Kein DSGVO-Schadensersatz bei Zero-Day-Exploit

Ein erfolgreicher Hackerangriff wirkt auf den ersten Blick häufig wie ein klarer Fall für einen Schadensersatzanspruch nach Art. 82 DSGVO. Gerade dann, wenn sensible personenbezogene Daten abgeflossen sind, liegt der Gedanke nahe, dass das betroffene Unternehmen zwangsläufig etwas falsch gemacht haben muss. Genau an diesem Punkt setzt das Urteil des LG Krefeld, Urt. v. 06.11.2025 - Az.: 3 O 93/24, an.

Das Gericht macht deutlich, dass ein Datenabfluss allein noch kein Beweis für unzureichende Schutzmaßnahmen ist. Wer DSGVO-Schadensersatz verlangt, muss nicht nur auf den eingetretenen Vorfall verweisen. Entscheidend ist vielmehr, ob dem Verantwortlichen oder dem Auftragsverarbeiter ein zurechenbarer Verstoß gegen datenschutzrechtliche Pflichten vorgeworfen werden kann. Daran fehlte es nach Auffassung des LG Krefeld im konkreten Fall.

Die Entscheidung ist für die Praxis hochrelevant. Sie betrifft nicht nur die Frage, wann ein Unternehmen nach einem Cyberangriff haftet. Sie zeigt auch, wie Gerichte mit Zero-Day-Exploits, also mit zuvor unbekannten Sicherheitslücken, umgehen. Gerade in solchen Konstellationen stellt sich die zentrale Frage, ob Datenschutzrecht einen nahezu lückenlosen Schutz verlangt oder ob ein Unternehmen sich entlasten kann, wenn es ein angemessenes Sicherheitsniveau nachweisen kann.

Für Unternehmen ist das Urteil ein wichtiges Signal, weil es die Grenze zwischen pflichtgemäßer Datenschutzorganisation und nicht beherrschbarem Restrisiko schärfer konturiert. Für Betroffene zeigt die Entscheidung zugleich, dass ein immaterieller Schadensersatzanspruch sorgfältig begründet und mit konkreten Umständen unterlegt werden muss.

Worum ging es in dem Fall?

Die Klägerin unterhielt bei der Beklagten zu 1) einen Riestervertrag zur privaten Altersvorsorge. Ein technischer Dienstleister, die Beklagte zu 2), verarbeitete für sie Daten. Am 31.05.2023 kam es bei diesem Dienstleister zu einem Hackerangriff. Die Angreifer nutzten eine bis dahin unbekannte Sicherheitslücke in einer verwendeten Datentransfer-Software aus. Es handelte sich also um einen Zero-Day-Exploit.

Von dem Datenabfluss betroffen waren jedenfalls folgende Datentypen:

• Vor- und Nachname
• Adresse
• Geburtsdatum, gegebenenfalls auch Geburtsort und Geburtsname
• Steueridentifikationsnummer
• Sozialversicherungsnummer
• in Einzelfällen Angaben zum tatsächlichen Entgelt

Die Klägerin machte geltend, sie erhalte seit dem Vorfall vermehrt unerwünschte Anrufe und SMS. Außerdem leide sie unter Sorgen und Ängsten, vor allem wegen eines möglichen Identitätsdiebstahls. Sie verlangte mindestens 1.000,00 EUR immateriellen Schadensersatz und wollte darüber hinaus die Feststellung erreichen, dass die Beklagten auch für künftige materielle Schäden haften.

Das LG Krefeld wies die Klage jedoch vollständig ab.

Die Entscheidung des LG Krefeld im Überblick

Die Kernaussage des Gerichts lässt sich präzise zusammenfassen:

Ein erfolgreicher Cyberangriff führt nicht automatisch zu einem Anspruch auf DSGVO-Schadensersatz.

Das Gericht verneinte im konkreten Fall bereits einen schuldhaften Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 24 und Art. 32 DSGVO. Nach Auffassung des LG Krefeld hatten die Beklagten ausreichend dargelegt, dass sie geeignete technische und organisatorische Maßnahmen eingesetzt hatten. Der Umstand, dass der Angriff dennoch erfolgreich war, reichte dem Gericht nicht als Indiz dafür aus, dass diese Maßnahmen unzureichend gewesen sein müssten.

Hinzu kam ein weiterer Punkt, der für die Praxis ebenfalls bedeutsam ist: Selbst wenn man zugunsten der Klägerin einen Verstoß unterstellt hätte, hielt das Gericht den Vortrag zu einem immateriellen Schaden und zur Kausalität dieses Schadens für den Datenschutzvorfall nicht für hinreichend substantiiert.

Das Urteil ruht damit im Ergebnis auf zwei tragenden Erwägungen:

• Kein feststellbarer schuldhafter DSGVO-Verstoß
• Kein hinreichend konkret dargelegter immaterieller Schaden

Bereits die erste Begründung war für die Klageabweisung tragend. Die zweite Begründung verstärkt die Entscheidung zusätzlich.

Warum das Urteil rechtlich so bedeutsam ist

Die Entscheidung des LG Krefeld ist weit mehr als ein Einzelfall zu einem Hackerangriff. Sie verdeutlicht Grundfragen des Datenschutzhaftungsrechts.

DSGVO-Haftung ist keine reine Erfolgshaftung

Das Urteil stellt klar, dass Art. 82 DSGVO nicht so verstanden werden darf, als hafte ein Unternehmen bereits deshalb, weil es zu einem Datenleck gekommen ist. Datenschutzrecht verlangt kein perfektes, absolut unangreifbares System. Gefordert wird ein dem Risiko angemessenes Schutzniveau.

Das ist ein entscheidender Unterschied. Würde man jede erfolgreiche Attacke automatisch als Beweis für mangelhafte Sicherheit ansehen, liefe dies in der Praxis auf eine nahezu verschuldensunabhängige Erfolgshaftung hinaus. Genau das lehnt das LG Krefeld ab.

Geeignete Maßnahmen sind nicht identisch mit maximal denkbaren Maßnahmen

Das Gericht arbeitet sehr sauber heraus, dass die DSGVO geeignete technische und organisatorische Maßnahmen verlangt. Sie verlangt dagegen nicht zwingend sämtliche theoretisch vorstellbaren Schutzmaßnahmen.

Dieser Punkt ist besonders wichtig, weil in Datenschutzprozessen häufig im Nachhinein einzelne zusätzliche Sicherheitsmaßnahmen genannt werden, die man möglicherweise noch hätte umsetzen können. Das Gericht sagt dazu sinngemäß: Aus dem Umstand, dass weitere Maßnahmen denkbar gewesen wären, folgt noch keine Pflicht, genau diese Maßnahmen bereits umgesetzt zu haben.

Die DSGVO kennt keinen Zwang zur Totalabsicherung. Sie verlangt ein risikobasiertes Sicherheitskonzept, kein erschöpfendes Eliminieren jeder Angriffsfläche.

Zero-Day-Exploits sind rechtlich besonders

Ein Zero-Day-Exploit ist gerade dadurch gekennzeichnet, dass die ausgenutzte Sicherheitslücke zuvor nicht bekannt war. Diese Besonderheit ist rechtlich entscheidend. Denn wenn eine Schwachstelle unbekannt ist, kann nicht ohne Weiteres angenommen werden, dass ein Unternehmen sie hätte erkennen und verhindern müssen.

Das LG Krefeld macht daher deutlich, dass die Klägerin konkrete Umstände hätte darlegen müssen, aus denen sich schon vor dem Angriff erkennbare Warnsignale für die Fehleranfälligkeit der eingesetzten Software ergeben hätten. Solche konkreten Anhaltspunkte sah das Gericht nicht.

Vertiefte Analyse der Entscheidungsgründe des LG Krefeld

Gerade in diesem Abschnitt liegt die eigentliche Stärke der Entscheidung. Das LG Krefeld argumentiert differenziert und praxisnah.

Das Gericht prüft Art. 5, Art. 24 und Art. 32 DSGVO als zusammenhängendes Schutzsystem

Das Urteil zeigt sehr deutlich, dass Datenschutzsicherheit nicht isoliert aus einer einzelnen Norm hergeleitet wird. Das Gericht betrachtet vielmehr das Zusammenspiel aus:

• dem Grundsatz der Integrität und Vertraulichkeit
• der Pflicht zur datenschutzkonformen Organisation
• der Verpflichtung zu geeigneten technischen und organisatorischen Maßnahmen

Dieser Ansatz ist dogmatisch überzeugend. Die Frage ist nicht nur, ob irgendwo ein technischer Fehler aufgetreten ist. Entscheidend ist, ob die Datenverarbeitung insgesamt so organisiert war, dass ein angemessenes Schutzniveau bestand.

Die Beklagten hatten ihre Sicherheitsorganisation nachvollziehbar dargelegt

Das Gericht hebt hervor, dass die Beklagten ihre datenschutzrechtlichen Pflichten substantiiert und ausführlich dargestellt hatten. Nach dem Urteil genügte es daher nicht, wenn die Klägerin dem nur pauschal entgegenhielt, die Maßnahmen seien offenbar unzureichend gewesen, weil es ja zum Angriff gekommen sei.

Gerade dieser Punkt ist für Datenschutzverfahren zentral. Unternehmen, die nach einem Vorfall ihre Sicherheitsarchitektur, eingesetzte Software, Zertifizierungen, Zuständigkeiten und Reaktionsabläufe nachvollziehbar darstellen können, verbessern ihre Verteidigungsposition erheblich.

Dokumentation ist in solchen Verfahren oft fast so wichtig wie die Technik selbst.

Der erfolgreiche Angriff war nach Auffassung des Gerichts kein belastbares Indiz für unzureichende TOM

Hier setzt das LG Krefeld einen besonders wichtigen Akzent. Das Gericht weist ausdrücklich die Annahme zurück, aus dem Erfolg des Angriffs lasse sich bereits auf unzureichende technische und organisatorische Maßnahmen schließen.

Das ist inhaltlich überzeugend. Cyberangriffe gelingen nicht nur dort, wo Unternehmen grob nachlässig gehandelt haben. Gerade bei hochprofessionellen Angriffen auf marktgängige Software kann auch ein ordentlich aufgestelltes Unternehmen betroffen sein.

Würde man anders entscheiden, wäre die gerichtliche Prüfung im Kern auf eine unzulässige Rückschau verkürzt:

• Angriff erfolgreich
• also Maßnahmen unzureichend
• also Haftung

Genau diese Logik lehnt das LG Krefeld ab.

Der Einsatz marktführender und zertifizierter Software sprach hier gegen einen Pflichtverstoß

Die Beklagten hatten vorgetragen, dass die eingesetzte Software zum Zeitpunkt des Vorfalls marktführend gewesen sei und ihre Sicherheit durch Zertifizierungen belegt werde. Das Gericht misst diesem Vortrag erkennbar Gewicht bei.

Damit sagt das LG Krefeld nicht, dass Zertifizierungen oder Marktführerschaft automatisch jede Haftung ausschließen. Das wäre zu weitgehend. Die Entscheidung zeigt aber, dass solche Umstände im Rahmen der Angemessenheitsprüfung erheblich sein können.

Für die Praxis bedeutet das:

• Der Einsatz marktüblicher und anerkannter Software kann entlastend wirken
• Zertifizierungen können ein gewichtiges Indiz für ein angemessenes Sicherheitsniveau sein
• Wer sich auf etablierte Lösungen stützt, handelt nicht ohne Weiteres pflichtwidrig

Pauschale Hinweise auf frühere Schwachstellen reichten dem Gericht nicht

Die Klägerin hatte argumentiert, die eingesetzte Software sei schon seit Jahren sicherheitsanfällig. Das LG Krefeld hielt diesen Vortrag jedoch für zu pauschal. Der bloße Verweis auf einen öffentlichen Beitrag und auf CVE-Einträge genügte dem Gericht nicht.

Das ist dogmatisch folgerichtig. Nicht jede dokumentierte Schwachstelle bedeutet, dass eine Software insgesamt ungeeignet ist. Gerade bei komplexen Unternehmensanwendungen sind Sicherheitsupdates, Fehlerbehebungen und fortlaufende Weiterentwicklungen Teil der normalen Produktpflege.

Entscheidend war für das Gericht, dass nicht hinreichend dargelegt wurde,

• ob die Beklagten die behaupteten Hinweise vor dem Angriff konkret kannten oder kennen mussten
• ob sich daraus ein akuter Handlungsbedarf ergab
• ob die behaupteten Umstände gerade auf die später ausgenutzte Lücke hindeuteten

Mit anderen Worten: Allgemeine Kritik an einer Software ersetzt keinen konkreten Nachweis einer vorher erkennbaren Gefahrenlage.

Der Zero-Day-Charakter der Lücke wog erheblich

Das Gericht stellt maßgeblich darauf ab, dass die ausgenutzte Sicherheitslücke dem Hersteller zuvor unbekannt war. Genau darin liegt der juristische Kern des Falls.

Wenn eine Sicherheitslücke unbekannt ist und erst nach dem Angriff durch einen Patch geschlossen wird, spricht dies regelmäßig dagegen, dass der Verantwortliche oder der Auftragsverarbeiter sie bereits vorher beherrschen musste. Das LG Krefeld zieht daraus keinen Automatismus, aber ein deutlich entlastendes Argument.

Besonders bemerkenswert ist, dass das Gericht zusätzlich auf den Umstand abstellt, dass weltweit etwa 2.500 Unternehmen und Institutionen Opfer desselben Zero-Day-Exploits wurden. Auch daraus folgert das Gericht, dass es sich gerade nicht um ein lokal vorhersehbares Versagen einzelner Beteiligter handelte.

Keine verschärfte Kontrollpflicht gegenüber dem Auftragsverarbeiter ohne konkrete Anhaltspunkte

Die Klägerin hatte auch die Rolle des Dienstleisters angegriffen. Das LG Krefeld sah aber keinen Anlass für die Beklagte zu 1), den Auftragsverarbeiter ohne konkrete Verdachtsmomente besonders engmaschig zu überwachen.

Dieser Teil der Entscheidung ist für die Praxis von Auftragsverarbeitungen sehr relevant. Verantwortliche dürfen sich nicht blind zurücklehnen. Sie müssen ihre Dienstleister sorgfältig auswählen, vertraglich einbinden und datenschutzrechtlich kontrollieren. Eine permanente Misstrauenskontrolle ohne Anlass verlangt die DSGVO aber nicht.

Das Urteil deutet an, dass die Bewertung anders hätte ausfallen können, wenn konkrete Hinweise auf Zweifel an der Eignung des Dienstleisters vorgelegen hätten. Genau daran fehlte es hier.

Auch der immaterielle Schaden scheiterte nach Ansicht des Gerichts

Das Urteil ist bereits wegen des fehlenden schuldhaften Verstoßes bedeutsam. Es geht aber noch einen Schritt weiter. Das LG Krefeld hält auch den Vortrag der Klägerin zum Schaden für nicht ausreichend.

Sorgen und Ängste müssen greifbar dargelegt werden

Die Klägerin berief sich auf Sorgen, Ängste und das Gefühl eines drohenden Identitätsdiebstahls. Das Gericht sah darin keinen ausreichenden Vortrag für einen ersatzfähigen immateriellen Schaden.

Bemerkenswert ist die Begründung: Das LG Krefeld verlangt bei solchen inneren Vorgängen objektive Beweisanzeichen, die die behauptete Belastung plausibilisieren. Das Gericht nennt damit einen praxisrelevanten Maßstab.

Ein bloßes allgemeines Unbehagen nach einer Datenschutzverletzung reicht nach dieser Entscheidung eher nicht aus. Erforderlich ist ein konkreter Vortrag dazu, worin sich die Belastung tatsächlich niedergeschlagen hat.

Die behaupteten Anrufe und SMS genügten dem Gericht nicht

Die Klägerin behauptete, seit dem Vorfall vermehrt unerwünschte Anrufe und SMS zu erhalten. Auch damit hatte sie keinen Erfolg.

Das Gericht argumentierte im Kern:

• Es sei schon nicht hinreichend dargelegt worden, dass gerade Telefonnummer oder E-Mail-Adresse vom Vorfall betroffen gewesen seien
• Solche Kontaktversuche könnten auch allgemeine Alltagserscheinungen sein
• Die Klägerin habe keine konkreten Anpassungsmaßnahmen geschildert, die ihre Darstellung objektiv untermauern würden

Gerade dieser letzte Punkt ist für die Prozesspraxis interessant. Das Gericht verweist darauf, dass die Klägerin weder ihre Rufnummer oder E-Mail-Adresse geändert noch sonstige nachvollziehbare Schutzmaßnahmen vorgetragen habe. Das wertet es als fehlendes objektives Indiz für eine tatsächlich gravierende Betroffenheit.

Feststellungsantrag zu künftigen materiellen Schäden scheiterte bereits an der Zulässigkeit

Auch der Feststellungsantrag auf Ersatz künftiger materieller Schäden blieb ohne Erfolg. Das Gericht hielt ihn bereits deshalb für unzulässig, weil er nicht hinreichend bestimmt war und zudem kein Feststellungsinteresse bestand.

Praktisch bedeutsam ist dabei die Erwägung, dass seit dem Vorfall bereits rund zweieinhalb Jahre vergangen waren, ohne dass ein materieller Schaden eingetreten war. Hinzu kam, dass die Sicherheitslücke bereits Anfang Juni 2023 durch ein Herstellerupdate geschlossen worden war.

Das LG Krefeld macht damit deutlich:

Bloße Befürchtungen genügen nicht, um künftige materielle Schäden prozessual tragfähig festzustellen. Erforderlich sind konkrete Umstände, die einen späteren Schadenseintritt als realistisch erscheinen lassen.

Was Unternehmen aus dem Urteil mitnehmen sollten

Für Unternehmen ist die Entscheidung in mehrfacher Hinsicht lehrreich. Sie sollten das Urteil allerdings nicht als Entwarnung missverstehen. Es zeigt nicht, dass Cybervorfälle folgenlos bleiben. Es zeigt vielmehr, woran sich die gerichtliche Prüfung orientiert.

Wesentliche praktische Lehren sind:

• Dokumentieren Sie Ihre technischen und organisatorischen Maßnahmen sauber und fortlaufend.
• Setzen Sie auf etablierte, gepflegte und nachvollziehbar ausgewählte Softwarelösungen.
• Behalten Sie Herstellerinformationen, Sicherheitswarnungen und Patches im Blick.
• Prüfen und dokumentieren Sie die Auswahl Ihrer Auftragsverarbeiter sorgfältig.
• Halten Sie Incident-Response-Prozesse vor und dokumentieren Sie Reaktionen auf Sicherheitsvorfälle.
• Unterscheiden Sie sauber zwischen bekannten Schwachstellen, allgemeinen Risiken und echten Zero-Day-Szenarien.
• Verlassen Sie sich nicht allein auf abstrakte Zertifikate, sondern auf ein tatsächlich gelebtes Sicherheitskonzept.

Besonders wichtig ist dieser Satz:

Wer seine Sicherheitsorganisation im Streitfall nicht belegen kann, verliert häufig schon auf der Darlegungsebene an Boden.

Was Betroffene aus dem Urteil mitnehmen sollten

Auch für Betroffene ist die Entscheidung instruktiv. Sie zeigt, welche Schwächen Klagen nach Art. 82 DSGVO haben können, wenn sie nur auf allgemeine Sorgen und den Vorfall als solchen gestützt werden.

Wer einen Anspruch ernsthaft prüfen lassen will, sollte möglichst konkret darlegen können:

• welche Daten tatsächlich betroffen waren
• welcher konkrete Verstoß dem Unternehmen vorgeworfen wird
• weshalb dieser Verstoß schuldhaft gewesen sein soll
• welcher materielle oder immaterielle Schaden entstanden ist
• welche objektiven Umstände die eigene Betroffenheit belegen
• weshalb gerade zwischen Datenschutzverstoß und Schaden ein ursächlicher Zusammenhang besteht

Das Urteil zeigt damit sehr deutlich, dass Art. 82 DSGVO kein pauschales Druckmittel für jeden Cybervorfall ist. Eine substanzielle Anspruchsprüfung bleibt unerlässlich.

Warum die Entscheidung kein Freibrief nach Cyberangriffen ist

Das LG Krefeld hat die Klage abgewiesen. Daraus sollte aber nicht der unzutreffende Schluss gezogen werden, Unternehmen seien bei Zero-Day-Angriffen regelmäßig aus dem Schneider.

Die Haftung kann weiterhin in Betracht kommen, etwa wenn:

• bekannte Schwachstellen nicht rechtzeitig gepatcht werden
• Sicherheitswarnungen ignoriert werden
• elementare Schutzmaßnahmen fehlen oder veraltet sind
• der Auftragsverarbeiter unzureichend ausgewählt oder kontrolliert wurde
• es an einer nachvollziehbaren Risikobewertung fehlt
• sensible Daten ohne angemessene Schutzarchitektur verarbeitet werden

Das Urteil schützt also nicht Nachlässigkeit. Es schützt eher vor einer vorschnellen Gleichsetzung von Schadenseintritt und Pflichtverletzung.

Gerade das macht die Entscheidung ausgewogen. Sie wahrt den Schutzgedanken der DSGVO, ohne das Haftungsrecht in eine kaum beherrschbare Erfolgshaftung kippen zu lassen.

Fazit: Das LG Krefeld stärkt den risikobasierten Haftungsmaßstab der DSGVO

Das Urteil des LG Krefeld vom 06.11.2025 ist für die datenschutzrechtliche Praxis bemerkenswert. Es zeigt, dass ein erfolgreicher Hackerangriff für sich genommen noch keinen schuldhaften DSGVO-Verstoß beweist. Bei einem Zero-Day-Exploit kann vielmehr entscheidend sein, ob die eingesetzte Software marktüblich, anerkannt und ohne konkrete Vorwarnzeichen verwendet wurde und ob der Verantwortliche seine Sicherheitsorganisation nachvollziehbar darlegen kann.

Gleichzeitig macht das Gericht deutlich, dass auch auf der Schadensebene sauber gearbeitet werden muss. Allgemeine Sorgen, diffuse Ängste und bloße Missbrauchsbefürchtungen reichen nicht ohne Weiteres aus. Erforderlich bleibt ein konkreter, plausibler und kausal zuordenbarer Vortrag.

Für Unternehmen bedeutet das Urteil keine Entwarnung, wohl aber eine wichtige Präzisierung: Die DSGVO verlangt ernsthafte, geeignete und dokumentierte Schutzmaßnahmen, aber nicht die technische Unmöglichmachung jedes denkbaren Angriffs.