Grafik System HACKED Schaubild

DSGVO-Schadensersatz wegen Kontrollverlust bei Datenpanne?

18. März 2024 | Alexander Beyer

Datenschutz ist in Unternehmen ein sensibles Thema. Denn Datenpannen können nicht nur einen erheblichen Imageschaden zur Folge haben, sondern auch immense wirtschaftliche Schäden verursachen – auch jenseits von Bußgeldern und Co. So kann ein finanzieller Schaden auch dadurch entstehen, dass Betroffene von Datenpannen Ersatz eines immateriellen Schadens geltend machen.

Aber reicht für einen solchen DSGVO-Schadensersatz die Angst vor einem Missbrauch der eigenen Daten nach einem Hackerangriff? Damit beschäftigte sich der Europäische Gerichtshof (EuGH C-340/21).

Schadensersatz bei Verletzungen des Datenschutzrechts

Die Datenschutzgrundverordnung (DSGVO) kennt einen eigenen Schadensersatzanspruch: Art. 82 DSGVO ist die rechtliche Grundlage für Schadensersatz betroffener Personen bei Verstößen gegen die DSGVO, z. B. infolge einer Cyberattacke oder sonstiger Datenpannen. Art. 82 DSGVO formuliert recht klar und deutlich die Anforderungen für Haftung auf Schadensersatz:

Absatz 1: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Absatz 2: Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Vor allem die Pflicht, Daten gegen unberechtigten Zugriff zu schützen und dafür technisch-organisatorische Maßnahmen (sog. TOM, vgl. Art. 32 DSGVO) zu ergreifen, spielt hier eine Rolle. Wer sich nicht um adäquate TOM kümmert, riskiert Schadensersatzforderungen, wenn es z. B. zu einem Hackerangriff kommt und Daten „geklaut“ werden.

Cyberattacke und Datenleck in Bulgarien – Schadensersatzansprüche?

Im Fall vor dem EuGH ging es um eine erfolgreiche Cyberattacke auf Datenbanken der bulgarischen Finanzbehörden, bei der persönliche Daten von Millionen Menschen „geklaut“ und im Internet veröffentlicht wurden. In der Folge klagten Personen, die von diesem Datenleck bzw. den Folgen der Cyberattacke betroffen waren, gegen die Finanzbehörde, auch wenn nicht ersichtlich war, dass der Datenklau konkrete Folgen hatte (Spam-Mails, Kontenzugriffe etc.).

Grundlage der Klage war Art. 82 DSGVO, der einen Anspruch auf Ersatz von materiellen Schäden oder immateriellen Schäden gibt, wenn es zu Datenschutzverstößen kommt. Verletzt sahen die Betroffenen ihre personenbezogenen Daten (Art. 4 Nr. 12 DSGVO) und zwar durch eine unzureichende Sicherheit der Daten (Art. 32 DSGVO). Die Verantwortung dafür (Art. 24 DSGVO) sahen sie bei der Finanzbehörde.

Bagatellgrenze für Anspruch auf Schadensersatz nach Art. 82. DSGVO?

In diesem Fall stellte sich allerdings die Frage, ob allein die Angst vor Kontrollverlust über die Daten bzw. die Angst vor Datenmissbrauch bereits ausreichend für einen immateriellen Schaden nach Art. 82 DSGVO ist oder ob diese Angst unter einer Art Erheblichkeitsschwelle liegt.

Der Europäische Gerichtshof (EuGH) kam in seinem Urteil zu dem Ergebnis: Auch die Angst vor Datenmissbrauch nach einem Hackerangriff kann ein immaterieller Schaden sein, der einen Schadensersatzanspruch auslöst.

Allein der Verstoß der verantwortlichen Behörde ist noch kein Schaden. Aber Angst vor Missbrauch der gehackten Daten ist ein immaterieller Schaden nach Art. 82 DSGVO, wenn die Angst entsprechend dargelegt wird.

Dabei stellte das Gericht auch klar, dass der Schaden auch dem Datenverantwortlichen zuzurechnen ist, und zwar auch, wenn die Gefahr des Datenmissbrauchs an sich von den Cyberdieben als Dritten i. S. d. Art. 4 Abs. 10 DSGVO ausgeht. Die Datenverantwortlichen könnten sich in einem solchen Fall von der Haftung nur entschulden, wenn sie nachweisen könnten, dass sie ihrerseits das „Erforderliche“ getan hätten – vor allem im Sinne technisch-organisatorischer Maßnahmen –, um eine Cyberattacke und Datenklau zu verhindern. Kurz gesagt bedeutet das: Unternehmen haften auch für Hacker-Angriffe, wenn sie nicht das Notwendige getan haben, um dieses Szenario zu verhindern.

Dabei stellte das Gericht auch klar: Allein die Tatsache, dass die Datenpanne passiert ist, ist kein Beweis dafür, dass technisch-organisatorische Maßnahmen nicht ausreichend waren. Ob die TOM ausreichend waren, müssten jedoch nationale Gerichte im Einzelfall entscheiden. Hier müsse es dann auch in jedem einzelnen Fall darum gehen, was für ein Unternehmen oder eine Behörde – je nach konkreter Risikolage – erforderlich gewesen wäre, was nicht. Im Zweifel müsse das mit einem Sachverständigengutachten geklärt werden.

Fazit

Das Urteil des EuGH bestätigt die bisherige Rechtsprechung in einigen Punkten. Neu ist die Aussage des Gerichts dazu, dass es quasi keine konkreten Minimalanforderungen für einen Ersatzanspruch wegen eines immateriellen Schadens nach Art. 82 DSGVO gibt. Auch die geltend gemachte Angst vor Datenmissbrauch reicht also für einen Schadensersatzanspruch aus.

Das ist eine deutliche Stärkung der Betroffenenrechte und sorgt für ein deutlich höheres Haftungsrisiko bei Unternehmen im Falle von Datenlecks und Hackerangriffen. Umso wichtiger wird es in Zukunft sein, sich regelmäßig und angemessen für individuelle Risiken um effektiven Datenschutz und entsprechende TOM zu kümmern. Dazu wird es gehören, regelmäßig Datenschutzvorgaben und Verfahren unter die Lupe zu nehmen und ggf. anzupassen, um immensen Haftungsrisiken bei massenhaften Datenschutzverletzungen begegnen zu können.

 

Beitragsbild: [James Thew]/stock.adobe.com

Weitere Beiträge

IT | KI | Medien

OLG Düsseldorf: Keine Urheberrechtsverletzung durch KI-generiertes Bild

Das Oberlandesgericht Düsseldorf hat mit Urteil vom 2. April 2026 (Az.: I-20 W 2/26) im Rahmen eines einstweiligen Verfügungsverfahrens entschieden, dass die Verwendung eines urheberrechtlich geschützten Fotos als Vorlage für eine KI-Software nicht automatisch zu einer Urheberrechtsverletzung führt. Das Urteil betrifft einen Fall, in dem eine Tierfotografin gegen die Veröffentlichung eines KI-generierten Bildes vorging, das […]

weiterlesen
KI

VG Kassel bestätigt Täuschung durch KI bei Bachelorarbeit

Das Verwaltungsgericht Kassel hat mit Urteil vom 25. Februar 2026 (Az.: 7 K 2134/24.KS) entschieden, dass die Nutzung generativer künstlicher Intelligenz (KI) bei einer Bachelorarbeit ohne Kennzeichnung als Täuschung gewertet werden kann. Der Kläger, ein Student im Studiengang Informatik, hatte die Arbeit zum Thema „Vergleich unterschiedlicher Bewertungskriterien für Zeitreihen“ eingereicht und war im Kolloquium an […]

weiterlesen
IT | KI | Medien

KI-Einsatz in der Musikproduktion: Urteil des LG Frankfurt zum Urheberrecht an Songtexten

Ein aktuelles Urteil des Landgerichts Frankfurt (Urteil vom 17.12.2025, Az.: 2-06 O 401/25) beleuchtet die komplexen rechtlichen Grenzen zwischen menschlicher Schöpfung und Künstlicher Intelligenz (KI) in der Musikbranche. In der Entscheidung geht es um die Frage, ob und wie der Urheberrechtsschutz für Liedtexte durchsetzbar ist, wenn bei der musikalischen Produktion KI-Systeme eingesetzt wurden. Das Urteil […]

weiterlesen
IT | KI | Medien

Urheberrecht bei KI-Logos: Amtsgericht München verneint Schutz trotz detaillierter Prompts

Die Erstellung von Grafiken und Logos mittels Künstlicher Intelligenz gehört in vielen Branchen mittlerweile zum Standard. Doch die rechtliche Einordnung dieser maschinell erzeugten Bilder sorgt regelmäßig für Unsicherheit. In einer der ersten Entscheidungen dieser Art in Deutschland hat das Amtsgericht München  nun geurteilt, dass die streitgegenständlichen KI-generierten Logos keinen urheberrechtlichen Schutz genießen (AG München, Urteil […]

weiterlesen