Ein Betroffener erhält nach einem Hackerangriff mit Datenabfluss nur dann DSGVO-Schadensersatz, wenn dem betroffenen Unternehmen ein Verschulden nachgewiesen werden kann (LG Krefeld, Urt. v. 06.11.2025 - Az.: 3 O 93/24).
Die Klägerin unterhielt bei der Beklagten einen Riestervertrag zur Altersvorsorge. Bei dem technischen Dienstleister der Beklagten kam es Mitte 2023 zu einem Hackerangriff auf das IT-System. Die Angreifer nutzten eine bis dahin unbekannte Sicherheitslücke in der verwendeten Software (sog. „Zero-Day-Exploit“) und griffen Kundendaten ab. Betroffen waren unter anderem Name, Adresse, Geburtsdatum, Steuer-ID und Sozialversicherungsnummer.
Die Klägerin behauptete, sie habe seitdem vermehrt unerwünschte Anrufe und SMS erhalten. Sie leide unter Sorgen und Ängsten, insbesondere wegen eines möglichen Identitätsdiebstahls. Sie verlangte mindestens 1.000,- DSGVO-Schadensersatz.
Das LG Krefeld wies die Klage jedoch ab.
Ein Anspruch auf Schadensersatz nach der DSGVO setze einen schuldhaften Verstoß voraus.
Ein solcher schuldhafter Verstoß lasse sich im vorliegenden Fall jedoch nicht feststellen. Die DSGVO verlange zwar geeignete technische und organisatorische Schutzmaßnahmen, aber keinen absoluten Schutz vor jedem denkbaren Angriff.
Die Beklagte habe nachvollziehbar dargelegt, dass sie die marktübliche und zertifizierte Software eingesetzt habe.
Die Sicherheitslücke sei zuvor unbekannt gewesen.
Allein der Umstand, dass ein Hackerangriff erfolgreich gewesen sei, beweise nicht automatisch und zwingend unzureichende Schutzmaßnahmen:
"Die Klägerin unterliegt vielmehr irrig der Annahme, der erfolgreiche Angriff liefere ein belastbares Indiz für unzureichende technische und organisatorische Maßnahmen im Vorfeld. Ein derartiger Rückschluss ist jedoch verfehlt (….).
Soweit sie darauf abstellt, dass die Beklagten weitere technische Maßnahmen hätten ergreifen können, wovon sie einige aufzählt, ergibt sich hieraus keine Umsetzungspflicht, deren Nichteinhaltung einen datenschutzrechtlichen Verstoß begründen kann.
Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern (…)."
Und weiter:
"Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen. Unzureichend wären die von den Beklagten beschriebenen TOM nur dann, wenn sich zuvor konkrete Anhaltspunkte für die Fehleranfälligkeit der - zum Zeitpunkt des Vorfalls - marktführenden G.-Anwendung ergeben hätten.
Die Klägerin behauptet insoweit pauschal und ohne nähere Darlegung.
Sie verweist hierzu auf einen unergiebigen öffentlichen Beitrag sowie auf sog. CVE-Einträge einer Fehlerdatenbank.
Daraus ergibt sich indes nicht, ob die Beklagten diese Umstände vor dem Cyberangriff konkret wahrgenommen haben oder hätten wahrnehmen müssen, da insbesondere die letztgenannte Quelle vielmehr dafür spricht, dass das Programm seitens des Herstellers regelmäßig überprüft und sicherheitstechnisch weiterentwickelt wurde und wird. Gegen die Annahme, dass die Beklagten entsprechende Bedenken hätten haben müssen, spricht der Umstand, dass weltweit ca. 2.500 Unternehmen und Institutionen dem - insoweit unvorhergesehenen - sog. „zero-day-exploit“ zum Opfer fielen.
Die Beklagte zu 1) hatte keinen Anlass zur verstärkten Kontrolle der Beklagten zu 2), Zweifel an der Eignung der Beklagten zu 2) als Auftragsverarbeiterin wurden nicht vorgetragen."