierung, Schlüsselentzug, Test-/Staging-Umgebungen).
• Die Dokumentations- und Darlegungslast liegt komplett beim Verantwortlichen: Er muss Geeignetheit und Wirksamkeit der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO beweisen; ein „Löschversprechen“ des Auftragsverarbeiters reicht nicht.
• Zum Schaden: Die missbräuchliche Verwendung durch Darknet-Angebote begründet einen immateriellen Schaden; zusätzlich kann bereits die begründete Befürchtung weiterer missbräuchlicher Verwendung (z.B. Spam/Phishing) einen immateriellen Schaden darstellen – Dass die Daten möglicherweise durch einen externen Hackerangriff abhandengekommen sind, entlastet das Unternehmen nicht. Da das Unternehmen seine Kontrollpflichten verletzt hat, haftet es für die Folgen – unabhängig davon, ob die Daten bereits zuvor gehackt wurden.
  
  

Unmittelbare To-dos für Verantwortliche:

• Wahlrecht Rückgabe vs. Löschung aktiv ausüben, Kopienmanagement und Zugriffsentzug sicherstellen; Fristen setzen, überwachen und den tatsächlichen Vollzug zeitnah bestätigen lassen.
• Schriftliche Vollzugsbestätigung „vollständige Einhaltung“ unverzüglich nach Fristablauf einholen; Nachweisführung/Dokumentation revisionsfest organisieren.
• TOM nach Art. 32 DSGVO risikobasiert dokumentieren; Geeignetheit und Wirksamkeit beweissicher festhalten.
• Auftragsverarbeitungsverträge kontrollieren: Sind die Nachweis- und Prüfrechte gem. Art. 28 Abs. 3 lit. h DSGVO umfassend und zutreffen im Vertrag geregelt? Sind die Offboarding-Klauseln auf verifizierte Löschung einschließlich Kopien ausgerichtet?
• Verarbeitungsverzeichnis prüfen: Offboardingprozess als Vorgang enthalten? Vorgang mit den Anforderungen des BGB korrekt beschrieben?
• Offboardingprozess als Handlungsanweisung für das Unternehmen implementieren.