Cyberangriff
und Haftung nach
DSGVO.
Cyberangriff
und Haftung nach
DSGVO.
von
Zero-Day-Exploits gelten als nahezu unabwehrbar. Muss ein Unternehmen trotzdem für gestohlene Kundendaten haften? Genügt der Einsatz zertifizierter, marktüblicher Software wirklich aus?
Cyberangriff bei Versicherung
Ein Versicherungsunternehmen betreute Riesterkunden. Eine IT-Dienstleisterin verwaltete die Kundendaten als Auftragsverarbeiterin. Im Mai 2023 gelang Hackern über einen Zero-Day-Exploit in die Systeme. Sie erbeuteten Name, Adresse, Geburtsdatum, Steuer-ID und Sozialversicherungsnummern einer Kundin. Diese forderte Schadensersatz.
Was ist ein Zero-Day-Exploit?
Ein Zero-Day-Exploit ist ein Angriff, der eine Sicherheitslücke ausnutzt, die dem betroffenen Softwarehersteller zum Zeitpunkt des Angriffs noch nicht bekannt ist. Der Begriff „Zero-Day” bezieht sich darauf, dass dem Hersteller null Tage zur Verfügung standen, um auf die Schwachstelle zu reagieren – ein Patch existiert schlicht noch nicht. Angreifer, die eine solche Lücke entdecken, haben gegenüber dem Anbieter einen entscheidenden Zeitvorsprung.
In diesem Fall nutzten Kriminelle genau diese Konstellation: Über die bis dahin unbekannte Schwachstelle verschafften sie sich Zugang zur Software des Anbieters und installierten eine Web-Shell, die ihnen dauerhaften Fernzugriff ermöglichte. Eine Sicherheitsaktualisierung hätte die Lücke schließen können, doch zum Zeitpunkt des Angriffs stand sie noch nicht zur Verfügung.
Entscheidung des Landgerichts zur Haftung
Das Landgericht Krefeld wies die Klage mit Urteil vom 06.11.2025 – Az. 3 O 93/24 ab. Eine schuldhafte Verletzung der datenschutzrechtlichen Pflichten, insbesondere der Sicherheits- und Organisationspflichten sowie der Verantwortlichkeitsobliegenheiten, konnte das Gericht nicht feststellen.
Der Einsatz einer Softwarelösung, die zum Zeitpunkt des Angriffs als State of the Art galt, zertifiziert war und von Marktführern verwendet wurde, erfüllt diese Anforderungen. Ein Unternehmen, das auf bewährte und weit verbreitete Systeme setzt, trifft keine besondere Vorwerfbarkeit.
Die Beklagten sind lediglich dazu verpflichtet, geeignete Maßnahmen zu treffen, die darauf gerichtet sich, eine Datenschutzverletzung so weit wie möglich zu verhindern. Dies ist nicht gleichbedeutend mit sämtlichen, den Stand der Technik erschöpfenden Maßnahmen.
Die Richter wiesen auch das Argument zurück, dass frühere Sicherheitsmeldungen zu dieser Software ein besonderes Haftungsrisiko angedeutet hätten. Solche Meldungen allein genügen nicht, um dem Unternehmen Fahrlässigkeit zuzurechnen oder es zur Suche nach Alternativen zu zwingen.
Praxisbezug und Bewertung
Dieses Urteil ist für jedes Unternehmen relevant, das externe Dienstleister oder Standardsoftware einsetzt. Wer Zahlungsverkehrssysteme, Datenverwaltungslösungen oder Kundendatenbanken nutzt, muss nicht jede erdenkliche Alternative prüfen. Es genügt, Lösungen zu wählen, die dem Stand der Technik entsprechen.
Gleichzeitig stellt das Urteil keinen Freibrief dar. Das Gericht betonte, dass Unternehmen ihre Sicherheitspflichten weiterhin nicht vernachlässigen dürfen. Sie müssen Backups vorhalten, Zugangskontrollen implementieren, Patches zeitnah einspielen und Mitarbeiter schulen. Das Sicherheitsniveau muss dem jeweiligen Schutzbedarf entsprechen.
Fazit
Das Landgericht Krefeld gibt Unternehmen einen wichtigen Orientierungspunkt. Datenschutzhaftung ist kein Absolutismus. Die Anforderungen der DSGVO werden durch eine bewusste, fachgerechte Auswahl bewährter Lösungen, regelmäßige Sicherheitsupdates und angemessene technische sowie organisatorische Maßnahmen erfüllt.
Wer so handelt, verstößt nicht gegen die Datenschutzvorschriften, selbst wenn Kriminelle unbekannte Schwachstellen ausnutzen. Die DSGVO fordert keine Perfektion, sondern eine verantwortungsvolle Risikoverwaltung.
Wir beraten
Sie gerne zum
Datenschutzrecht!
