Wer Opfer eines Hackerangriffs wird, sieht sich schnell selbst auf der Anklagebank: Geschädigte verlangen Schmerzensgeld, und der naheliegende Gedanke lautet, dass schon der erfolgreiche Angriff den Beweis für lückenhafte Sicherheit liefere. Genau dieser Schluss ist falsch – das Sozialgericht Nürnberg hat ihn mit Endurteil vom 10.06.2026 (Az. S 5 SF 65/24 DS) im Zusammenhang mit dem weltweiten MOVEit-Datenleck zurückgewiesen und die Klage einer Versicherten gegen ihre Krankenkasse und deren Auftragsverarbeiter vollständig abgewiesen.
(mehr …)Schlagwort: Datenleck
Datenlecks – Risiken und rechtliche Konsequenzen für Unternehmen: Datenlecks sind in der digitalen Welt allgegenwärtig und stellen für Unternehmen ein erhebliches Risiko dar. Der Verlust sensibler Daten kann nicht nur das Vertrauen von Kunden zerstören, sondern auch rechtliche Konsequenzen nach sich ziehen. Besonders im Hinblick auf die DSGVO drohen empfindliche Strafen bei unzureichendem Schutz personenbezogener Daten. Bei uns erfahren Sie, welche rechtlichen Pflichten Unternehmen beim Schutz von Daten haben und wie Sie sich effektiv vor Datenlecks schützen können. Wir beraten Unternehmen juristisch in der Krise nach einem Sicherheitsvorfall, speziell wenn das eigene Unternehmen gehackt wurde!
Cyberangriff auf Unternehmen
Was in den ersten Stunden nach einem Cyberangriff über Schaden und Haftung entscheidet
Am Stuttgarter Staatstheater stand Anfang 2026 plötzlich ein Mann am Telefon, den niemand bestellt hatte: ein Verhandler, der zwischen einem öffentlichen Kulturbetrieb und einer Erpressergruppe vermitteln sollte. Die ZEIT hat den Fall im Januar nachgezeichnet – verschlüsselte Systeme, eine Lösegeldforderung in Kryptowährung, ein Prozess vor dem Landgericht, und am Ende die nüchterne Erkenntnis, dass die Täter sich verhalten wie scheue Wildtiere, die beim kleinsten Fehler verschwinden. Was sich liest wie ein Krimi, ist für die deutsche Wirtschaft längst Alltag. Und es trifft nicht mehr nur die Konzerne, sondern mit voller Wucht den Mittelstand.
Der Bitkom beziffert den jährlichen Schaden durch Datendiebstahl, Spionage und Sabotage für 2025 auf 289,2 Milliarden Euro, davon über 200 Milliarden allein durch Cyberattacken. 87 Prozent der Unternehmen waren betroffen. Das Bundesamt für Sicherheit in der Informationstechnik registrierte zuletzt täglich 119 neue Schwachstellen – ein Zuwachs von fast einem Viertel binnen eines Jahres. Wer in dieser Lage glaubt, ein gut gemeinter Notfallplan im Aktenordner reiche aus, hat die eigentliche Dynamik eines Angriffs nicht verstanden.
Ich selbst habe umfangreich fachlich zu dem Thema publiziert: zur Haftung der Geschäftsleitung, Haftungsverteilung im Schadensfall beim CEO-Fraud, dem Recht der Cyberversicherungen – aber auch zu Erscheinungsformen modernen Cybercrimes.
(mehr …)
Cyberfähigkeiten von Israel und Iran
Die Cyberfähigkeiten Israels und Irans haben sich über zwei Jahrzehnte in einer Art stillen Rüstungswettlauf entwickelt. Beide Staaten betrachten den digitalen Raum längst nicht mehr nur als Nebenbühne militärischer oder politischer Auseinandersetzungen, sondern als eigenständiges Operationsfeld mit unmittelbarem Einfluss auf nationale Sicherheit, wirtschaftliche Stabilität und geopolitische Handlungsfreiheit. Dabei spiegelt der Cyberkonflikt zentrale Merkmale ihrer Rivalität wider: hohe wechselseitige Bedrohungswahrnehmung, asymmetrische Taktiken und eine bewusste Nutzung von Ambiguität und Deniability.
Hinweis: In meiner fachlichen Publikation „Cyberwar, Hackbacks und Desinformation – Juristische und technische Implikationen unklarer Begriffe“, erschienen bei Juris im AnwZert ITR 3/2025, gehe ich aus juristischer Sicht den Fragen rund um Cyberwar auf den Grund. Der Beitrag wurde zuletzt im März 2026 aktualisiert.
(mehr …)
Databroker Files & ADINT: Smartphones als frei verfügbares Spionagewerkzeug
Aktuelle Enthüllungen, die französische, deutsche und internationale Journalisten im Dezember 2025 unter dem Titel Databroker Files veröffentlicht haben, zeigen ein Sicherheitsproblem von historischer Dimension: Sie belegen in krasser Form, wie Werbe- und Standortdaten, eigentlich für „personalisiertes Marketing“ erhoben, eingesetzt werden könnten, um Geheimdienstmitarbeiter, Militärangehörige und selbst das unmittelbare Umfeld von Präsident Emmanuel Macron bis an die private Haustür zu verfolgen.
Es geht nicht mehr nur um die Gefährdung der Privatsphäre Einzelner, sondern um die nationale und europäische Sicherheit insgesamt. Speziell durch ADINT. werden immer mehr Überwachungen möglich. und fernab der Öffentlichkeit hat sich hier ein für Geheimdienste und Ermittler. lohnendes Grenzgebiet Überwachungsmarktplatz gebildet. etabliert. Darin kann man auch ein Musterbeispiel für den Irrtum über die vermeintlich „langweiligen Daten“ des Einzelnen erkennen. Der Beitrag wurde im Februar 2026 nochmals aktualisiert.
(mehr …)
Zulässigkeit behördlicher Warnungen vor Software
Die Veröffentlichung behördlicher Sicherheitsbewertungen kann für Softwareanbieter existenzbedrohend sein – damit stellt sich die Frage der rechtlichen Zulässigkeit von behördlichen Warnungen vor Softwareprodukten. Doch auch wenn es ein kitisches Gebiet ist: nicht jede Warnung rechtfertigt einen vorbeugenden gerichtlichen Eingriff – das zeigt ein aktueller Beschluss des Verwaltungsgerichts Köln (1 L 3105/25) vom 2. Dezember 2025, den ich auch hier auf LinkedIn thematisiere.
Das Verwaltungsgericht entschied, dass ein Softwarehersteller nicht ohne Weiteres die Unterlassung einer geplanten behördlichen Produktbewertung verlangen kann, auch wenn diese negative Auswirkungen auf den Markt haben könnte. Der Fall wirft mal wieder grundsätzliche Fragen zum Thema auf: Wann ist vorbeugender Rechtsschutz gegen staatliches Informationshandeln zulässig? Und wo liegen die Grenzen zwischen legitimer Verbraucheraufklärung und unzumutbaren wirtschaftlichen Nachteilen für Unternehmen?
Bitte beachten Sie: In der hier noch zu berücksichtigenden alten Rechtslage waren behördliche Warnungen dieser Art im Kern in §7 BSIG (aF) – seit Dezember 2025, mit der Umsetzung der NIS2-Richtlinie, hat der Gesetzgeber dies ausdrücklich in § 13 BSIG normiert, wobei neu „Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen“ hinzugekommen sind. Daran ist zukünftig eine behördliche Warnung in dem Kontext zu messen. Der Beitrag wurde im Februar 2026 aktualisiert.
(mehr …)
Beachten Sie auch, dass die Entscheidung – unter Bezug auf meine Besprechung – bei „heise online“ aufgegriffen wurde.
Cyber, KI und Lieferketten: Die wichtigsten Geschäftsrisiken 2026 im Überblick
Cybervorfälle bleiben auch 2026 das wichtigste Geschäftsrisiko – doch inzwischen rückt ein weiterer Treiber nach vorne: Künstliche Intelligenz. Während Cyberangriffe ganze Lieferketten lahmlegen können, verschärfen KI-Systeme Haftungsrisiken, Compliance-Druck und Desinformationsgefahren.
Unternehmen müssen ihre Risikostrategie deshalb neu justieren – weg von Einzelrisiken, hin zu einem integrierten Blick auf Cyber, KI, Betriebsunterbrechungen und Klimaauswirkungen. Die Allianz Risk Barometer für die Jahre 2025 und 2026 präsentieren die größten Herausforderungen, denen sich Unternehmen in einem zunehmend komplexen und vernetzten Risikoumfeld gegenübersehen. Hinweis: Der Beitrag aus dem Januar 2025 wurde im Januar 2026 aktualisiert.
(mehr …)
Haftung des CISO
Kann ein Chief Information Security Officer (CISO) haften? Diese Frage bewegt nicht nur die IT-Branche, sondern auch die Unternehmensführung und Versicherer. Die klare Antwort lautet: Ja, ein CISO kann haften, denn „keine Haftung“ gibt es nicht. Doch die Details entscheiden: Welche Aufgaben hat der CISO, wie ist seine Position im Unternehmen eingebunden, und welche Risiken trägt er tatsächlich?
Zentraler Anknüpfungspunkt ist die organisatorische Eingliederung des CISO. Wird der CISO als interner Angestellter beschäftigt, liegt die Haftung in der Regel im Rahmen seiner arbeitsvertraglichen Pflichten. Er ist angehalten, im Sinne eines „sorgfältigen Geschäftsmannes“ zu handeln, ähnlich wie es für CIOs und andere IT-Leitungspositionen gilt. Für externe CISOs, die als Berater tätig sind, gelten hingegen klare vertragliche Vereinbarungen, die ihre Verantwortlichkeiten und Haftungsgrenzen definieren. Ihre Haftung kann strenger sein, da sie oft als „Experten“ für spezifische Sicherheitsbereiche auftreten. Fehler oder Unterlassungen könnten hier direkt zu Schadensersatzansprüchen führen. Hinweis: Den Beitrag habe ich im Januar 2026 aktualisiert.
(mehr …)
DSGVO und Auftragsverarbeitung: BGH zur Haftung bei Datenlecks nach Vertragsende
Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten – doch was passiert, wenn ein Auftragsverarbeiter die Daten nach Vertragsende nicht wie vereinbart löscht? Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 11. November 2025 (VI ZR 396/24) klargestellt, dass Verantwortliche auch nach Beendigung einer Auftragsverarbeitung sicherstellen müssen, dass keine personenbezogenen Daten beim Dienstleister verbleiben. Andernfalls drohen Schadensersatzansprüche, selbst wenn die Daten bereits zuvor kompromittiert wurden. Man sieht hier die strengen Pflichten von Unternehmen, die externe Dienstleister mit der Datenverarbeitung beauftragen, und setzt ein deutliches Signal für die Praxis.
(mehr …)
Auftragsverarbeitung: Datenschutz nach Auftragsende
Die Datenschutz-Grundverordnung (DSGVO) stellt Verantwortliche und Auftragsverarbeiter vor strenge Anforderungen – nicht nur während der Datenverarbeitung, sondern auch bei deren Beendigung. Mit seinem Urteil vom 11. November 2025 (VI ZR 396/24) hat der Bundesgerichtshof klargestellt, dass die Pflichten zur Löschung oder Rückgabe personenbezogener Daten nach Ende eines Auftragsverarbeitungsverhältnisses keine Formalie sind. Wer hier nachlässig agiert, haftet für die Folgen – selbst wenn die Daten bereits zuvor kompromittiert wurden. Die Entscheidung unterstreicht, dass der Kontrollverlust über persönliche Daten allein bereits einen ersatzfähigen immateriellen Schaden begründet und dass Verantwortliche aktiv sicherstellen müssen, dass ihre Auftragsverarbeiter die Daten tatsächlich und vollständig löschen.
(mehr …)
Schadensersatz nach Art. 82 DSGVO
Das Landgericht Darmstadt hat mit Urteil vom 10. Februar 2025 (Az. 10 O 109/23) klargestellt, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO nicht bereits durch den bloßen Verstoß gegen datenschutzrechtliche Vorschriften entsteht. Vielmehr bedarf es eines substantiierten Vortrags zu einem konkreten, kausal auf den Verstoß zurückzuführenden Schaden – sei er materiell oder immateriell. Die Entscheidung unterstreicht die Grenzen pauschaler Behauptungen und zeigt auf, wann die Geltendmachung von Ansprüchen sogar als rechtsmissbräuchlich einzustufen sein kann.
(mehr …)
Cybersecurity in der Software-Lieferkette
Die jüngsten Angriffe auf die JavaScript-Bibliotheksplattform npm zeigen auf dramatische Weise, wie verwundbar moderne Software-Lieferketten sind. Ein selbstvermehrender Wurm namens Shai-Hulud hat Hunderte von Code-Paketen infiziert, Zugangsdaten gestohlen und diese öffentlich zugänglich gemacht. Für Unternehmen und ihre Führungskräfte wirft dies nicht nur technische, sondern auch erhebliche rechtliche und haftungsrelevante Fragen auf. Was ist passiert, welche Risiken bestehen für Unternehmen, und wie können sich Verantwortliche absichern?
(mehr …)
DSGVO: Kontrollverlust über personenbezogene Daten – EUGH zum immateriellen Schaden
Datenschutz als Grundrecht und seine praktischen Herausforderungen: Der Schutz personenbezogener Daten ist ein zentrales Grundrecht in der Europäischen Union, verankert in Artikel 8 der Charta der Grundrechte. Die Datenschutz-Grundverordnung (DSGVO) konkretisiert dieses Recht und schafft einheitliche Standards für die Verarbeitung personenbezogener Daten. Doch was passiert, wenn dieses Recht verletzt wird? Welche Ansprüche haben Betroffene, wenn sie die Kontrolle über ihre Daten verlieren – sei es durch unbefugte Weitergabe, Datenlecks oder andere Verstöße?
Mit diesen Fragen setzte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 4. September 2025 (C-655/23) auseinander. Der Fall betraf eine Bewerberin, deren vertrauliche Gehaltsverhandlungen durch einen Fehler einer Bank an einen Dritten weitergeleitet wurden. Die Entscheidung des EuGH klärt nicht nur die Voraussetzungen für Unterlassungsansprüche, sondern vor allem, wann ein immaterieller Schaden vorliegt und wie dieser zu entschädigen ist. Besonders relevant ist die Frage, ob bereits der Verlust der Kontrolle über die eigenen Daten einen ersatzfähigen Schaden darstellt – eine Thematik, die weit über den konkreten Fall hinausgeht und die Praxis des Datenschutzrechts prägen wird.
(mehr …)
Designprinzipien für LLM-basierte Systeme des BSI
Ein aktuelles BSI-Whitepaper zu Designprinzipien für LLM-basierte Systeme mit „Zero Trust“-Ansatz enthält zentrale Empfehlungen zur sicheren Implementierung von KI-Systemen in Unternehmen und Behörden. Die Vorgaben reichen von der Authentifizierung und dem Input-/Output-Schutz bis hin zum Monitoring und Hintergrundwissen für die Awareness.
Doch Vorsicht, diese Empfehlungen sind mehr als reine IT-Empfehlungen: Sie berühren unmittelbar haftungsrechtliche Fragen und betreffen die konkrete Umsetzung datenschutzrechtlicher Vorgaben gemäß Art. 25 DSGVO („Privacy by Design“ und „Privacy by Default“).
(mehr …)
Massenüberwachung in China: Hongkong baut Kameraüberwachung samt „Sharp Eyes“-Projekt aus
In den letzten Jahren hat die chinesische Regierung ihre Bemühungen zur Massenüberwachung erheblich intensiviert. Ein zentrales Element dieser Überwachungsstrategie ist das „Sharp Eyes“-Projekt, das darauf abzielt, Überwachungskameras und Daten in eine leicht zugängliche und analysierbare Form zu integrieren. Nun wird berichtet, dass die Hong Kong Police (HKP) plant, das CCTV-Netzwerk der Stadt in das „Sharp Eyes“-Projekt zu integrieren, was eine erhebliche Ausweitung der Überwachung in der Sonderverwaltungsregion bedeutet. Der dystopische Blick in die chinesische Zukunft sollte auch hierzulande zum Nachdenken anregen, über das, was technisch möglich ist – und was man sich als kritischer Bürger wirklich wünscht.
(mehr …)
Kein Schadensersatz wegen Scraping bei vorheriger Veröffentlichung der Telefonnummer
Datenschutzrechtliche Streitigkeiten um Scraping-Vorfälle beschäftigen zunehmend die Zivilgerichte. Mit Urteil vom 14. März 2025 (Az. 16 U 184/23) hat das Oberlandesgericht Düsseldorf einen Anspruch auf Schadensersatz nach Art. 82 DSGVO abgelehnt, obwohl der betroffene Kläger Opfer eines Datenlecks durch Scraping wurde. Maßgeblich war nach Auffassung des Gerichts, dass die betreffende Mobilfunknummer bereits zuvor im Internet veröffentlicht worden war – ein Umstand, der einen Kontrollverlust im datenschutzrechtlichen Sinne ausschließt. Die Entscheidung überzeugt durch eine differenzierte Anwendung datenschutz- und zivilrechtlicher Maßstäbe, gibt aber auch Anlass zur kritischen Diskussion.
(mehr …)