DSGVO-Schadensersatz nach Hackerangriff: Keine Haftung bei Zero-Day-Exploit

Das Urteil des LG Krefeld im Überblick

Das Landgericht Krefeld hat mit Urteil vom 06.11.2025 (Az. 3 O 93/24) eine wichtige Entscheidung zur Haftung von Unternehmen nach einem Cyberangriff getroffen. Im Mittelpunkt stand die Frage, ob ein Unternehmen DSGVO-Schadensersatz leisten muss, wenn personenbezogene Daten durch einen Hackerangriff abgegriffen werden. Konkret ging es um einen sogenannten Zero-Day-Exploit, also eine zuvor unbekannte Sicherheitslücke in einer marktüblichen Software.

Die Klägerin verlangte mindestens 1.000 Euro immateriellen Schadensersatz nach Art. 82 DSGVO. Sie begründete dies mit Sorgen, Ängsten und einem möglichen Risiko des Identitätsdiebstahls nach dem Datenabfluss. Außerdem berichtete sie von vermehrten Anrufen. Das Gericht wies die Klage jedoch vollständig ab. Nach Auffassung des LG Krefeld reichten die geschilderten Beeinträchtigungen nicht aus, um einen konkreten immateriellen Schaden nachzuweisen. Entscheidend war zudem, dass kein schuldhafter Verstoß gegen die DSGVO festgestellt werden konnte.

Das Urteil verdeutlicht: Ein erfolgreicher Hackerangriff allein reicht nicht aus, um eine Haftung nach der DSGVO auszulösen. Unternehmen müssen zwar angemessene technische und organisatorische Maßnahmen treffen, schulden jedoch keinen absoluten Schutz vor jeder Cyberattacke.

Wann besteht DSGVO-Schadensersatz nach Hackerangriffen?

Das Urteil des LG Krefeld zeigt deutlich, dass ein DSGVO-Schadensersatzanspruch nach Art. 82 DSGVO nicht automatisch bei jeder Datenschutzverletzung entsteht. Vielmehr müssen Betroffene mehrere Voraussetzungen nachweisen. Dazu gehören insbesondere ein Verstoß gegen die DSGVO, ein konkreter Schaden sowie ein ursächlicher Zusammenhang zwischen Datenschutzverletzung und Schaden.

Das Gericht stellte klar, dass Unternehmen nicht für jeden erfolgreichen Cyberangriff haften. Entscheidend ist vielmehr, ob die verantwortliche Stelle ihre datenschutzrechtlichen Pflichten verletzt hat. Nach Ansicht des Gerichts genügt der DSGVO lediglich ein angemessenes Risikomanagement. Ein absoluter Schutz vor sämtlichen Angriffen wird hingegen nicht verlangt.

Besonders relevant für Unternehmen sind dabei folgende Kriterien:

• Einsatz marktüblicher und aktueller Software
• Umsetzung angemessener technischer und organisatorischer Maßnahmen (TOM)
• regelmäßige Sicherheitsupdates
• dokumentierte Datenschutz- und Sicherheitsprozesse
• Auswahl zuverlässiger Auftragsverarbeiter

Das LG Krefeld betonte zudem, dass allein der erfolgreiche Angriff kein ausreichendes Indiz für unzureichende Sicherheitsmaßnahmen darstellt. Gerade bei bislang unbekannten Sicherheitslücken könne Unternehmen nicht ohne Weiteres ein Verschulden vorgeworfen werden.

Warum das LG Krefeld keine DSGVO-Haftung angenommen hat

Angemessene TOM nach Art. 32 DSGVO

Im Zentrum der Entscheidung stand die Frage, ob die Beklagten gegen ihre Pflichten aus Art. 5, Art. 24 und Art. 32 DSGVO verstoßen haben. Das LG Krefeld verneinte dies ausdrücklich. Nach Auffassung des Gerichts hatten die Unternehmen angemessene technische und organisatorische Maßnahmen umgesetzt und durften auf die Sicherheit der eingesetzten Software vertrauen.

Keine Pflicht zur absoluten IT-Sicherheit

Besonders wichtig war dabei, dass es sich um einen sogenannten Zero-Day-Exploit handelte. Die ausgenutzte Sicherheitslücke war dem Hersteller zuvor unbekannt. Zudem wurde die betroffene Software weltweit von rund 2.500 Unternehmen und Institutionen eingesetzt. Für das Gericht sprach dies gegen eine erkennbare Fehleranfälligkeit oder ein vorhersehbares Risiko.

Maßgebliche Argumente des Gerichts

• keine bekannten Hinweise auf konkrete Sicherheitsmängel
• Einsatz einer marktführenden und zertifizierten Software
• Sicherheitslücke war zuvor unbekannt
• keine Pflicht zu „maximalen“ Sicherheitsmaßnahmen
• DSGVO verlangt nur angemessene Schutzmaßnahmen

Das Gericht stellte außerdem klar, dass Unternehmen nicht sämtliche theoretisch möglichen Sicherheitsmaßnahmen umsetzen müssen. Entscheidend sei vielmehr, ob die Schutzmaßnahmen dem Risiko angemessen waren und dem damaligen Stand der Technik entsprachen.

Welche Rolle spielte der Zero-Day-Exploit?

Eine zentrale Bedeutung kam im Verfahren dem sogenannten Zero-Day-Exploit zu. Dabei handelt es sich um eine Sicherheitslücke, die dem Softwarehersteller zum Zeitpunkt des Angriffs noch unbekannt ist. Genau dieser Umstand war für das LG Krefeld entscheidend, um ein Verschulden der Beklagten abzulehnen.

Das Gericht machte deutlich, dass Unternehmen nicht verpflichtet sind, sich gegen vollkommen unbekannte Sicherheitslücken abzusichern. Die DSGVO verlangt zwar ein angemessenes Sicherheitsniveau, jedoch keinen lückenlosen Schutz vor jeder denkbaren Cyberbedrohung.

Was ist ein Zero-Day-Exploit?

Bei einem Zero-Day-Exploit nutzen Angreifer eine bisher unbekannte Schwachstelle aus, bevor:

• der Hersteller die Sicherheitslücke erkennt,
• ein Sicherheitsupdate bereitsteht oder
• Unternehmen Gegenmaßnahmen implementieren können.

Gerade deshalb gelten solche Angriffe als besonders gefährlich. Unternehmen haben praktisch „null Tage Zeit“, um zu reagieren.

Das LG Krefeld stellte klar, dass der erfolgreiche Angriff allein kein Beweis für mangelhafte Sicherheitsmaßnahmen ist. Andernfalls würde jede erfolgreiche Cyberattacke automatisch zu einer Haftung führen. Ein Ergebnis, das nach Ansicht des Gerichts weder mit der DSGVO noch mit der Rechtsprechung des EuGH vereinbar wäre.

Bedeutung des Urteils für Unternehmen und Datenschutzpraxis

Das Urteil des LG Krefeld hat in jeglicher Hinsicht praktische Bedeutung für Unternehmen, Datenschutzbeauftragte und IT-Verantwortliche. Die Entscheidung stärkt die Position von Unternehmen in Fällen, in denen Cyberangriffe trotz angemessener Sicherheitsmaßnahmen erfolgreich sind. Gleichzeitig macht das Gericht deutlich, dass Verantwortliche ihre Datenschutz- und IT-Sicherheitsmaßnahmen umfassend dokumentieren müssen.

Für die Praxis bedeutet dies vor allem, dass Unternehmen im Streitfall nachweisen können sollten, welche technischen und organisatorischen Maßnahmen tatsächlich umgesetzt wurden. Eine bloße Behauptung ausreichender Sicherheit genügt nicht.

Besonders wichtig sind künftig:

• dokumentierte Sicherheitskonzepte
• regelmäßige Risikoanalysen
• Patch- und Update-Management
• Auswahl geeigneter Auftragsverarbeiter
• nachvollziehbare TOM-Dokumentationen
• Incident-Response-Prozesse

Das Urteil zeigt außerdem, dass Gerichte zunehmend zwischen vermeidbaren Sicherheitsmängeln und unvermeidbaren Cyberrisiken unterscheiden. Unternehmen haften daher nicht automatisch für jede Datenschutzverletzung. Dennoch bleibt die Darlegungs- und Nachweispflicht hoch.

Für Datenschutzklagen bedeutet die Entscheidung zugleich, dass Betroffene konkrete Schäden und tatsächliche Beeinträchtigungen substantiiert darlegen müssen. Allgemeine Sorgen oder abstrakte Ängste reichen nach Auffassung des Gerichts regelmäßig nicht aus. Zudem berücksichtigte das Gericht, dass die Klägerin selbst keine zusätzlichen Sicherheitsmaßnahmen ergriffen hatte, etwa durch eine Änderung ihrer E-Mail-Adresse oder Telefonnummer.

Welche technischen Maßnahmen Unternehmen umsetzen müssen

Auch wenn das LG Krefeld keine Haftung angenommen hat, dürfen Unternehmen das Urteil nicht als Freibrief verstehen. Die Anforderungen aus Art. 32 DSGVO bleiben hoch. Verantwortliche müssen jederzeit ein Sicherheitsniveau gewährleisten, das dem Risiko der jeweiligen Datenverarbeitung entspricht. Gerade bei sensiblen personenbezogenen Daten steigen die Erwartungen an IT-Sicherheit und Compliance deutlich an.

Technische Schutzmaßnahmen

• Multi-Faktor-Authentifizierung
• Netzwerksegmentierung
• Verschlüsselung sensibler Daten
• kontinuierliches Schwachstellenmanagement
• SIEM- und Monitoring-Lösungen
• regelmäßige Penetrationstests

Organisatorische Sicherheitsmaßnahmen

• Schulungen zur Cybersecurity (Sehen Sie hierzu unsere Cybersicherheitsschulung für Mitarbeiter und unsere NIS-2-konforme Cybersecurity-Schulung für Führungskräfte)
• klare Berechtigungskonzepte
• Notfall- und Wiederherstellungspläne
• strukturierte Incident-Response-Prozesse
• regelmäßige Audits von Dienstleistern

Dokumentation als Haftungsschutz

Besonders relevant ist die nachvollziehbare Dokumentation aller Sicherheitsmaßnahmen. Im Streitfall müssen Unternehmen darlegen können, dass sie ihre Schutzpflichten ernst genommen und angemessen umgesetzt haben. Fehlende Nachweise können schnell zu erheblichen prozessualen Nachteilen führen. Und zwar selbst dann, wenn die Sicherheitsmaßnahmen tatsächlich vorhanden waren.

Fazit: Kein automatischer DSGVO-Schadensersatz nach Hackerangriff

Das Urteil des LG Krefeld setzt wichtige Maßstäbe für die Haftung nach Cyberangriffen. Unternehmen haften nach Art. 82 DSGVO nicht automatisch, wenn personenbezogene Daten durch einen Hackerangriff betroffen sind. Entscheidend bleibt, ob ein schuldhafter Verstoß gegen Datenschutzpflichten nachgewiesen werden kann. Gerade bei bislang unbekannten Sicherheitslücken wie einem Zero-Day-Exploit kann eine Haftung ausscheiden, sofern angemessene technische und organisatorische Maßnahmen umgesetzt wurden.

Für Unternehmen zeigt die Entscheidung vor allem, wie wichtig ein professionelles IT-Sicherheits- und Datenschutzmanagement ist. Neben wirksamen Schutzmaßnahmen gewinnt insbesondere die Dokumentation der Sicherheitsprozesse zunehmend an Bedeutung. Gleichzeitig verdeutlicht das Urteil, dass Gerichte bei DSGVO-Schadensersatzansprüchen weiterhin hohe Anforderungen an den Nachweis konkreter immaterieller Schäden stellen.

Fragen zum DSGVO-Schadensersatz nach einem Hackerangriff?

Sie möchten prüfen, ob nach einem Cyberangriff Ansprüche auf DSGVO-Schadensersatz bestehen oder wie Sie als Unternehmen ihre Haftungsrisiken reduzieren können? Unsere erfahrenen Rechtsanwälte unterstützen Sie bei Datenschutzverletzungen, Cyberangriffen und Fragen rund um Art. 82 DSGVO. Vereinbaren Sie ein Teams-Meeting oder stellen Sie direkt Ihre Rechtsfrage – wir helfen Ihnen gerne!