Mit Urteil vom 06.11.2025 zum Aktenzeichen 3 O 93/24 hat das Landgericht Krefeld eine Klage auf Schadensersatz nach einem Hackerangriff abgewiesen. Die Entscheidung ist für das Datenschutzrecht und die praktische Anwendung der DSGVO besonders relevant. Sie zeigt, unter welchen Voraussetzungen ein Cyberangriff nicht automatisch zu einem Anspruch auf Schadensersatz wegen eines Datenschutzverstoßes führt. Zugleich verdeutlicht das Urteil, welche Anforderungen an den Vortrag zu einem immateriellen Schaden, zu künftigen materiellen Schäden und zu einem behaupteten Verstoß gegen technische und organisatorische Maßnahmen zu stellen sind.
Im Mittelpunkt stand ein behaupteter Verstoß gegen die DSGVO im Zusammenhang mit einem Hackerangriff auf ein System, über das personenbezogene Daten verarbeitet wurden. Die Klägerin verlangte insbesondere immateriellen Schadensersatz wegen Sorgen, Ängsten und eines behaupteten Kontrollverlusts über ihre Daten. Das Landgericht Krefeld hat die Klage insgesamt abgewiesen.
Der Sachverhalt: Hackerangriff auf ein Transfersystem und Abgriff personenbezogener Daten
Die Klägerin unterhielt bei der Beklagten zu 1) einen Riestervertrag zur privaten Altersvorsorge. Die Beklagte zu 2) war für die Beklagte zu 1) als Auftragsverarbeiterin tätig und nutzte zur Verarbeitung und Übertragung der anfallenden Daten eine Transfersoftware. Am Morgen des 31.05.2023 wurde die Beklagte zu 2) Ziel eines Hackerangriffs. Unbekannte Angreifer verschafften sich über eine sogenannte Web-Shell Zugriff auf das System und griffen Kundendaten ab, darunter auch Daten der Klägerin.
Nach dem Urteil handelte es sich um einen zero-day-exploit, also um eine Sicherheitslücke, die dem Softwarehersteller zuvor unbekannt war. Betroffen waren jedenfalls Daten wie Vor- und Zuname, Adresse, Geburtsdatum, gegebenenfalls Geburtsort und Geburtsname, Steueridentifikationsnummer, Sozialversicherungsnummer und in Einzelfällen Angaben zum tatsächlichen Entgelt.
Die Klägerin machte geltend, seit dem Datenleck Anrufe und SMS von unbekannten Nummern zu erhalten. Außerdem berief sie sich auf Sorgen und Ängste wegen eines möglichen Identitätsdiebstahls und künftiger finanzieller Nachteile. Nach ihrer Auffassung lagen unzureichende technische und organisatorische Maßnahmen vor. Die Beklagten hätten den Hackerangriff nur deshalb nicht verhindern können, weil die eingesetzten Schutzmaßnahmen nicht ausgereicht hätten.
Kein automatischer DSGVO-Verstoß nach einem Hackerangriff
Das Landgericht Krefeld stellt klar, dass ein Hackerangriff und ein damit verbundener Datenabfluss nicht automatisch einen schuldhaften Verstoß gegen die DSGVO beweisen. Genau darin liegt die zentrale Aussage der Entscheidung für die Bereiche DSGVO, Datenschutz und Schadensersatz.
Die Klägerin stützte ihre Ansprüche insbesondere auf Art. 82 Abs. 1 und 2 DSGVO. Diese Vorschrift regelt den Schadensersatz bei Verstößen gegen die Datenschutz-Grundverordnung. Wer wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet, kann danach unter bestimmten Voraussetzungen Ersatz verlangen. Nach Art. 82 Abs. 4 DSGVO haften auch Verantwortlicher und Auftragsverarbeiter gesamtschuldnerisch, wenn ein entsprechender Schaden verursacht wurde.
Das Gericht hat jedoch betont, dass ein solcher Anspruch nicht schon deshalb besteht, weil es überhaupt zu einem Hackerangriff gekommen ist. Vielmehr müsse festgestellt werden, dass die Beklagten gegen Pflichten der DSGVO verstoßen haben und dass gerade dadurch ein ersatzfähiger Schaden entstanden ist.
Art. 5, 24 und 32 DSGVO: Welche Pflichten bestehen beim Datenschutz?
Das Urteil setzt sich ausführlich mit den zentralen Schutzpflichten der DSGVO auseinander. Besonders wichtig waren hier Art. 5 Abs. 1 lit. f DSGVO, Art. 24 DSGVO und Art. 32 DSGVO.
Art. 5 Abs. 1 lit. f DSGVO regelt den Grundsatz der Integrität und Vertraulichkeit. Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist. Dazu gehört der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.
Art. 24 DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen umzusetzen, damit die Verarbeitung der personenbezogenen Daten den Anforderungen der DSGVO entspricht. Die Vorschrift verlangt also nicht nur Datenschutz im Ergebnis, sondern auch ein nachvollziehbares und risikobasiertes Datenschutzkonzept.
Art. 32 DSGVO konkretisiert diese Pflicht. Danach müssen Verantwortlicher und Auftragsverarbeiter ein dem Risiko angemessenes Schutzniveau gewährleisten. Maßgeblich sind dabei insbesondere der Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen.
Für den Datenschutz nach der DSGVO bedeutet dies nach Auffassung des Landgerichts Krefeld aber nicht, dass jegliches Risiko ausgeschlossen werden muss. Die Verordnung verlangt ein Risikomanagement, nicht die vollständige Beseitigung aller theoretisch denkbaren Gefahren. Gerade bei einem Hackerangriff ist deshalb entscheidend, ob die getroffenen Maßnahmen geeignet waren, Datenschutzverletzungen so weit wie möglich zu verhindern.
Keine Pflicht zur Verhinderung jedes denkbaren Hackerangriffs
Besonders deutlich ist das Urteil in seiner Bewertung der technischen und organisatorischen Maßnahmen. Das Landgericht Krefeld führt aus, dass die Klägerin irrig davon ausgehe, der erfolgreiche Hackerangriff sei bereits ein belastbares Indiz für unzureichende Schutzmaßnahmen. Einen solchen Rückschluss lässt das Gericht gerade nicht zu.
Die Beklagten hatten nach Ansicht des Gerichts substantiiert dargelegt, dass sie ihre datenschutzrechtlichen Pflichten eingehalten hatten. Dem hielt die Klägerin im Wesentlichen nur pauschale Behauptungen entgegen. Das genügte dem Gericht nicht.
Entscheidend war dabei auch, dass es sich um einen zero-day-exploit handelte. Nach dem vorgetragenen Sachverhalt war die Sicherheitslücke dem Hersteller zuvor unbekannt. Hinzu kam, dass weltweit etwa 2.500 Unternehmen und Institutionen von diesem Vorfall betroffen waren. Für das Landgericht Krefeld sprach dies gerade gegen die Annahme, die Beklagten hätten konkrete Anhaltspunkte für die Fehleranfälligkeit der verwendeten Software haben müssen.
Damit macht die Entscheidung deutlich: Ein Hackerangriff führt im Datenschutzrecht nicht schon deshalb zu einer Haftung nach der DSGVO, weil Schutzmaßnahmen denkbar gewesen wären. Maßgeblich ist vielmehr, ob die Verantwortlichen unter Berücksichtigung des Stands der Technik und des konkreten Risikos geeignete Maßnahmen getroffen hatten.
Kein immaterieller Schadensersatz ohne konkreten Schaden
Selbst wenn man einen Verstoß gegen die DSGVO unterstellt hätte, hat das Landgericht Krefeld einen Anspruch auf immateriellen Schadensersatz verneint. Auch dieser Punkt ist für Verfahren wegen Datenschutz, DSGVO, Schadensersatz und Hackerangriff von erheblicher Bedeutung.
Das Gericht stellt klar, dass ein Anspruch aus Art. 82 DSGVO nicht allein aus einem allgemeinen Gefühl des Kontrollverlusts folgt. Erforderlich ist vielmehr ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Sorgen, Ängste und ein allgemeines Unsicherheitsgefühl genügen nicht, wenn sie nicht näher objektiviert und nachvollziehbar dargelegt werden.
Die Klägerin hatte vorgetragen, sie leide seit dem Vorfall unter Sorgen und Ängsten und erhalte vermehrt unerwünschte Anrufe, SMS und Spam-E-Mails. Das Gericht hielt diesen Vortrag für unsubstantiiert. Es fehle bereits an einer tragfähigen Darlegung, dass Telefonnummer oder E-Mail-Adresse überhaupt vom Datenabfluss betroffen gewesen seien. Außerdem seien solche Kontaktversuche auch im Alltag ohne konkreten Anlass üblich. Das Landgericht Krefeld hat deshalb keinen ausreichenden Nachweis für einen immateriellen Schadensersatz wegen eines Hackerangriffs gesehen.
Für die Praxis bedeutet das: Wer unter Berufung auf DSGVO und Datenschutz immateriellen Schadensersatz verlangt, muss den Schaden konkret und nachvollziehbar darstellen. Allgemeine Belastungen, die sich nicht objektivieren lassen, reichen nicht aus.
Kein Feststellungsanspruch für künftige materielle Schäden
Auch mit dem Antrag auf Feststellung einer Ersatzpflicht für künftige materielle Schäden hatte die Klägerin keinen Erfolg. Das Landgericht Krefeld hielt diesen Antrag bereits für unzulässig.
Dabei spielte zum einen § 253 Abs. 2 Nr. 2 ZPO eine Rolle. Diese Vorschrift verlangt, dass ein Klageantrag hinreichend bestimmt sein muss. Das Gericht sah diese Bestimmtheit hier nicht als gegeben an, weil unklar blieb, welche konkreten Maßnahmen die Beklagten hätten treffen sollen und wann genau ein „unbefugter Zugriff Dritter“ im beantragten Sinn vorliegen sollte.
Zum anderen fehlte nach Auffassung des Gerichts das nach § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse. Diese Vorschrift regelt, dass eine Feststellungsklage nur zulässig ist, wenn ein rechtliches Interesse an der baldigen Feststellung besteht. Bei künftigen materiellen Schäden verlangt dies zumindest eine gewisse Wahrscheinlichkeit des Schadenseintritts. Eine bloß theoretische Möglichkeit genügt nicht.
Nach dem Urteil war ein solcher künftiger Schaden hier nicht hinreichend wahrscheinlich. Die Sicherheitslücke war bereits am 02.06.2023 durch ein Herstellerupdate behoben worden. Seit dem Vorfall hatte die Klägerin keine materiellen Schäden erlitten. Mit zunehmendem Zeitablauf werde die Wahrscheinlichkeit eines Schadenseintritts eher geringer. Auch insoweit reichte die bloße Befürchtung eines späteren Missbrauchs der Daten nicht aus.
Bedeutung des Urteils für DSGVO, Datenschutz, Schadensersatz und Hackerangriff
Die Entscheidung des Landgerichts Krefeld zeigt, dass bei einem Hackerangriff im Bereich Datenschutz und DSGVO sehr genau zwischen dem Vorfall selbst, einem möglichen Pflichtverstoß und dem konkreten Schadensersatzanspruch zu unterscheiden ist.
Das Urteil macht deutlich:
Ein erfolgreicher Hackerangriff ist nicht automatisch ein Beweis für unzureichende technische und organisatorische Maßnahmen. Die DSGVO verlangt keine absolute Sicherheit, sondern ein angemessenes, risikobasiertes Schutzkonzept. Wer Schadensersatz verlangt, muss außerdem einen konkreten Schaden darlegen und die Kausalität zwischen Datenschutzverstoß und Schaden nachvollziehbar aufzeigen. Pauschale Hinweise auf Sorgen, Ängste oder abstrakte Missbrauchsrisiken reichen dafür regelmäßig nicht aus.
Gerade für Unternehmen, Verantwortliche und Auftragsverarbeiter ist diese Entscheidung bedeutsam, weil sie bestätigt, dass die Haftung nach der DSGVO nicht verschuldensunabhängig allein an einen Datenabfluss anknüpft. Umgekehrt zeigt sie für Betroffene, dass Ansprüche auf Schadensersatz nach einem Hackerangriff sorgfältig und konkret begründet werden müssen.
Fazit
Das Urteil des Landgerichts Krefeld vom 06.11.2025 – 3 O 93/24 ist eine wichtige Entscheidung zu DSGVO, Datenschutz, Schadensersatz und Hackerangriff. Die Klage wurde abgewiesen, weil das Gericht keinen schuldhaften Verstoß gegen die DSGVO feststellen konnte und außerdem keinen ausreichend substantiiert dargelegten immateriellen oder künftigen materiellen Schaden sah.
Für die datenschutzrechtliche Praxis folgt daraus: Auch nach einem Hackerangriff kommt ein Schadensersatzanspruch nicht automatisch in Betracht. Entscheidend sind die konkret getroffenen Schutzmaßnahmen, die Darlegung eines tatsächlichen Schadens und die nachvollziehbare Verbindung zwischen Datenschutzverstoß und eingetretenem Nachteil. Gerade im Zusammenspiel von DSGVO, Datenschutz und Schadensersatz setzt das Landgericht Krefeld damit klare Maßstäbe.