Urteil des LG Krefeld zur Haftung nach einem Cyberangriff
Mit Urteil vom 06.11.2025 (Az. 3 O 93/24) hat das Landgericht Krefeld eine praxisrelevante Entscheidung zur datenschutzrechtlichen Haftung nach Cyberangriffen getroffen. Im Mittelpunkt stand die Frage, unter welchen Voraussetzungen Unternehmen nach Art. 82 DSGVO zum Schadensersatz verpflichtet sind, wenn personenbezogene Daten infolge eines Hackerangriffs abgegriffen werden.
Auslöser des Verfahrens war ein Angriff über eine sogenannte Zero-Day-Sicherheitslücke. Dabei handelte es sich um eine bis dahin unbekannte Schwachstelle innerhalb einer weit verbreiteten Softwarelösung. Die betroffenen Unternehmen nutzten nach Auffassung des Gerichts eine marktübliche und etablierte Anwendung, ohne konkrete Hinweise auf bestehende Sicherheitsdefizite zu haben.
Die Klägerin machte einen immateriellen DSGVO-Schadensersatz geltend und verlangte mindestens 1.000 Euro. Zur Begründung führte sie insbesondere folgende Belastungen an:
- Angst vor möglichem Identitätsdiebstahl
- Sorgen wegen des Datenabflusses
- erhöhte Unsicherheit im Umgang mit ihren personenbezogenen Daten
- vermehrte unerwünschte Anrufe nach dem Vorfall
Das LG Krefeld sah hierin jedoch keinen ausreichend nachgewiesenen immateriellen Schaden. Nach Ansicht des Gerichts fehlte es sowohl an einer konkreten Beeinträchtigung als auch an einem schuldhaften Datenschutzverstoß des Unternehmens.
Wann Schadensersatz nach Cyberangriffen ausgeschlossen sein kann
Besonders deutlich stellte das Gericht klar, dass ein erfolgreicher Cyberangriff allein noch keine DSGVO-Haftung auslöst. Unternehmen seien zwar verpflichtet, angemessene technische und organisatorische Maßnahmen umzusetzen. Die Datenschutz-Grundverordnung verlange jedoch keinen absoluten Schutz vor sämtlichen Cyberbedrohungen.
Entscheidend sei vielmehr, ob die getroffenen Sicherheitsmaßnahmen dem Risiko angemessen waren und dem damaligen Stand der Technik entsprachen.
Anforderungen nach Art. 82 DSGVO
Die Entscheidung des LG Krefeld zeigt deutlich, dass die DSGVO keine verschuldensunabhängige Haftung vorsieht. Selbst wenn personenbezogene Daten bei einem Hackerangriff abgeflossen sind, entsteht daraus nicht automatisch ein Anspruch auf Schadensersatz nach Art. 82 DSGVO.
Das Gericht machte vielmehr deutlich, dass Betroffene mehrere Voraussetzungen gleichzeitig nachweisen müssen. Dazu zählen insbesondere:
- ein konkreter DSGVO-Verstoß
- ein tatsächlich eingetretener Schaden
- ein ursächlicher Zusammenhang zwischen Datenschutzverletzung und Schaden
- ein schuldhaftes Verhalten des Unternehmens
Gerade der letzte Punkt spielte im Verfahren eine zentrale Rolle. Nach Auffassung des LG Krefeld genügt es nicht, dass ein Angriff erfolgreich war. Entscheidend sei vielmehr, ob die verantwortliche Stelle angemessene Sicherheitsmaßnahmen umgesetzt hatte.
DSGVO verlangt keine absolute IT-Sicherheit
Das Gericht stellte ausdrücklich klar, dass Unternehmen keinen vollkommenen Schutz gegen sämtliche Cyberrisiken gewährleisten müssen. Die Datenschutz-Grundverordnung fordert lediglich ein Sicherheitsniveau, das unter Berücksichtigung des konkreten Risikos angemessen ist.
Dabei berücksichtigte das LG Krefeld insbesondere folgende Faktoren:
Maßgebliche Kriterien | Bewertung des Gerichts |
Verwendung marktüblicher Software | sprach gegen Organisationsverschulden |
regelmäßige Updates und Sicherheitsprozesse | positives Indiz für Compliance |
unbekannte Sicherheitslücke | keine Vorhersehbarkeit des Angriffs |
dokumentierte Schutzmaßnahmen | wichtig für Entlastung |
fehlende Hinweise auf konkrete Risiken | kein erkennbarer Pflichtverstoß |
Das Urteil stärkt damit insbesondere Unternehmen, die ihre technischen und organisatorischen Maßnahmen nachvollziehbar dokumentieren und sich am Stand der Technik orientieren.
Erfolgreicher Angriff allein kein Beweis für Datenschutzverstöße
Besonders praxisrelevant ist die Aussage des Gerichts, dass der bloße Eintritt eines Cyberangriffs nicht automatisch auf unzureichende Sicherheitsmaßnahmen schließen lässt.
Andernfalls würde nahezu jede Datenschutzverletzung unmittelbar eine Haftung auslösen. Genau das lehnt das LG Krefeld jedoch ab. Unternehmen müssen Risiken angemessen minimieren, aber sie schulden keine hundertprozentige Angriffssicherheit.
Zero-Day-Exploit und DSGVO-Haftung
Ein zentraler Aspekt der Entscheidung war die Frage, ob Unternehmen auch dann haften, wenn Angreifer eine bislang unbekannte Sicherheitslücke ausnutzen. Genau dies war im Verfahren vor dem LG Krefeld der Fall.
Die Richter stuften den Angriff als sogenannten Zero-Day-Exploit ein. Damit sind Sicherheitslücken gemeint, die zum Zeitpunkt der Attacke weder dem Softwarehersteller noch den betroffenen Unternehmen bekannt waren.
Gerade dieser Punkt war entscheidend für die Ablehnung eines DSGVO-Schadensersatzanspruchs.
Was ein Zero-Day-Exploit ist
Bei einem Zero-Day-Angriff nutzen Hacker Schwachstellen aus, bevor Schutzmaßnahmen verfügbar sind. Typischerweise liegt mindestens einer der folgenden Umstände vor:
- der Hersteller kennt die Schwachstelle noch nicht
- es existiert noch kein Sicherheitsupdate
- Unternehmen konnten noch keine Gegenmaßnahmen implementieren
- die Sicherheitslücke wurde bislang weltweit nicht erkannt
Dadurch entsteht für betroffene Unternehmen praktisch keine Reaktionszeit. Genau daraus leitet sich auch die Bezeichnung „Zero Day“ ab.
Warum keine Vorhersehbarkeit bestand
Das LG Krefeld stellte in seiner Entscheidung darauf ab, dass die betroffene Software international von rund 2.500 Unternehmen und Institutionen genutzt wurde. Zudem lagen keine konkreten Warnhinweise oder bekannten Sicherheitsmängel vor.
Aus Sicht des Gerichts durften die Verantwortlichen deshalb grundsätzlich auf die Sicherheit der eingesetzten Lösung vertrauen.
Welche Sicherheitsmaßnahmen Unternehmen nachweisen müssen
Interessant ist außerdem die klare Aussage des Gerichts zur Reichweite von Art. 32 DSGVO. Nach Ansicht des LG Krefeld müssen Unternehmen nicht sämtliche theoretisch denkbaren Sicherheitsmaßnahmen umsetzen.
Entscheidend sei vielmehr, ob die Schutzmaßnahmen:
- dem Risiko angemessen waren,
- dem damaligen Stand der Technik entsprachen und
- wirtschaftlich vertretbar umgesetzt wurden.
Damit grenzt sich das Urteil deutlich von einer faktischen Gefährdungshaftung im Datenschutzrecht ab.
Warum das Urteil für die Praxis wichtig ist
Die Entscheidung dürfte insbesondere für Unternehmen mit komplexen IT-Strukturen relevant werden. Denn moderne Cyberangriffe basieren zunehmend auf bislang unbekannten Schwachstellen, die selbst bei professionellen Sicherheitskonzepten nicht immer verhindert werden können.
Das LG Krefeld macht nun deutlich:
Nicht jeder erfolgreiche Hackerangriff begründet automatisch einen DSGVO-Verstoß.
Für Unternehmen bedeutet das allerdings nicht, dass geringe Sicherheitsstandards ausreichen. Vielmehr gewinnt die nachvollziehbare Dokumentation aller technischen und organisatorischen Maßnahmen erheblich an Bedeutung.
Welche Sicherheitsmaßnahmen Unternehmen nachweisen sollten
Auch wenn das LG Krefeld im konkreten Fall keine Haftung angenommen hat, untergräbt das Urteil die Anforderungen an die praktische Datenschutz-Compliance nicht. Denn Unternehmen müssen im Streitfall belegen können, dass ihre Sicherheitsmaßnahmen tatsächlich angemessen waren.
Dabei reicht es nicht aus, lediglich allgemein auf IT-Sicherheit oder interne Richtlinien zu verweisen. Entscheidend ist vielmehr eine belastbare technische und organisatorische Umsetzung.
Diese technischen Schutzmaßnahmen gewinnen besonders an Bedeutung
Im Bereich der IT-Sicherheit erwarten Gerichte und Aufsichtsbehörden zunehmend ein strukturiertes Sicherheitskonzept. Welche Maßnahmen erforderlich sind, hängt insbesondere von Art, Umfang und Sensibilität der verarbeiteten Daten ab.
In der Praxis spielen vor allem folgende Schutzmechanismen eine wichtige Rolle:
Zugangssicherheit und Systemschutz
- Multi-Faktor-Authentifizierung (MFA)
- rollenbasierte Berechtigungskonzepte
- Netzwerksegmentierung
- Absicherung externer Zugriffe
- Härtung kritischer Systeme
Überwachung und Angriffserkennung
Unternehmen sollten Cyberangriffe möglichst frühzeitig erkennen können. Dafür kommen insbesondere folgende Lösungen infrage:
- SIEM-Systeme zur zentralen Sicherheitsüberwachung
- kontinuierliches Monitoring
- automatisierte Angriffserkennung
- Schwachstellen-Scans
- regelmäßige Penetrationstests
Schutz sensibler personenbezogener Daten
Besonders relevant bleibt zudem der unmittelbare Schutz personenbezogener Informationen. Hierzu zählen etwa:
Sicherheitsmaßnahme | Ziel |
Verschlüsselung sensibler Daten | Schutz vor unbefugtem Zugriff |
Patch-Management | Schließung bekannter Sicherheitslücken |
Backup-Strategien | Wiederherstellung nach Angriffen |
Zugriffsbeschränkungen | Minimierung interner Risiken |
Protokollierung von Zugriffen | Nachvollziehbarkeit von Vorfällen |
Organisatorische Maßnahmen werden häufig unterschätzt
Das Urteil zeigt außerdem, dass Datenschutz-Compliance nicht allein eine technische Aufgabe ist. Organisatorische Prozesse spielen bei der Haftungsbewertung eine ebenso wichtige Rolle.
Besonders relevant sind unter anderem:
- regelmäßige Cybersecurity-Schulungen (wie beispielsweise unsere Cyberschulung für Mitarbeiter und unsere NIS-2-konforme Schulung für Führungskräfte)
- dokumentierte Incident-Response-Prozesse
- klare Zuständigkeiten im Datenschutzmanagement
- Notfall- und Wiederherstellungspläne
- regelmäßige Audits von Dienstleistern und Auftragsverarbeitern
Gerade menschliche Fehler bleiben ein wesentliches Einfallstor für Cyberangriffe. Entsprechend wichtig ist eine kontinuierliche Sensibilisierung der Mitarbeiter.
Dokumentation wird zum entscheidenden Haftungsfaktor
Besonders deutlich wird durch das Urteil des LG Krefeld die Bedeutung einer sauberen Dokumentation. Unternehmen müssen im Ernstfall nachvollziehbar darlegen können,
- welche Schutzmaßnahmen implementiert wurden,
- wann Sicherheitsupdates erfolgt sind,
- wie Risiken bewertet wurden und
- welche Reaktionsprozesse im Notfall greifen.
Fehlende Nachweise können im Prozess erhebliche Nachteile verursachen. Und zwar selbst dann, wenn Sicherheitsmaßnahmen tatsächlich vorhanden waren.
Für Unternehmen bedeutet das: Gute IT-Sicherheit allein genügt nicht. Ebenso wichtig ist die revisionssichere Dokumentation sämtlicher Datenschutz- und Sicherheitsprozesse.
Welche Folgen das Urteil für Schadensersatz nach Cyberangriffen hat
Die Entscheidung des LG Krefeld dürfte die Bewertung künftiger DSGVO-Schadensersatzklagen erheblich beeinflussen. Besonders relevant ist dabei die klare Abgrenzung zwischen einer bloßen Datenschutzverletzung und einem tatsächlich ersatzfähigen immateriellen Schaden.
Das Gericht machte deutlich, dass allgemeine Unsicherheitsgefühle oder abstrakte Befürchtungen allein regelmäßig nicht genügen. Betroffene müssen konkrete persönliche Beeinträchtigungen nachvollziehbar darlegen können.
Hohe Anforderungen an den Nachweis immaterieller Schäden
Im konkreten Verfahren berief sich die Klägerin insbesondere auf:
- Sorgen wegen eines möglichen Identitätsdiebstahls
- Unsicherheit nach dem Datenabfluss
- vermehrte Telefonanrufe
- Ängste im Zusammenhang mit dem Vorfall
Nach Auffassung des Gerichts reichte dies jedoch nicht aus, um einen ersatzfähigen immateriellen Schaden im Sinne von Art. 82 DSGVO anzunehmen.
Damit bestätigt das Urteil eine Entwicklung, die sich zunehmend auch in anderen Entscheidungen zeigt: Nicht jede subjektiv empfundene Belastung führt automatisch zu einem Anspruch auf Schadensersatz.
Eigenes Verhalten der Betroffenen kann berücksichtigt werden
Bemerkenswert ist außerdem, dass das LG Krefeld auch das Verhalten der Klägerin nach dem Vorfall in seine Bewertung einbezog.
Das Gericht verwies unter anderem darauf, dass keine zusätzlichen Schutzmaßnahmen ergriffen wurden, etwa:
- Änderung der Telefonnummer
- Anpassung der E-Mail-Adresse
- zusätzliche Sicherung persönlicher Accounts
Dadurch fehlten nach Ansicht des Gerichts weitere Anhaltspunkte für eine schwerwiegende tatsächliche Beeinträchtigung.
Fazit zum Schadensersatz nach Cyberangriffen
Das Urteil des LG Krefeld zeigt, dass ein erfolgreicher Hackerangriff allein noch keinen Anspruch auf Schadensersatz nach der DSGVO begründet. Maßgeblich bleibt vielmehr die Frage, ob Unternehmen ihre datenschutzrechtlichen Pflichten verletzt haben und ob die getroffenen Sicherheitsmaßnahmen dem jeweiligen Risiko angemessen waren.
Gerade bei bislang unbekannten Sicherheitslücken wie einem Zero-Day-Exploit kann eine Haftung ausscheiden, wenn:
- marktübliche und aktuelle Software eingesetzt wurde,
- angemessene technische und organisatorische Maßnahmen bestanden,
- Sicherheitsprozesse dokumentiert wurden und
- keine erkennbaren Warnsignale vorlagen.
Das LG Krefeld verdeutlicht damit zugleich, dass die DSGVO keinen absoluten Schutz vor sämtlichen Cyberangriffen verlangt. Unternehmen müssen Risiken reduzieren und den Stand der Technik berücksichtigen. Eine vollständige Verhinderung jeder Attacke schulden sie jedoch nicht.
Für die Praxis gewinnt deshalb vor allem eines an Bedeutung: die nachvollziehbare Dokumentation sämtlicher Sicherheits- und Datenschutzmaßnahmen. Denn im Streitfall entscheidet häufig nicht allein die tatsächliche IT-Sicherheit, sondern die Fähigkeit, die eigene Compliance gerichtsfest nachzuweisen.
Fragen zum Schadensersatz nach Cyberangriff?
Unsere spezialisierten Rechtsanwälte für IT- und Datenschutzrecht unterstützen Unternehmen bei der rechtssicheren Umsetzung von DSGVO-Anforderungen nach Cyberangriffen und helfen, Haftungsrisiken wirksam zu minimieren. Jetzt Beratung im IT- und Datenschutzrecht anfordern oder unverbindlich Kontakt mit uns aufnehmen!
FAQ zum Schadensersatz nach Cyberangriff
Schadensersatz nach einem Cyberangriff setzt einen DSGVO-Verstoß, einen konkreten Schaden und einen ursächlichen Zusammenhang voraus. Ein erfolgreicher Hackerangriff allein genügt nach der Rechtsprechung regelmäßig nicht für einen Anspruch nach Art. 82 DSGVO.
Ein Zero-Day-Exploit ist eine bislang unbekannte Sicherheitslücke, die Angreifer vor einem verfügbaren Sicherheitsupdate ausnutzen. Unternehmen können solche Cyberangriffe nicht vorhersehen oder unmittelbar verhindern.
Nein. Unternehmen haften nach einem Cyberangriff nur dann, wenn sie gegen Datenschutzpflichten verstoßen haben. Entscheidend sind angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO.
Die DSGVO verlangt ein angemessenes Sicherheitsniveau. Dazu zählen Verschlüsselung, Multi-Faktor-Authentifizierung, Patch-Management, Zugriffskontrollen sowie dokumentierte Sicherheits- und Notfallprozesse.
Nein. Allgemeine Sorgen oder Unsicherheiten genügen regelmäßig nicht für DSGVO-Schadensersatz. Betroffene müssen konkrete immaterielle Beeinträchtigungen nachvollziehbar darlegen und nachweisen.
Unternehmen müssen im Streitfall nachweisen können, welche technischen und organisatorischen Maßnahmen tatsächlich umgesetzt wurden. Fehlende Dokumentationen können erhebliche prozessuale Nachteile verursachen.
Das Urteil stärkt Unternehmen, die ihre IT-Sicherheitsmaßnahmen am Stand der Technik ausrichten und sauber dokumentieren. Gleichzeitig steigen die Anforderungen an Compliance, Risikomanagement und Datenschutzdokumentation.
Nach einem Cyberangriff sollten Unternehmen den Vorfall technisch analysieren, Datenschutzpflichten prüfen, Sicherheitsmaßnahmen dokumentieren und gegebenenfalls Meldepflichten nach der DSGVO erfüllen.
Weiterführende Themen
Art. 82 DSGVO: EuGH konkretisiert Anspruch auf immateriellen Schadensersatz
Schadensersatz bei Datenschutzverstößen bleibt möglich – aber nur unter klaren Voraussetzungen. Der EuGH konkretisiert die Anforderungen an Art. 82 DSGVO.
EuGH-Urteil zu Schadensersatz nach Art. 82 DSGVO
Der EuGH hat mit seinem Urteil vom 4. Mai 2023 erstmals klargestellt, wann ein Schadensersatz nach Art. 82 DSGVO möglich ist. Ein bloßer DSGVO-Verstoß reicht nicht aus – Betroffene müssen einen konkreten materiellen oder immateriellen Schaden nachweisen.
OLG Hamm Facebook-Datenleck und Art. 82 DSGVO
Das OLG Hamm verneint einen DSGVO-Schadensersatz beim Facebook-Datenleck. Trotz Datenschutzverstoß fehlt ohne konkreten immateriellen Schaden ein Anspruch nach Art. 82 DSGVO. Das Urteil ist richtungsweisend für Scraping-Fälle und Klagen gegen Meta.