DSGVO-Schadensersatz nach Zero-Day-Angriff: keine Haftung des Verantwortlichen/Auftragsverarbeiters

Die Klage wird abgewiesen.

Die Klägerin hat die Kosten des Rechtsstreits zu tragen.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 120 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Die Parteien streiten um Schadenersatz im Zusammenhang mit einem Cyberangriff auf die Datenaustausch-Plattform „……“ vom 31.05.2023.

Die Klägerin schloss bei der Beklagten zu 1.) einen Riester-Rentenversicherungsvertrag mit der Nr. 000 ab, zu dessen Durchführung die Beklagte zu 1.) personenbezogene Daten der Klägerin verarbeitete, unter anderem Namen und Anschrift sowie Sozialversicherungsnummer und Steueridentifikationsnummer.

Die Beklagte zu 2.) war im Rahmen einer Auftragsverarbeitung für die Beklagte zu 1.) tätig und verwendete zur Verarbeitung unter anderem der personenbezogenen Daten der Klägerin die Anwendung „……“ (im Folgenden: „Anwendung“). Bei der Anwendung handelte es sich im Zeitpunkt des Cyberangriffs um eine der marktführenden Anwendungen.

Im Zuge des Cyberangriffs gelang es einer Gruppe Unbekannter, sich Zugriff auf das Benutzerkonto der Beklagten zu 2.) zu verschaffen, indem eine sog. Web-Shell mit der Bezeichnung „……“ auf den Server der Beklagten zu 2.) hochgeladen wurde. Bei der Web-Shell handelt es sich um eine Kommandozeile, die es erlaubt, auf Dateien innerhalb der Anwendung zuzugreifen und Systembefehle auszuführen. Alle Berechtigungen, die der jeweilige Webserver hat, stehen so auch der Web-Shell zur Verfügung.

Bei dem Angriff handelte es sich um einen sog. „zero-day-exploit“, d.h. um die Ausnutzung einer Schwachstelle, die dem Anbieter der Anwendung erst durch den Angriff bekannt wird, dem Anbieter der Anwendung mithin null Tage zur Behebung der Schwachstelle zur Verfügung standen.

Die Sicherheitslücke wurde durch einen vom Hersteller bereitgestellten Sicherheitspatch am 02.06.2023 um 10:17 Uhr geschlossen.

Durch den Angriff wurden folgende Daten der Klägerin erbeutet: Vor- und Zuname, Adresse, Geburtsdatum, ggf. auch Geburtsort und Geburtsname, Steueridentifikationsnummer, Sozialversicherungsnummer und Angaben zum tatsächlichen Entgelt in Einzelfällen.

Mit anwaltlichem Schreiben ihrer jetzigen Prozessbevollmächtigten vom 23.10.2023 ließ die Klägerin die Beklagte zu 1.) erfolglos zu einer Unterlassung, zur Zahlung immateriellen Schadenersatzes sowie zur Abgabe einer Erklärung der Verpflichtung, auch zukünftige Schäden zu ersetzen, auffordern.

Die Klägerin trägt vor:

Es würden „der Verantwortliche (CCC)“ als auch der Auftragsverarbeiter gesamtschuldnerisch haften.

„Die Beklagte“ habe gegen ihre Verpflichtung verstoßen, angemessene und technische und organisatorische Maßnahmen zu gewährleisten.

Es genüge der Hinweis nicht, man habe die Software vom Marktführer bezogen. Gerade die Marktführer wie XXX, YYY oder ZZZ seien bekannt dafür, die „Standards der DSGVO“ nicht einzuhalten. Es reiche auch ein Hinweis auf sog. „zero-day-exploits“ nicht.

Von der verwendeten Software „……“, die von dem US-amerikanischen Unternehmen AAA Corp. mit Sitz in BBB stamme, seien Schwachstellen bekannt. Im Zeitpunkt des Hackerangriffs sei die Verwendung grob fahrlässig gewesen. Bei Verwendung einer anderen Software wäre es nicht zu dem Datenleck gekommen.

Bei ordnungsgemäßer Überwachung des Dienstleisters habe der Beklagten die Sicherheitslücke auffallen müssen

Betroffen seien durch das Datenleck die „persönlichen Daten der Klagepartei.“

Erhöhte Risiken bestünden aufgrund der E-Mail-Adresse, Mobilfunknummer, Sozialversicherungsnummer und Steueridentifikationsnummer.

Durch das Datenleck sei ein Kontrollverlust eingetreten. Dies könne einen Schaden begründen.

Insbesondere Steueridentifikationsnummer und Sozialversicherungsnummer seien durch Kriminelle zu nutzen. Anders als bei Passwörtern und Kreditkartennummern ließen sich diese auch nicht ändern.

Es sei auch nicht unwahrscheinlich, dass sich die Klägerin aufgrund der Offenlegung ihrer Daten in Zukunft mit erheblichen Belästigungen durch Spam- und Phishing-Nachrichten konfrontiert sehe. Ein Identitätsdiebstahl mit erheblichen finanziellen Nachteilen sei nicht unwahrscheinlich.

Ursprünglich hat die Klägerin ihre Klage nur gegen die Beklagte zu 1.) gerichtet, die mit Schriftsatz vom 07.10.2024 der späteren Beklagten zu 2.) den Streit verkündet hat, welche dem Rechtsstreit auf Seiten der Beklagten zu 1.) mit Schriftsatz vom 17.02.2025 beigetreten ist. Zunächst hat die Klägerin angekündigt zu beantragen:

1. Die Beklagte wird verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 3.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

2. Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten mit den personenbezogenen Daten der Klagepartei, der nach bisherigen Informationen am 31.05.2023 erfolgte, noch entstehen werden.

3. Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall, der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgeldes bis zu € 250.000,00, ersatzweise an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft, oder einer an ihrem gesetzlichen Vertreter zu vollstreckender Ordnungshaft bis zu 6 Monaten, im Wiederholungsfall bis zu 2 Jahren, zu unterlassen,

personenbezogene Daten der Klägerseite, namentlich Geburtsort, Geburtsname, Steueridentifikationsnummer, Sozialversicherungsnummer, Unterschrift, Entgelt der Klagepartei, personenbezogene Daten zu Kindern und / oder zum Ehepartner, sowie Angaben zum tatsächlichen Gehalt, Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzunehmen und ohne, dass eine Einwilligung des Klägers vorliegt oder ein Rechtfertigungsgrund nach der DSGVO.

4. Die Beklagte wird verurteilt, die Klagepartei von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 973,65 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz ab Rechtshängigkeit freizustellen.

Mit Schriftsatz vom 02.04.2025 hat die Klägerin ihre Klage teilweise zurückgenommen und darüber hinaus auch gegen die jetzige Beklagte zu 2.) gerichtet und beantragt nunmehr wörtlich:

Die Beklagten werden als Gesamtschuldner verurteilt, an die Klägerseite als Ausgleich für Datenschutzverstöße einen immateriellen Schadensersatz, dessen Höhe in das Ermessen des Gerichts gestellt wird, den Betrag von 1.000,00 € aber nicht unterschreiten sollte, nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

Es wird festgestellt, dass die Beklagte verpflichtet ist, der Klägerseite alle materiellen künftigen Schäden zu ersetzen, die der Klägerseite durch den unbefugten Zugriff Dritter auf das Datenarchiv der Beklagten mit den personenbezogenen Daten der Klagepartei, der nach bisherigen Informationen am 31.05.2023 erfolgte, noch entstehen werden.

Die Beklagte wird verurteilt, die Klagepartei von den außergerichtlich entstandenen Kosten für die anwaltliche Rechtsverfolgung in Höhe von 800,39 € nebst Zinsen in Höhe von 5 %-Punkten über den jeweiligen Basiszinssatz ab Rechtshängigkeit freizustellen.

Die Beklagten beantragen:

Die Klage wird abgewiesen.

Sie wenden ein:

Der Feststellungsantrag sei bereits unzulässig. Es fehle an einem Feststellungsinteresse. Der Zeitablauf seit dem Datenabfluss spreche gegen die Wahrscheinlichkeit des Eintritts eines materiellen Schadens.

Es fehle im Übrigen bereits an einer Pflichtverletzung in Gestalt einer datenschutzwidrigen Verarbeitung der personenbezogenen Daten der Klägerin durch die Beklagte. Die notwendigen technischen und organisatorischen Maßnahmen seien unterhalten worden. Klägerseits sei nicht einmal ansatzweise dargetan, inwieweit diese Maßnahmen nicht geeignet gewesen sein sollen.

Auch lasse allein der unbefugte Abruf personenbezogener Daten keinen Rückschluss auf einen Verstoß gegen Vorschriften der DSGVO zu.

Mit Blick auf die marktführende Stellung der Anwendung hätten die Beklagten berechtigterweise davon ausgehen dürfen, dass die Software alle Anforderungen an eine sichere Übermittlung von personenbezogenen Daten erfülle.

Auch ein ersatzfähiger Schaden sei nicht dargelegt. Es fehle insoweit an einem individualisierten Vortrag.

Zu der Behauptung, die Klägerin erhalte vermehrt Werbe- und Phishing-E-Mails sowie zu der Behauptung, das Wissen um die Betroffenheit von dem Vorfall Ängste bei der Klägerin aus sowie zu der Behauptung, die Klägerin habe Angst vor einer missbräuchlichen Verwendung der Daten erklären sich die Beklagten mit Nichtwissen.

Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf den vorgetragenen Inhalt der gewechselten Schriftsätze der Parteien nebst Anlagen Bezug genommen.

Die Kammer hat die Klägerin im Termin vom 22.08.2025 persönlich angehört.

Die Klageschrift vom 17.04.2025 ist der Beklagten zu 1.) am 26.08.2024 zugestellt worden. Der Schriftsatz der Klägerin vom 02.04.2025 ist beiden Beklagten am 02.04.2025 zugestellt worden.

Die Klage hat keinen Erfolg.

1.

Der Klageantrag zu 2.) ist unzulässig, weil er nicht hinreichend bestimmt im Sinne des § 253 Abs. 2 Nr. 2 ZPO ist.

Auch bei einer Feststellungsklage muss der Klageantrag im Sinne von § 253 Abs. Nr. 2 ZPO bestimmt sein, damit über den Umfang der Rechtskraft des Feststellungsausspruchs keine Ungewissheit herrschen kann. Die erforderliche Bestimmtheit verlangt, dass das festzustellende Rechtsverhältnis genau bezeichnet wird. Dazu genügt es, dass der Kläger die rechtsbegründenden Tatsachen näher angibt. Soweit es sich um Schadensersatzansprüche handelt, ist eine bestimmte Bezeichnung des zum Ersatz verpflichtenden Ereignisses erforderlich. Genügt die wörtliche Fassung eines Antrags nicht dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO, ist er unter Heranziehung der Klagebegründung auszulegen (BGH, Urt. v. 05.10.2021 - VI ZR 136/20 = NJW-RR 2022, 23 Rn. 12).

Bei Anwendung dieser Maßstäbe auf den vorliegenden Einzelfall ist anhand des gestellten Antrags zu 2.) das festzustellende Rechtsverhältnis nicht hinreichend genau bezeichnet, weil schon nicht erkennbar ist, welche der beiden Beklagten an dem festzustellenden Rechtsverhältnis beteiligt sein soll. So begehrt die Klägerin sinngemäß die Feststellung, dass „die Beklagte“ verpflichtet sei, alle künftigen materiellen Schäden zu ersetzen, die durch einen Zugriff auf das Datenarchiv „der Beklagten“ entstehen werden. Es mag zwar naheliegen, dass die Klägerin die Feststellung der Ersatzpflicht der Beklagten zu 1.) begehrt, weil es in der Sache um einen Zugriff auf das Datenarchiv der Beklagten zu 1.) geht. Zwingend ist dies aber keineswegs, weil die Klägerin auch mit dem Antrag zu 1.) beide Beklagte als Gesamtschuldner in Anspruch nimmt und demnach auch von einer gesamtschuldnerischen Verpflichtung zum Ersatz künftiger Schäden ausgehen dürfte. Es ist deshalb ebenso gut möglich, dass die Klägerin auch mit dem Antrag zu 2.) eine gesamtschuldnerische Verpflichtung beider Beklagten festgestellt wissen will. Eine Klarstellung ist auch auf ausdrücklichen Hinweis der Kammer hin indes nicht erfolgt, sodass damit auch unter Berücksichtigung des Vorbringens zur Klagebegründung unklar bleibt, welches Rechtsverhältnis festgestellt werden soll.

2.

Der Antrag zu 1.) ist zulässig aber unbegründet.

a)

Der geltend gemachte Anspruch auf Zahlung immateriellen Schadenersatzes in Höhe von 1.000,00 EUR steht der Klägerin unter keinem rechtlichen Gesichtspunkte zu. Insbesondere ergibt sich der Anspruch nicht aus Art. 82 DSGVO. Andere Anspruchsgrundlagen kommen nicht in Betracht.

Nach Art. 82 Abs. 1, Abs. 2 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Der Verantwortliche oder Auftragsverarbeiter ist gem. Art. 82 Abs. 3 DSGVO jedoch von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Verantwortlichkeit meint dabei Verschulden im Sinne der deutschen Rechtsterminologie, nicht die datenschutzrechtliche Verantwortung (vgl. BeckOK DatenschutzR/Quaas, 53. Ed. 1.8.2025, DS-GVO Art. 82 Rn. 17).

Die konkreten Anforderungen für den wegen des nach dem Wortlaut des Art. 82 Abs. 3 DSGVO vermuteten Verschuldens dem Verantwortlichen obliegenden Nachweis, dass er weder vorsätzlich gehandelt noch die maßgebliche Sorgfalt außer Acht gelassen hat, hängen von den Umständen des Einzelfalls ab (vgl. BeckOK DatenschutzR/Quaas, 53. Ed. 1.8.2025, DS-GVO Art. 82 Rn. 18 m.w.N.). Der Verantwortliche kann sich entlasten, indem er beweist, dass er die am Maßstab des Stands der Technik und im Verkehr, d.h. am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt im Sinne von § 276 Abs. 2 BGB angewendet hat. Hackerangriffe oder Datenlecks entlasten nur, wenn der Verantwortliche die übliche Sorgfalt zum Schutz der Daten angewendet hat. Zu berücksichtigen ist in diesem Fall, dass die DSGVO nicht erfordert, alle theoretisch möglichen Schutzvorkehrungen vorzusehen (BeckOK DatenschutzR/Quaas, 53. Ed. 1.8.2025, DS-GVO Art. 82 Rn. 18 m.w.N.).

Bei Anwendung dieser Maßstäbe auf den vorliegenden Einzelfall kann offen bleiben, ob es überhaupt zu einem Verstoß gegen Vorschriften der DSGVO durch die Beklagten gekommen ist, denn es trifft die Beklagten keine Verantwortung an dem unstreitigen unbefugten Zugriff auf personenbezogene Daten der Klägerin.

Unstreitig handelte es sich bei der ausgenutzten Schwachstelle der Anwendung „……“ um einen sog. „zero-day-exploit“, also um die Ausnutzung einer Schwachstelle, die nur dem Angreifer, nicht aber dem Hersteller der Anwendung bekannt ist, für deren Beseitigung dem Hersteller vor dem Angriff also 0 Tage zur Verfügung standen.

Ebenso unstreitig handelte es sich bei der genutzten Anwendung „……“ um ein marktführendes Produkt, das ebenso unstreitig weder von der Beklagten zu 1.) noch der Beklagten zu 2.) hergestellt worden ist.

All dies hat die Klägerin nicht in Abrede gestellt, sondern lediglich die Rechtsansicht geäußert, der Hinweis auf die Marktführereigenschaft und einen „zero-day-exploit“ entlaste die Beklagtenseite nicht. Dieser Auffassung schließt sich die Kammer nicht an. Denn es ist nicht ersichtlich und auch durch die Klägerin nicht vorgetragen, welche Maßnahmen die Beklagten noch hätten vornehmen können, um den Datenabfluss zu vermeiden. Wollte man von den Beklagten hier mehr verlangen, liefe dies letztlich auf eine Verpflichtung der Anwender einer Software hinaus, diese besser zu überprüfen als der Hersteller. Dies würde die im Verkehr erforderliche Sorgfalt überspannen, insbesondere vor dem Hintergrund, dass ein absoluter und jeder theoretischen Möglichkeit Rechnung tragender Schutz technisch nicht möglich und durch die DSGVO - wie gesagt - nicht gefordert ist.

Worin im Übrigen ein Verstoß der Beklagten gegen die DSGVO gesehen werden soll, ist durch die Klägerin auch weiterhin nicht konkret vorgebracht.

b)

Der geltend gemachte Zinsanspruch steht der Klägerin in Ermangelung einer Hauptforderung nicht zu.

3.

Der mit dem Klageantrag zu 3.) geltend gemachte Anspruch auf Freistellung von vorgerichtlichen Rechtsanwaltskosten teilt als Nebenforderung das Schicksal der unbegründeten Hauptforderung.

Darauf, dass ein Freistellungsanspruch nicht der Verzinsung unterliegt, weil es sich nicht um eine Geldschuld handelt, kommt es deshalb nicht an.

4.

Die Nebenentscheidungen folgen aus §§ 91, 709 ZPO.

5.

Streitwert: bis 10.0000,00 EUR.

Rechtsbehelfsbelehrung:

Gegen die Streitwertfestsetzung ist die Beschwerde an das Landgericht Kleve statthaft, wenn der Wert des Beschwerdegegenstandes 200,00 EUR übersteigt oder das Landgericht die Beschwerde zugelassen hat. Die Beschwerde ist spätestens innerhalb von sechs Monaten, nachdem die Entscheidung in der Hauptsache Rechtskraft erlangt oder das Verfahren sich anderweitig erledigt hat, bei dem Landgericht Kleve, Schloßberg 1 (Schwanenburg), 47533 Kleve, schriftlich in deutscher Sprache oder zur Niederschrift des Urkundsbeamten der Geschäftsstelle einzulegen. Die Beschwerde kann auch zur Niederschrift der Geschäftsstelle eines jeden Amtsgerichtes abgegeben werden. Ist der Streitwert später als einen Monat vor Ablauf dieser Frist festgesetzt worden, so kann die Beschwerde noch innerhalb eines Monats nach Zustellung oder formloser Mitteilung des Festsetzungsbeschlusses eingelegt werden.