Cyberangriff auf Kundendaten – zivilrechtliche Ansprüche und Verteidigung

Ein Cyberangriff auf Kundendaten kann schnell zum Haftungsfall werden, denn bei einem Datenleck drohen zivilrechtliche Schadensersatzansprüche nach der DSGVO – dieser Beitrag erläutert die Rechte betroffener Kunden und Verteidigungsstrategien für Unternehmen.

Einleitung: Wenn ein Datenleck zum Haftungsfall wird

Ein Cyberangriff ist längst kein technisches Problem mehr – er ist ein rechtliches Risiko mit echtem Schadenspotenzial. Werden Kundendaten durch einen Hackerangriff gestohlen, veröffentlicht oder verschlüsselt, kann das Unternehmen in mehrfacher Hinsicht zur Verantwortung gezogen werden: durch Aufsichtsbehörden, die Bußgelder verhängen, aber auch durch betroffene Kunden, die zivilrechtlichen Schadensersatz nach Art. 82 DSGVO fordern.

Insbesondere dann, wenn die Sicherheitsvorkehrungen unzureichend waren oder die Reaktion auf den Vorfall mangelhaft verlief, drohen rechtliche und finanzielle Folgen. Dieser Beitrag beleuchtet die wichtigsten Anspruchsgrundlagen und Verteidigungsstrategien im zivilrechtlichen Kontext.

Verantwortlichkeit und Pflichten nach DSGVO

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO

Unternehmen sind verpflichtet, den Schutz personenbezogener Daten durch angemessene technische und organisatorische Maßnahmen (TOM) sicherzustellen. Was „angemessen“ ist, richtet sich nach dem Risiko der jeweiligen Verarbeitung – und umfasst u. a.:

• Zugriffskontrollen
• Verschlüsselungstechniken
• regelmäßige Software-Updates
• Awareness-Trainings für Mitarbeitende
• Backup- und Recovery-Strategien

Fehlt es an einem wirksamen IT-Sicherheitskonzept oder werden bekannte Schwachstellen nicht behoben, kann dies als Verstoß gegen Art. 32 DSGVO gewertet werden – mit Folgen für die Haftung.

Meldepflichten bei Datenschutzpannen

Kommt es zu einem Sicherheitsvorfall mit personenbezogenen Daten, gelten nach Art. 33 und 34 DSGVO zwei zentrale Pflichten:

• Meldung an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden
• Benachrichtigung der betroffenen Personen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht

Wer zu spät oder gar nicht meldet, riskiert nicht nur Bußgelder – sondern auch, dass dies im Rahmen zivilrechtlicher Verfahren als Anzeichen für Organisationsversagen gewertet wird.

Haftung nach Art. 82 DSGVO

Betroffene Personen – z. B. Kunden, deren Daten offengelegt wurden – können bei einem Verstoß Schadensersatz geltend machen. Die DSGVO unterscheidet nicht zwischen vorsätzlichem und fahrlässigem Verhalten: Es genügt, dass die Sicherheitsmaßnahmen unzureichend waren und ein konkreter Schaden entstanden ist.

Die Haftung umfasst materielle und immaterielle Schäden – etwa finanziellen Verlust durch Datenmissbrauch oder Kontrollverlust über persönliche Informationen. Entlastung ist nur möglich, wenn das Unternehmen nachweist, nicht verantwortlich für den Schaden zu sein (Art. 82 Abs. 3 DSGVO).

Zivilrechtliche Schadensersatzansprüche

Wird ein Unternehmen Ziel eines Cyberangriffs und gelangen dabei personenbezogene Daten in unbefugte Hände, können betroffene Kunden nicht nur Auskunft verlangen – sie haben unter bestimmten Voraussetzungen auch Anspruch auf Schadensersatz nach Art. 82 DSGVO. Dabei geht es nicht nur um finanzielle Verluste, sondern auch um das Recht auf informationelle Selbstbestimmung.

Wer ist anspruchsberechtigt?

Grundsätzlich kann jede betroffene Person, deren personenbezogene Daten durch eine Datenschutzverletzung kompromittiert wurden, Schadensersatz geltend machen. Im Fall eines Cyberangriffs betrifft das z. B.:

• Kund:innen, deren Kontaktdaten, Bankverbindungen oder Zugangsdaten offengelegt wurden
• Geschäftspartner, deren Kommunikationsinhalte ausgespäht oder verändert wurden
• Nutzer:innen von Online-Diensten, deren Accounts übernommen oder manipuliert wurden

Auch bei Großvorfällen mit zehntausenden Betroffenen kann jeder Einzelne individuell klagen – unabhängig davon, ob ihm ein direkter finanzieller Schaden entstanden ist.

Arten von ersatzfähigen Schäden

Die DSGVO sieht Ersatz sowohl für materielle als auch immaterielle Schäden vor:

• Materielle Schäden: z. B. Kontenmissbrauch, Kreditkartenbetrug, Kosten für Passwortänderungen, Überwachungsdienste oder IT-Reparatur
• Immaterielle Schäden: etwa Kontrollverlust, Vertrauensverlust, Angst vor Missbrauch, psychische Belastung oder Rufschädigung

Der EuGH hat klargestellt, dass ein immaterieller Schaden nicht „erheblich“ sein muss, um ersatzfähig zu sein. Es reicht eine konkrete, persönliche Beeinträchtigung – etwa die Sorge, dass eigene Daten im Darknet gehandelt werden könnten.

Beweislast und Entlastungsmöglichkeit

In der Praxis müssen Betroffene zunächst darlegen:

• dass ihre Daten im Rahmen des Vorfalls betroffen waren,
• dass dadurch ein konkreter Schaden entstanden ist,
• und dass der Schaden mit der Datenschutzverletzung kausal zusammenhängt.

Das betroffene Unternehmen kann sich nur entlasten, wenn es nachweist, nicht für den Verstoß verantwortlich zu sein. Diese sogenannte Beweislastumkehr nach Art. 82 Abs. 3 DSGVO bedeutet: Hat das Unternehmen keine ausreichenden Sicherheitsmaßnahmen getroffen oder hat es seine Meldepflichten verletzt, ist eine erfolgreiche Verteidigung kaum möglich.

Verteidigungsstrategien für Unternehmen

Ein Cyberangriff lässt sich nicht immer verhindern – doch wie ein Unternehmen vorbereitet ist und im Ernstfall reagiert, entscheidet maßgeblich darüber, ob und in welchem Umfang es haftet. Neben präventiven Sicherheitsmaßnahmen zählt vor allem die Fähigkeit, dokumentiert darzulegen, dass man alle zumutbaren Schutzvorkehrungen getroffen hat.

Nachweis angemessener Sicherheitsmaßnahmen

Die wichtigste Verteidigungslinie gegen Schadensersatzansprüche nach Art. 82 DSGVO ist der Beleg wirksamer IT-Sicherheitsmaßnahmen. Dazu zählen unter anderem:

• Zugriffskontrollsysteme, Authentifizierungsverfahren, Verschlüsselung
• Regelmäßige Penetrationstests und Schwachstellenanalysen
• Zertifizierungen (z. B. ISO 27001)
• Geschulte Mitarbeitende und dokumentierte Sicherheitsrichtlinien

Je besser dokumentiert ist, was vor dem Vorfall getan wurde, desto eher lässt sich ein Vorwurf grober Fahrlässigkeit entkräften.

Incident-Response-Dokumentation

Neben der Prävention ist die Reaktionsfähigkeit nach einem Angriff entscheidend. Unternehmen sollten ein funktionierendes Incident-Response-Konzept vorhalten – inklusive:

• klarer Meldeketten
• technischer Sofortmaßnahmen (z. B. Trennung infizierter Systeme)
• Kommunikation mit Betroffenen und Aufsichtsbehörden
• rechtlicher Bewertung der Meldepflichten

Alle Schritte sollten zeitnah dokumentiert werden, um gegenüber Behörden und in Zivilprozessen die eigene Sorgfalt belegen zu können.

Einsatz von Cyber-Versicherungen

Ein zunehmend wichtiger Baustein in der Risikoabwehr ist die Cyber-Versicherung. Sie ersetzt zwar nicht die eigene Compliance, kann aber finanzielle Schäden begrenzen – etwa:

• Kosten für IT-Forensik und Krisenkommunikation
• Anwalts- und Gerichtskosten bei Klagen betroffener Personen
• Ersatz von Schäden bei Vertragsverletzungen

Wichtig ist, dass die Versicherung rechtzeitig abgeschlossen und an die konkreten Risiken im Unternehmen angepasst wurde. Im Idealfall begleitet der Versicherer schon bei der Vorbereitung von Notfallplänen.

‍

Parallelen zu IT-Sicherheitsrecht und KRITIS

Neben der DSGVO gewinnen auch spezialisierte Sicherheitsvorgaben im IT-Recht zunehmend an Bedeutung – insbesondere durch die europäische NIS-2-Richtlinie und nationale Vorschriften für kritische Infrastrukturen (KRITIS).

NIS-2 und sektorübergreifende Sicherheitspflichten

Die im Januar 2023 in Kraft getretene NIS-2-Richtlinie verpflichtet eine deutlich größere Zahl von Unternehmen zur Einhaltung verbindlicher IT-Sicherheitsstandards – nicht nur Betreiber kritischer Infrastrukturen, sondern auch große private Unternehmen in Bereichen wie:

• Finanzwesen
• Gesundheitsversorgung
• Energieversorgung
• digitale Dienste

Wer in den Anwendungsbereich fällt, muss technische, organisatorische und rechtliche Maßnahmen treffen – ähnlich wie unter Art. 32 DSGVO –, wird aber zusätzlich mit Meldepflichten und Bußgelddrohung aus dem IT-Sicherheitsrecht konfrontiert.

Schnittstellen zur DSGVO-Haftung

Kommt es zu einem Cybervorfall, der sowohl personenbezogene Daten als auch kritische Systeme betrifft, greifen mehrere Rechtsregime gleichzeitig:

• DSGVO: Schadensersatz gegenüber Betroffenen, aufsichtsrechtliche Bußgelder
• IT-Sicherheitsrecht: Bußgelder für Meldeversäumnisse, technische Mängel
• Vertragsrecht: Regress durch Geschäftspartner bei Pflichtverletzungen

Unternehmen sollten daher integrierte Compliance-Strategien entwickeln, die sowohl Datenschutz als auch IT-Sicherheit abdecken – gerade weil Behörden zunehmend vernetzt arbeiten.

Fazit: Sicherheit ist Haftungsprophylaxe

Ein Cyberangriff lässt sich nicht vollständig ausschließen – aber die Haftungsfolgen lassen sich kontrollieren, wenn Prävention, Reaktion und Dokumentation stimmen. Die DSGVO macht Unternehmen umfassend verantwortlich für die Sicherheit personenbezogener Daten. Ein Versagen der IT-Sicherheit oder eine zögerliche Reaktion kann daher teuer werden – finanziell wie reputationsseitig.

Wer hingegen Sicherheitsmaßnahmen dokumentiert, Meldepflichten einhält und transparent mit Behörden und Betroffenen kommuniziert, schützt nicht nur seine Kunden – sondern auch sich selbst.

👉 Jetzt IT-Sicherheits- und Datenschutzstrategie prüfen lassen – www.hortmannlaw.com/contact

Weiterführende Links

‍