Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

SG Nürnberg: Kein DSGVO-Schadensersatz nach Hackerangriff bei Zero-Day-Exploits

Nach einem Hack scheitert eine Klage auf DSGVO-Schadensersatz, weil die Schutzmaßnahmen des Unternehmens objektiv ausreichten.

Die DSGVO gewährt keinen absoluten Schutz vor Datenpannen, sondern nur einen relativen. Hat das von dem Hackerangriff betroffene Unternehmen ausreichende Sicherheitsmaßnahmen ergriffen, liegt kein Verschulden vor, sodass kein Anspruch auf DSGVO-Schadensersatz besteht (SG Nürnberg, Urt. v. 10.06.2026 – Az.: S 5 SF 65/24 DS).

Im Streitfall nahm die bei der Beklagten versicherte Klägerin über eine App am Bonusprogramm teil. Eine Hackergruppe nutzte eine bis dahin unbekannte Sicherheitslücke in einer Software (sog. Zero-Day-Exploit) und erbeutete dabei Name, Versicherungsnummer, Prämienbetrag und die IBAN der Mutter. Gesundheitsdaten waren nicht betroffen. Der zuständige Dienstleister spielte das Sicherheitsupdate sofort nach Bekanntwerden der Lücke ein. 
Die Klägerin verlangte unter anderem DSGVO-Schmerzensgeld sowie die Erstattung vorgerichtlicher Anwaltskosten.

Es gab keine Vorinstanzen.Das Gericht wies die Klage vollständig ab. Die Ansprüche seien unbegründet.Die DSGVO verlange keinen absoluten Schutz, sondern lediglich angemessene technische und organisatorische Maßnahmen. Die Beklagte habe eine marktführende, aktiv gepflegte Software eingesetzt und zahlreiche Sicherheitsvorkehrungen umgesetzt. 

Da der Angriff über eine bis dahin unbekannte Schwachstelle (Zero-Day-Exploit) erfolgt sei, hätten weder die Beklagte noch der Dienstleister den Vorfall ohne Kenntnis des Herstellers vorhersehen oder verhindern können. 

Ein Verstoß gegen datenschutzrechtliche Pflichten sei daher nicht nachweisbar:

"Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (…). 
Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. "zero-day-exploit" zum Opfer fielen. 

Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen."

Zudem fehle es an einem ersatzfähigen Schaden. Das Konto der Klägerin sei nicht vom Vorfall betroffen. Auch gebe es keinerlei Hinweise auf Missbrauch oder eine Veröffentlichung der Daten im Darknet. 

Die bloße Sorge vor künftigem Missbrauch reiche nicht aus. Ein immaterieller Schaden setze voraus, dass die Befürchtung begründet und nachvollziehbar sei:

"Überdies fehlt es im vorliegenden Fall an einem ersatzfähigen immateriellen Schaden. (…)

Vorliegend sind keine Umstände ersichtlich, die den Eintritt künftiger Schäden über eine bloß theoretische Befürchtung hinaus wahrscheinlich werden lassen. 

Abgesehen davon, dass nicht die Kontodaten der Klägerin (sondern der Mutter) betroffen waren mit der Folge, dass der Klägerin kein Schaden materieller Art entstehen kann, gilt es zu beachten, dass die Sicherheitslücke unmittelbar nach dem Hackerangriff behoben wurde. Seither kam es zu keinen Schäden materieller Art. Dabei verringert sich eine solche Möglichkeit stetig mit fortschreitendem Zeitablauf (...)." 

Rechts-News durch­suchen

06. Juli 2026
Eine Marketingagentur muss für bestätigte Gewinnspiel-Leads zahlen, für Altdaten ohne wirksame Einwilligung hingegen nicht.
ganzen Text lesen
02. Juli 2026
Ein Listeigner scheitert mit seiner Datenschutzbeschwerde, weil erworbene Kunden-E-Mail-Adressen keine eigenen personenbezogenen Daten sind.
ganzen Text lesen
01. Juli 2026
Eine rechtswidriger SCHUFA-Meldung mit negativen Folgen für das Bonitäts-Scoring kann Schadensersatz auslösen.
ganzen Text lesen
25. Juni 2026
Unscharfe Luftbilder für Gebühren bleiben zulässig, solange keine konkrete Gefahr besteht, dass sie per KI nachgeschärft werden.
ganzen Text lesen

Rechts-News durchsuchen