Der Bundesgerichtshof stellt fest: Bleiben personenbezogene Daten nach Vertragsende beim Auftragsverarbeiter, haftet der Verantwortliche – einschließlich Schadensersatz nach Art. 82 DSGVO, wenn die Daten später abgegriffen und im Darknet angeboten werden.  Die Haftung ist nur dann ausgeschlossen, bei nachweisbaren Rückgabe-/Löschprozessen, einem wirksamen Zugriffsentzug und einer aussagekräftigen Dokumentation; eine bloße Löschungsaufforderung genügt nicht. Der BGH leitet diese Pflichten aus Art. 5 Abs. 1 lit. c, e, f i.V.m. Abs. 2 sowie Art. 32 DSGVO ab und verneint die Exkulpation nach Art. 82 Abs. 3 DSGVO, wenn der eigene Pflichtenverstoß mitursächlich ist.

Was das für ihr Unternehmen bedeutet:

• Das Offboarding muss als kontrollierter, nachweisbarer Prozess ausgestaltet werden. Verantwortliche müssen aktiv entscheiden: Rückgabe oder Löschung – und sich die vollständige Löschung inkl. aller Kopien zeitnah vom Auftragsverarbeiter nachweisen lassen. Inhalt der Dokumentation beim Verantwortlichen müssen Protokolle, Bestätigungen des Auftragsverarbeiters sowie der Nachweise eines effektiven Zugriffsentzugs (Deprovisionierung, Schlüsselentzug, Test-/Staging-Umgebungen).
• Die Dokumentations- und Darlegungslast liegt komplett beim Verantwortlichen: Er muss Geeignetheit und Wirksamkeit der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO beweisen; ein „Löschversprechen“ des Auftragsverarbeiters reicht nicht.
• Zum Schaden: Die missbräuchliche Verwendung durch Darknet-Angebote begründet einen immateriellen Schaden; zusätzlich kann bereits die begründete Befürchtung weiterer missbräuchlicher Verwendung (z.B. Spam/Phishing) einen immateriellen Schaden darstellen – Dass die Daten möglicherweise durch einen externen Hackerangriff abhandengekommen sind, entlastet das Unternehmen nicht. Da das Unternehmen seine Kontrollpflichten verletzt hat, haftet es für die Folgen – unabhängig davon, ob die Daten bereits zuvor gehackt wurden.
  
  

Unmittelbare To-dos für Verantwortliche:

• Wahlrecht Rückgabe vs. Löschung aktiv ausüben, Kopienmanagement und Zugriffsentzug sicherstellen; Fristen setzen, überwachen und den tatsächlichen Vollzug zeitnah bestätigen lassen.
• Schriftliche Vollzugsbestätigung „vollständige Einhaltung“ unverzüglich nach Fristablauf einholen; Nachweisführung/Dokumentation revisionsfest organisieren.
• TOM nach Art. 32 DSGVO risikobasiert dokumentieren; Geeignetheit und Wirksamkeit beweissicher festhalten.
• Auftragsverarbeitungsverträge kontrollieren: Sind die Nachweis- und Prüfrechte gem. Art. 28 Abs. 3 lit. h DSGVO umfassend und zutreffen im Vertrag geregelt? Sind die Offboarding-Klauseln auf verifizierte Löschung einschließlich Kopien ausgerichtet?
• Verarbeitungsverzeichnis prüfen: Offboardingprozess als Vorgang enthalten? Vorgang mit den Anforderungen des BGB korrekt beschrieben?
• Offboardingprozess als Handlungsanweisung für das Unternehmen implementieren.

Häufig sind im Impressum von Websites noch die falschen gesetzlichen Regelungen in Bezug genommen. Das Telemediengesetz (TMG) ist am 14. Mai 2024 außer Kraft getreten und wurde durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Ebenso gibt es keine Rundfunkstaatsvertrag der Länder mehr, die entsprechende Regelung heißt jetzt Medienstaatsvertrag.  Die Europäische Plattform für Online-Streitbeilegung (OS-Plattform) wurde eingestellt, die Einreichung von Beschwerden auf der OS-Plattform wurde ab dem 20.03.2025 beendet. Spätestens ab 20.07.2025 wurden alle Informationen, einschließlich personenbezogener Daten im Zusammenhang mit Fällen, auf der OS-Plattform gelöscht.

Folgende Änderungen sind konkret vorzunehmen:

• Entweder ersetzen Sie den Hinweis auf „§ 5 TMG“ durch „§ 5 DDG“, wo die Impressumspflicht wortgleich weiter besteht, oder Sie verzichten gänzlich auf die Angabe von bestimmten Gesetzesstellen im Impressum. Es gibt dafür keine Verpflichtung. 
• An der Stelle „Verantwortlicher für den Inhalt nach § 55 Abs. 2 RStV“ muss es nunmehr heißen: „Verantwortliche für den Inhalt nach § 18 Abs. 2 MStV“.
• Der Absatz zur Streitschlichtung ist komplett zu streichen, da die zugrunde liegende Verordnung (EU) Nr. 524/2013 mit Wirkung zum 20.07.2025 aufgehoben wird. 
• Im Text im Disclaimer sind entweder die nunmehr geltenden rechtlichen Regelungen korrekt anzugeben oder diese vollständig zu streichen, da die Angabe dieser Regelungen nicht zwingend vorgeschrieben ist und sie sich damit (siehe unsere Empfehlung oben) fortlaufenden Aufwand ersparen.

SoftOptIn beim Newsletter gewinnt an Rückenwind:
Ein Werbekontakt per E-Mail ist ohne separate Einwilligung zulässig, wenn die Adresse im Rahmen eines Vertrages oder einer (marketinggetriebenen) Registrierung erhoben wurde, nur für eigene ähnliche Angebote genutzt wird, jederzeit der Nutzung widersprochen werden kann und kein Widerspruch vorliegt. DoubleOptIn bleibt sinnvoll als Beweis, ist aber nicht zwingend. 

PraxisTipp:
Herkunft der Adresse dokumentieren, „ähnliche Produkte“ sauber abgrenzen, Hinweis auf Widerspruchsmöglichkeit bei Erhebung und in jeder Mail prominent platzieren.

Ob Anrufe heutzutage tatsächlich noch sicherer sind als E-Mails ist aufgrund KI mehr als fraglich. Bereits mit wenigen Sekunden Audiomaterial der zu imitierenden Stimme kann die Stimme eines möglichen Kollegen oder Geschäftspartners durch den Einsatz von KI nachgeahmt werden. Aber wie erkennt man solche Deepfakes am Telefon und wie verhält man sich richtig? 

Auf folgende Punkte solltet ihr achten: ungewöhnliche Betonungen, relativ lange Verzögerungen bzw. ein sehr langsames Antworten, seltsame Formulierungen oder unerwartete Bitten sowie Aufforderungen zu Geldtransfers oder Links. Davor schützen kann man sich, in dem man den oder die Kollegin bzw. den Geschäftspartner über eine bekannte Nummer zurückruft. Ebenso hilfreich ist eine Sensibilisierung durch interne Schulungen.