Mit Urteil vom 6. November 2025 (3 O 93/24) hat die 3. Zivilkammer des Landgerichts Krefeld die auf Art. 82 DSGVO gestützte Klage einer Riester-Kundin gegen ihre Versicherungsgesellschaft und deren Auftragsverarbeiterin vollständig abgewiesen, nachdem über die Managed-File-Transfer-Software „G.“ ein erfolgreicher Hackerangriff geführt worden war. Die Entscheidung reiht sich ein in eine wachsende obergerichtliche Linie, die den Anspruch auf immateriellen Schadensersatz nach DSGVO-Vorfällen an die substantiierte Darlegung eines konkreten, über den reinen Kontrollverlust hinausgehenden Schadens bindet – und zieht zugleich klare Grenzen der Zumutbarkeit technischer Schutzmaßnahmen bei unvorhergesehenen Zero-Day-Exploits.
Sachverhalt
Die Klägerin unterhielt bei der Beklagten zu 1) einen fortbestehenden Riestervertrag; die Beklagte zu 2) verarbeitete die hierfür anfallenden Daten als Auftragsverarbeiterin und nutzte dafür die Managed-File-Transfer-Software „G.“ des Herstellers I. Am Morgen des 31. Mai 2023 wurde die Beklagte zu 2) Ziel eines Hackerangriffs, der über das Hochladen einer sogenannten „Web-Shell“ gelang und einen zum damaligen Zeitpunkt dem Softwarehersteller unbekannten Zero-Day-Exploit ausnutzte. Abgeflossen sind jedenfalls Vor- und Zuname, Adresse, Geburtsdatum, Geburtsort und Geburtsname, Steueridentifikationsnummer, Sozialversicherungsnummer sowie in Einzelfällen Angaben zum tatsächlichen Entgelt. Der Hersteller stellte bereits am 2. Juni 2023 einen Sicherheitspatch bereit, mit dem das infiltrierte System gesichert werden konnte; weltweit waren etwa 2.500 Unternehmen und Institutionen dem Angriff ausgesetzt.
Die Klägerin verlangte – nach Teilrücknahme und Klageerweiterung auf die Auftragsverarbeiterin – gesamtschuldnerisch immateriellen Schadensersatz in Höhe von mindestens 1.000 Euro, die Feststellung einer Ersatzpflicht für künftige materielle Schäden sowie Freistellung von außergerichtlichen Anwaltskosten. Sie stützte ihre Forderung auf Sorgen, Ängste, ein erhöhtes Missbrauchsrisiko sowie den Empfang unerwünschter Anrufe, SMS und Spam-E-Mails seit dem Vorfall. Die Kammer weist die Klage ab und setzt den Streitwert auf 10.000 Euro fest.
Haftungsarchitektur nach Art. 82 DSGVO
Die Kammer skizziert zunächst die gesamtschuldnerische Haftungsstruktur des Art. 82 Abs. 4 DSGVO: Sowohl der Verantwortliche nach Art. 4 Nr. 7 DSGVO als auch der Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO stehen im Außenverhältnis des Geschädigten gemeinsam in der Haftung. Das Nichtwissen-Bestreiten der Klägerin hinsichtlich eines wirksamen Auftragsverarbeitungsvertrags wird als widersprüchlich und deshalb nach § 138 Abs. 4 ZPO unbeachtlich verworfen, weil die Klägerin selbst vorgetragen hatte, dass die Beklagte zu 2) als Dienstleisterin der Beklagten zu 1) tätig werde. Prozessual beachtlich: Die Kammer verlangt auch bei formalen Einreden ein konsistentes Parteivorbringen; strategisches Bestreiten zentraler Tatsachen im Widerspruch zum eigenen Klagevortrag scheitert bereits am Grundsatz der Wahrheitspflicht nach § 138 Abs. 1 ZPO.
Risikobasiertes Maßnahmenkonzept der Art. 5, 24, 32 DSGVO
Den Kern der Entscheidung bildet die Auslegung der Sicherheitsverpflichtungen aus Art. 5 Abs. 1 lit. f), 24 und 32 DSGVO. Die Kammer rezipiert die Leitentscheidung des EuGH vom 14. Dezember 2023 (C-340/21) in drei Richtungen: Erstens verlangt die DSGVO die Einführung eines Risikomanagementsystems, nicht aber die Beseitigung jedes Risikos einer Datenschutzverletzung. Zweitens sind die Verantwortlichen nur verpflichtet, Maßnahmen zu treffen, die „jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern“ geeignet sind, wobei ihnen ein gewisser Entscheidungsspielraum zusteht. Drittens ist die Beweislast für die Angemessenheit der Sicherheitsmaßnahmen zwar dem Verantwortlichen zugewiesen; ein erfolgreicher Angriff indiziert jedoch nicht die Unzulänglichkeit der getroffenen TOMs.
Diese Entkopplung zwischen Erfolg des Angriffs und Qualität der Schutzmaßnahmen ist das praxisentscheidende Element. Die Kammer zitiert OLG Stuttgart (BeckRS 2021, 6282) und betont, dass ein Umkehrschluss vom geglückten Hackerangriff auf unzureichende TOMs verfehlt ist. Wer als Kläger auf bloße Hypothesen zusätzlicher technischer Maßnahmen verweist, ohne konkrete Anhaltspunkte für die Fehleranfälligkeit der eingesetzten Software zur Zeit des Vorfalls darzulegen, genügt seiner Substantiierungslast nicht. Die Ausführungen der Klägerin zu einem öffentlichen Beitrag und zu Einträgen in einer CVE-Fehlerdatenbank waren nach Auffassung der Kammer nicht geeignet, eine vor dem Angriff bestehende Kenntnis oder Erkennbarkeit der Fehleranfälligkeit der Software „G.“ zu belegen; im Gegenteil sprechen die CVE-Einträge gerade für eine regelmäßige sicherheitstechnische Weiterentwicklung durch den Hersteller.
Zur Entlastung der Beklagten trägt ferner das quantitative Argument bei: Etwa 2.500 Unternehmen und Institutionen weltweit waren dem Zero-Day-Exploit ausgesetzt – ein Indiz dafür, dass die Sicherheitslücke auch bei sorgfältiger Anbieterwahl und üblicher Kontrollpraxis nicht hätte antizipiert werden können. Im Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter bekräftigt die Kammer, dass dem Verantwortlichen ohne konkrete Zweifel an der Eignung seines Auftragsverarbeiters keine verstärkte Kontrollpflicht zugemutet wird; das Vertrauen auf die Datenschutzkonformität einer marktführenden Anwendung ist grundsätzlich zulässig.
Die Grenzziehung ist anspruchsvoll und praxisnah: Die DSGVO verlangt keine Pflicht zur Implementierung aller theoretisch denkbaren Schutzmaßnahmen; der Maßstab ist die „übliche Sorgfalt“, nicht die technische Perfektion. Das entspricht dem wirtschaftlichen und technischen Realismus, den der EuGH in C-340/21 vorgegeben hat und den die Kammer konsequent in die zivilrechtliche Beweislastverteilung überträgt.
Immaterieller Schaden: substantielle Darlegung statt Kontrollverlust-Automatismus
Die zweite Linie der Entscheidung betrifft die Voraussetzungen eines ersatzfähigen immateriellen Schadens nach Art. 82 Abs. 1, 2 DSGVO. Die Kammer folgt der Rechtsprechungslinie, wonach der bloße, mit jedem Datenmissbrauch einhergehende Kontrollverlust noch keinen ersatzfähigen Schaden begründet; erforderlich ist ein konkreter, tatsächlicher und darüberhinausgehender Schaden. Sorgen, Ängste und das Gefühl eines Kontrollverlustes sind als innere Vorgänge substantiiert darzulegen und durch objektive Beweiszeichen zu plausibilisieren (LG Mainz GRUR-RS 2024, 42662; OLG Hamm GRUR 2023, 1791).
Besonders aufschlussreich ist die Behandlung der typischen „Spam-Argumentation“. Die Klägerin hatte vorgetragen, seit dem Vorfall vermehrt unerwünschte Anrufe, SMS und Spam-E-Mails erhalten zu haben. Die Kammer hält diesen Vortrag aus zwei Gründen für unschlüssig: Zum einen sei eine Betroffenheit der Datentypen Telefonnummer und E-Mail-Adresse nicht hinreichend dargelegt, zum anderen entspreche es der allgemeinen Lebenswirklichkeit, dass man auch anlasslos und unregelmäßig von Spam- und Cold-Call-Versuchen betroffen sei. Als objektives Beweiszeichen wäre zum Beispiel der Wechsel der Telefonnummer, E-Mail-Adresse oder Bankverbindung anzusehen gewesen; solche Reaktionen hatte die Klägerin gerade nicht vorgetragen. Damit reflektiert die Kammer die Erkenntnis, dass in einer Welt, in der Spam strukturell verbreitet ist, die Kausalitätszurechnung zu einem konkreten Datenabfluss hohe Substantiierungsanforderungen erfordert.
Diese Linie ist dogmatisch tragfähig: Der Schadensersatzanspruch des Art. 82 DSGVO ist nach der Rechtsprechung des EuGH zwar nicht an eine Erheblichkeitsschwelle gebunden, verlangt aber einen nachvollziehbar behaupteten, über allgemeine Ängste hinausgehenden Schaden samt Kausalitätsnachweis. Die Kammer beruft sich konsequent auf die entsprechenden obergerichtlichen Leitentscheidungen und bestätigt damit die inzwischen feste Linie deutscher Instanzgerichte: Pauschale Beschreibungen negativer Empfindungen reichen nicht, und die Bestreitens-fähige Behauptung eines „digitalen Unbehagens“ ist keine taugliche Schadensgrundlage.
Unbestimmtheit und fehlendes Feststellungsinteresse
Die zweite Abwehrlinie der Kammer betrifft die Zulässigkeit des Feststellungsantrags nach § 256 ZPO. Der begehrte Feststellungsausspruch – auf Ersatzpflicht für künftige materielle Schäden aus einem „unbefugten Zugriff Dritter“ – scheitert bereits an der Unbestimmtheit im Sinne des § 253 Abs. 2 Nr. 2 ZPO. Weder der Begriff des „unbefugten Zugriffs“ noch derjenige einer „geeigneten Datentransfer Software“ sind hinreichend konkretisiert; zudem verbietet das risikobasierte Konzept der DSGVO eine Auslegung, die in Richtung einer absoluten Verhinderungspflicht reicht. Die Kammer bezieht sich auf das BGH-Urteil vom 18. November 2024 (VI ZR 10/24) zur Auslegung des Begriffs „unbefugter Dritter“ und macht deutlich, dass Feststellungsanträge nach Datenschutzvorfällen nicht einfach die Gesetzespflichten der Gegenseite abbilden dürfen, sondern eine konkret bezeichnete Handlung betreffen müssen.
Ergänzend fehlt das Feststellungsinteresse, weil die Wahrscheinlichkeit künftiger materieller Schäden nach verständiger Würdigung nicht mehr über eine bloß theoretische Befürchtung hinausgeht: Die Sicherheitslücke wurde durch das Herstellerupdate am 2. Juni 2023 geschlossen, und seit dem fast zweieinhalbjährigen Zurückliegen des Vorfalls hat die Klägerin keine materiellen Schäden erlitten. Dabei verringert sich die Wahrscheinlichkeit künftiger Schäden stetig mit fortschreitendem Zeitablauf (OLG Köln GRUR-RS 2023, 36757). Der eigene Vortrag der Klägerin, zum jetzigen Zeitpunkt nicht absehen zu können, welche Folgen sich aus den entwendeten Daten ergeben werden, spricht zusätzlich gegen eine Konkretisierungswahrscheinlichkeit; gleiches gilt für das Unterlassen typischer Schutzvorkehrungen wie eines Rufnummern-, E-Mail- oder Bankverbindungswechsels, was gegen die Annahme spricht, dass die Klägerin selbst mit künftigen Vermögensschäden rechnet.
Diese Prüfung liefert einen praxisrelevanten Merkposten: Der Feststellungsantrag in DSGVO-Klagen ist kein Selbstläufer; er setzt eine konkrete, zeitabhängige Wahrscheinlichkeitsprognose voraus, die mit zunehmendem Abstand zum Vorfall und Ausbleiben materieller Folgen immer schwieriger zu tragen ist.
Systematische Einordnung
Das Urteil reiht sich konsequent in die inzwischen gefestigte Linie deutscher Instanzgerichte zur Behandlung von DSGVO-Klagen nach Cyberangriffen ein. Drei Grundmuster zeichnen sich ab und werden vom Landgericht Krefeld präzise nachgezeichnet: Erstens wird die Pflichtverletzungsprüfung an den risikobasierten Maßstab des EuGH gebunden, was zu einer substantiellen Entlastung sorgfältig agierender Verantwortlicher und Auftragsverarbeiter bei unvorhergesehenen Zero-Day-Exploits führt. Zweitens werden an den immateriellen Schaden Substantiierungsanforderungen gestellt, die es verhindern, dass jeder Datenabfluss automatisch zu einem monetären Anspruch führt. Drittens wird der Feststellungsantrag durch die Kombination aus Bestimmtheits- und Feststellungsinteressens-Prüfung effektiv eingehegt und auf Fälle mit konkret absehbaren, fortwirkenden Gefährdungslagen beschränkt.
Für die anwaltliche Beratung ergibt sich daraus eine klare Aufgabenstellung. Auf Klägerseite verschiebt sich der strategische Schwerpunkt von der bloßen Betonung des Datenabflusses hin zur konkreten Schadensdarlegung: Welche Datentypen sind im Einzelnen betroffen, welche objektiven Beweiszeichen lassen sich für behauptete Ängste oder Nachteile beibringen, welche tatsächlichen Missbrauchsfolgen lassen sich dokumentieren? Für die Vertretung von Verantwortlichen und Auftragsverarbeitern bietet das Urteil eine belastbare Verteidigungslinie: Die schriftliche Dokumentation des Auswahlprozesses der eingesetzten Software, die Einhaltung einschlägiger Zertifizierungen, die Reaktionsgeschwindigkeit beim Patch-Management und die Abgrenzung zu branchenweit unvorhergesehenen Schwachstellen sind die Hauptelemente einer erfolgreichen Exkulpation.
Fazit
Die Entscheidung greift die bisherige Rechtsprechung zum DSGVO-Schadensersatz bei Cyberangriffen sinnvoll auf und bestätigt eine Linie, in der nicht der Erfolg des Angriffs, sondern die Angemessenheit der vorab getroffenen Schutzmaßnahmen den Haftungsmaßstab bildet. Das risikobasierte Konzept der Art. 24 und 32 DSGVO wird damit zur entscheidenden Filterstufe: Wer eine zum Zeitpunkt der Entscheidung marktführende, zertifizierte Software einsetzt und auf einen Zero-Day-Exploit mit üblicher Sorgfalt reagiert, haftet nicht bereits deshalb, weil die Sicherheitslücke schließlich ausgenutzt wurde.
Zugleich diszipliniert die Entscheidung eine aktuelle Praxis, die zunehmend versucht, Massenverfahren auf unsubstantiierte Ängste, Kontrollverlust-Behauptungen und hypothetische Missbrauchsszenarien zu stützen. Die Kammer sendet ein deutliches Signal: Der DSGVO-Schadensersatzanspruch ist kein „Sockelbetrag“ bei jedem Datenabfluss, sondern verlangt die Darlegung eines konkreten, kausal zurechenbaren Schadens – gemessen an denselben zivilprozessualen Maßstäben, die auch für andere immaterielle Schäden gelten. Für Unternehmen, IT-Dienstleister und Datenschutzbeauftragte dürfte das Urteil als Gradmesser der Zumutbarkeit technischer Schutzmaßnahmen fungieren, ohne den Schutzzweck der DSGVO zu schmälern; für die instanzgerichtliche Praxis bietet es eine sauber strukturierte Prüfungsgrammatik, die den Weg zwischen effektivem Datenschutz und verhältnismäßiger Haftungsverteilung überzeugend vermisst.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
