Zum Inhalt springen
GFV Gesellschaft für Verbraucherschutz

Deezer Datenleck: Was muss ich wissen?

Im November 2022 meldete der Musikstreaming-Dienst Deezer der französischen Datenschutzbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) einen Datenschutzvorfall, bei dem Daten von mehr als 46 Millionen Nutzern im Dark Web veröffentlicht worden waren. Die CNIL verhängte am 11. Dezember 2025 gegen den ehemaligen Auftragsverarbeiter MOBIUS SOLUTIONS LTD eine Geldbuße in Höhe von 1 Million Euro. Betroffene haben nach Artikel 82 Abs. 1 DSGVO Anspruch auf Schadensersatz.

Was ist beim Deezer Datenleck passiert?

Im November 2022 wurde Deezer darauf aufmerksam, dass personenbezogene Daten seiner Nutzer im Dark Web zum Verkauf angeboten wurden. Die interne Untersuchung ergab, dass nicht Deezer selbst das Datenleck zu verantworten hatte, sondern ein ehemaliger Auftragsverarbeiter: die MOBIUS SOLUTIONS LTD. Dieses Unternehmen hatte für Deezer personalisierte Werbekampagnen durchgeführt und dabei Zugriff auf einen umfangreichen Kundendatensatz.

Nach den Feststellungen der CNIL hatte MOBIUS SOLUTIONS LTD die Daten von mehr als 46 Millionen Deezer-Nutzern auch nach Beendigung des Vertragsverhältnisses mit Deezer weiter gespeichert, obwohl eine vertragliche Löschverpflichtung bestand. Durch diesen Verstoß gegen die Vorgaben des Art. 28 DSGVO (Auftragsverarbeitung) und Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) gelangten die Daten schließlich in die Hände Dritter.

Am 11. Dezember 2025 verhängte die CNIL gegen MOBIUS SOLUTIONS LTD eine Geldbuße in Höhe von 1 Million Euro wegen Verstoßes gegen die Vorschriften zur Auftragsverarbeitung.

Welche Daten sind betroffen?

Nach Auswertung des veröffentlichten Datensatzes enthielt dieser pro betroffenem Nutzer insbesondere:

  • Vor- und Nachname
  • E-Mail-Adresse
  • Geburtsdatum
  • Geschlecht
  • Sprache und Land der Registrierung
  • IP-Adresse zum Zeitpunkt der letzten Anmeldung
  • Deezer-Nutzer-ID und Account-Status

Welche Rechte haben Betroffene?

Nach Artikel 82 Abs. 1 DSGVO haben Betroffene einen verschuldensunabhängigen Anspruch auf Ersatz des materiellen und immateriellen Schadens. Besonders relevant ist, dass die DSGVO eine gesamtschuldnerische Haftung zwischen Verantwortlichem (Deezer) und Auftragsverarbeiter (MOBIUS SOLUTIONS LTD) nach Art. 82 Abs. 4 DSGVO vorsieht — Betroffene können ihre Ansprüche gegen jeden der beiden Beteiligten geltend machen:

„Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie [...] für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist." (Art. 82 Abs. 4 DSGVO)

Die BGH-Rechtsprechung zum Kontrollverlust

Mit der Leitentscheidung VI ZR 10/24 vom 18. November 2024 hat der Bundesgerichtshof unter Berufung auf die Rechtsprechung des EuGH klargestellt: Bereits der kurzzeitige Kontrollverlust über die eigenen personenbezogenen Daten stellt einen immateriellen Schaden im Sinne des Art. 82 DSGVO dar. Der Senat hat eine Entschädigung in einer Größenordnung von 100 Euro als rechtlich unbedenklich bezeichnet — allein für den Kontrollverlust, ohne dass weitere Schäden oder ein konkreter Missbrauch nachgewiesen werden müssen.

Bin ich betroffen?

Betroffen sind Nutzer, die vor dem Ende des Vertragsverhältnisses zwischen Deezer und MOBIUS SOLUTIONS LTD ein Deezer-Konto eröffnet hatten. Eine erste Prüfung ist über Have I Been Pwned möglich; für eine rechtssichere Bestätigung empfiehlt sich ein Auskunftsersuchen nach Art. 15 DSGVO an Deezer. Deezer ist verpflichtet, binnen eines Monats mitzuteilen, welche Daten verarbeitet wurden und ob der Nutzer vom Vorfall betroffen ist (Art. 12 Abs. 3 DSGVO).

Wie geht es weiter?

Ansprüche verjähren nach § 195 BGB binnen drei Jahren ab Kenntnis. Die GfV prüft für Sie kostenlos und unverbindlich, ob und in welcher Höhe Ihnen Schadensersatz zusteht, und übernimmt auf Wunsch die weitere rechtliche Betreuung.

→ Jetzt kostenlosen Deezer-Betroffenheitscheck starten

Quellen

  • CNIL, Pressemitteilung vom 11.12.2025: „Data breach: MOBIUS SOLUTIONS LTD fined €1 million". cnil.fr
  • BGH, Urteil vom 18.11.2024 — VI ZR 10/24 (Leitentscheidungsverfahren zum Scraping; anwendbar auf vergleichbare Datenschutzvorfälle, da Grundsätze zur Schadensbemessung bei Kontrollverlust). bundesgerichtshof.de
  • Verordnung (EU) 2016/679 — Datenschutz-Grundverordnung, insbesondere Art. 5 Abs. 1 lit. e, Art. 12, Art. 15, Art. 28, Art. 82 Abs. 1 und Abs. 4. eur-lex.europa.eu
  • § 195 BGB — Regelmäßige Verjährungsfrist. gesetze-im-internet.de

Haben Sie Fragen?

Kontaktieren Sie uns kostenlos und unverbindlich.

Jetzt kostenlos prüfen