Wer Opfer eines Hackerangriffs wird, sieht sich schnell selbst auf der Anklagebank: Geschädigte verlangen Schmerzensgeld, und der naheliegende Gedanke lautet, dass schon der erfolgreiche Angriff den Beweis für lückenhafte Sicherheit liefere. Genau dieser Schluss ist falsch – das Sozialgericht Nürnberg hat ihn mit Endurteil vom 10.06.2026 (Az. S 5 SF 65/24 DS) im Zusammenhang mit dem weltweiten MOVEit-Datenleck zurückgewiesen und die Klage einer Versicherten gegen ihre Krankenkasse und deren Auftragsverarbeiter vollständig abgewiesen.

Sachverhalt

Die zur Tatzeit fünfjährige Klägerin nahm über ihre gesetzliche Krankenkasse an einem App-gestützten Bonusprogramm teil. Für die technische Abwicklung bediente sich die Kasse eines Auftragsverarbeiters, der die Managed-File-Transfer-Software MOVEit eines US-Herstellers einsetzte. Am 31.05.2023 nutzte eine Hackergruppe eine bis dahin unbekannte Schwachstelle – einen klassischen Zero-Day-Exploit – und griff über eine Web-Shell Vorname, Name, Krankenversicherungsnummer, Prämienbetrag und die IBAN (tatsächlich die der Mutter) ab. Gesundheitsdaten waren nicht betroffen, von den Servern der Kasse selbst floss nichts ab, und der Hersteller stellte bereits einen Tag nach Bekanntwerden ein Sicherheitspatch bereit, das umgehend eingespielt wurde. Verlangt wurden gleichwohl mindestens 3.000 Euro immaterieller Schadensersatz, die Feststellung künftiger Ersatzpflicht, Unterlassung und Freistellung von Anwaltskosten.

Gericht: DSGVO kennt keinen absoluten Schutz

Kernaspekt der Entscheidung liegt im Verhältnis von Art. 5 Abs. 1 lit. f, 24 und 32 DSGVO zu Art. 82 DSGVO. Das Gericht stützt sich auf die Leitentscheidung des EuGH vom 14.12.2023 (C-340/21): Die DSGVO etabliert ein Risikomanagementsystem, kein Schadensvermeidungsversprechen. Verantwortliche und Auftragsverarbeiter schulden nur geeignete Maßnahmen, die eine Verletzung „so weit wie möglich“ verhindern und nicht den lückenlosen Schutz, den es technisch ohnehin nicht gibt.

Entscheidend ist die Beweislast: Zwar trägt der Verantwortliche nach Art. 5 Abs. 2, 24 DSGVO die Darlegungs- und Beweislast für die Angemessenheit seiner technischen und organisatorischen Maßnahmen. Doch der erfolgreiche Angriff allein begründet keine unwiderlegbare Vermutung der Unzulänglichkeit, denn andernfalls liefe die Exkulpationsmöglichkeit des Art. 82 Abs. 3 DSGVO leer. Die Beklagten legten substantiiert ihre TOM dar (Authentifizierung, Account-Sperren nach Fehlversuchen, IP-Blocking, Passwortvorgaben, durchgängige Transportverschlüsselung) und konnten sich auf die Marktführerschaft und Zertifizierung der eingesetzten Software berufen:

Die Beweislasst dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 f) und Art. 32 DSGVO gewährleisten, obliegt dem für die betreffende Verarbeitung Verantwortlichen (…) Zum Fall von Cyberkriminalität führt der EuGH (…) aus: „Wenn, (…), eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 Buchst. f, Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat. Somit kann sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten auf der Grundlage von Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt“ (…)

Demnach entlasten Hackerangriffe zwar per se nicht von der Haftung, insbesondere dann nicht, wenn der Verantwortliche oder dessen Auftragsverarbeiter unzureichende Schutzmaßnahmen getroffen haben (…) Allerdings kann der Verantwortliche nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

Das Gericht zieht daraus also einen bemerkenswerten Schluss: Dass die Angreifer dem klägerischen Vortrag zufolge rund zwei Jahre für den erfolgreichen Einbruch benötigten, spreche gerade für die Sicherheit der Anwendung, nicht gegen sie.

Maßgeblich ist zudem die Zurechnung: Eine durch Dritte begangene Verletzung kann dem Verantwortlichen nur angelastet werden, wenn er sie durch Missachtung eigener Pflichten ermöglicht hat. Eine unentdeckte Zero-Day-Lücke im Code eines fremden Herstellers (von dem weltweit angeblich rund 2.500 Unternehmen betroffen waren) fällt nicht darunter. Ein etwaiger Fahrlässigkeitsvorwurf träfe allenfalls den Hersteller, nicht die auf eine etablierte Software vertrauenden Beklagten. Auch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO verneinte das Gericht; es liege ein reines Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vor, bei dem die Auswahlentscheidung nicht zu beanstanden war.

Kein Schaden: Kontrollverlust ist nicht gleich Schmerzensgeld

Selbständig tragend stellt das Gericht das Fehlen eines ersatzfähigen immateriellen Schadens fest. Zwar kennt Art. 82 DSGVO keine Erheblichkeitsschwelle, und ein bloßer Kontrollverlust kann nach EuGH einen Schaden darstellen, er muss es aber nicht und es kommt auf den Einzelfall an. Wer sich auf die Befürchtung künftigen Missbrauchs beruft, muss nachweisen, dass diese im konkreten Fall begründet ist; ein rein hypothetisches Risiko genügt nach der EuGH-Linie und dem BGH-Urteil vom 18.11.2024 (VI ZR 10/24) gerade nicht.

Hier scheiterte der Vortrag an der Lebenswirklichkeit: Die schriftsätzlich behaupteten „Ängste und Sorgen“ konnte ein zur Tatzeit fünfjähriges, vom Vorgang ahnungsloses Kind denknotwendig nicht empfinden. Die betroffene Bankverbindung gehörte nicht der Klägerin, sondern der Mutter, und über drei Jahre nach dem Vorfall fand sich kein Anhaltspunkt für eine missbräuchliche Verwendung zumal der Angriff auf die Erpressung der Unternehmen zielte, nicht auf die einzelnen Betroffenen.

Folgeanträge: Feststellung und Unterlassung scheitern prozessual

Die Feststellungsklage scheiterte am fehlenden Feststellungsinteresse (§ 55 SGG), weil der Eintritt künftiger materieller Schäden über eine theoretische Befürchtung hinaus als nicht wahrscheinlich eingestuft wurde und die Wahrscheinlichkeit mit fortschreitendem Zeitablauf sogar weiter sinken würde:

Diesbezüglich gilt es zu beachten, dass die derzeit 8- jährige und zum Zeitpunkt des Hackerangriffs 5-jährige Klägerin nach den Ausführungen ihres Vaters im Rahmen der mündlichen Verhandlung keinerlei Kenntnis von den Vorgängen um den Verlust ihrer Daten hat. Der Vortrag in den klägerischen Schriftsätzen, wonach „belastende Ungewissheit“ über die unbefugte Veröffentlichung oder Ängste und Sorgen bestünde, erweist sich daher mangels Kenntnis der Klägerin von den Vorgängen als völlig unsubstantiiert.

Wenn und soweit ausgeführt wird, dass die Klägerin Sorge habe, dass ihre Bankdaten gehackt würden, so gilt es zu beachten, dass nicht ihr Konto betroffen war, sondern das ihrer Mutter. Insoweit fragt sich, warum die Klägerin sodann – abgesehen von der fehlenden Kenntnis – Ängste haben will, wenn nicht einmal ihr Konto selbst betroffen ist. Im Übrigen bestehen keinerlei Anhaltspunkte dafür, dass die Daten im Darknet oder sonst missbräuchlich verwendet würden, zumal der Hackerangriff darauf abzielte, die betroffenen Unternehmen zu erpressen.

Fazit

Die Entscheidung reiht sich in eine gefestigte Linie der MOVEit-Verfahren ein und schärft zwei für die Praxis zentrale Botschaften. Erstens widerlegt ein erfolgreicher Cyberangriff nicht automatisch die Angemessenheit der Schutzvorkehrungen; wer marktführende, zertifizierte Software einsetzt und sie unverzüglich patcht, kann sich nach Art. 82 Abs. 3 DSGVO entlasten. Zweitens verlangt der immaterielle Schaden mehr als die formelhafte Beschwörung diffuser Ängste. Insoweit gefordert ist ein konkret nachgewiesenes Empfinden, das bei einem nichts ahnenden Kleinkind ersichtlich fehlt. Für betroffene Verantwortliche bedeutet das Rückenwind, für Anspruchsteller die Mahnung, dass der Verweis auf ein abstraktes Restrisiko vor Gericht nicht trägt.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• MOVEit-Datenleck und DSGVO-Haftung im Sozialrecht – 22. Juni 2026
• Mauer, Hecke, Fenster: Wo der versuchte Einbruch tatsächlich beginnt – 22. Juni 2026
• Verbotene Wörter im Schadcode: Wie Angreifer KI-Analysen aushebeln – 21. Juni 2026