Skip to content

Datenleck durch Cyberangriff: Angst vor Missbrauch reicht als Schaden

Das Konto ist unangetastet, doch die Angst bleibt. Kein Cent verschwunden – und trotzdem ein Fall für Schadensersatz?
Eine besorgte Frau blickt auf einen Laptop mit einer E-Mail über ein Datenleck und geleakten persönlichen Informationen.
Betroffene können bei Angst vor künftigem Datenmissbrauch nach einem Datenleck Anspruch auf immateriellen Schadenersatz gemäß DSGVO haben. Symbolfoto: KI

Zum vorliegenden Urteilstext springen: C-340/21

Das Wichtigste im Überblick

EuGH stärkt Betroffene nach Datenleck: Beweislast liegt beim Verantwortlichen, Angst kann Schaden sein.
  • Der EuGH schützte die Klägerin und stützte ihre Schadenersatzklage nach Datenleck.
  • Ein Hackerangriff allein beweist keine schlechten Sicherheitsmaßnahmen der Behörde.
  • Die Behörde muss zeigen, dass ihre Schutzmaßnahmen passend und wirksam waren.
  • Auch Angst vor späterem Datenmissbrauch kann als immaterieller Schaden zählen.

  • Gericht: EuGH
  • Datum: 14.12.2023
  • Aktenzeichen: C-340/21
  • Verfahren: Vorabentscheidung
  • Rechtsbereiche: Datenschutzrecht, Schadensersatzrecht
  • Relevant für: Behörden, Unternehmen, Betroffene nach Cyberangriffen

Wann gibt es Schadenersatz nach einem Datenleck?

Gemäß Art. 82 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) hat jede Person Anspruch auf eine angemessene Entschädigung, wenn ihr durch einen Verstoß gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Ein solcher Schadenersatzanspruch setzt zwingend voraus, dass der Verantwortliche gegen seine datenschutzrechtlichen Pflichten verstoßen hat, beispielsweise gegen Art. 5, 24 oder 32 DSGVO. Allerdings sieht das Gesetz auch eine Ausnahme vor. Der Verantwortliche kann nach Art. 82 Abs. 3 DSGVO von der Haftung befreit werden, wenn er den Nachweis erbringt, dass er für den Schadenseintritt absolut nicht verantwortlich ist.

Der Begriff „Verantwortlicher“ bezeichnet im Datenschutzrecht die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet. In der Praxis ist das meist das Unternehmen oder die Behörde, bei der Ihre Daten gespeichert werden.

Wurden Ihre Daten bei einem Datenleck offengelegt, sollten Sie den Vorfall und alle erkennbaren Folgen sorgfältig dokumentieren: Welche Informationen waren betroffen? Haben Sie Benachrichtigungen, verdächtige Kontakte oder konkrete Nachteile erlitten? Halten Sie Screenshots, Schreiben und Nachrichten fest. Der Schadenersatzanspruch besteht sowohl bei finanziellen Verlusten als auch bei immateriellen Schäden wie Angst oder Rufschädigung.

Wie streng die europäischen Richter diese Haftungsausnahme auslegen, zeigt ein Cyberangriff auf die bulgarische Finanzbehörde NAP im Juli 2019. Bei diesem Vorfall drangen Unbefugte in das IT-System der Einrichtung ein und veröffentlichten die personenbezogenen Daten von mehr als sechs Millionen Menschen im Internet. Eine der betroffenen Frauen zog vor Gericht und forderte eine Entschädigung in Höhe von 1.000 bulgarischen Lewa – umgerechnet etwa 510 Euro – wegen eines immateriellen Schadens. Der Europäische Gerichtshof (EuGH) befasste sich unter dem Aktenzeichen C-340/21 mit dem Fall und bestätigte eine verbraucherfreundliche Auslegung der Datenschutzregeln, überließ die endgültige Entscheidung zur Zahlung der Schadensersatzsumme jedoch dem nationalen Gericht. Die Luxemburger Richter stellten klar, dass ein Cyberangriff durch externe Dritte die gehackte Behörde nicht automatisch von der Haftung befreit.

Dass der EuGH über einen bulgarischen Einzelfall entscheidet, liegt am sogenannten Vorabentscheidungsverfahren: Wenn ein nationales Gericht unsicher ist, wie eine EU-Vorschrift auszulegen ist, kann es den EuGH um eine verbindliche Klärung bitten. Der EuGH interpretiert dann das EU-Recht, das nationale Gericht fällt anschließend das konkrete Urteil.

Redaktionelle Leitsätze

  1. In einem Schadenersatzprozess nach der Datenschutz-Grundverordnung trägt ausnahmslos der Verantwortliche die Beweislast dafür, dass die von ihm getroffenen technischen und organisatorischen Sicherheitsmaßnahmen geeignet und angemessen waren.
  2. Allein die im Einzelfall begründete Befürchtung einer betroffenen Person, dass ihre offengelegten personenbezogenen Daten in Zukunft von Dritten missbräuchlich verwendet werden könnten, kann einen ersatzfähigen immateriellen Schaden begründen.
  3. Ein erfolgreicher Cyberangriff durch unbefugte Dritte befreit den Datenverarbeiter nicht automatisch von der Haftung; für eine Exkulpation muss er nachweisen, dass er für den eingetretenen Schaden in keinerlei Hinsicht verantwortlich ist.

Wer trägt die Beweislast für die Datensicherheit?

Nach den Grundsätzen der Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO liegt die Beweislast für den ordnungsgemäßen Umgang mit personenbezogenen Daten aufseiten des Verantwortlichen. Das betroffene Unternehmen oder die Behörde muss aktiv beweisen, dass die getroffenen technischen und organisatorischen Schutzmaßnahmen geeignet und angemessen waren. Diese Beweislastverteilung gilt ausdrücklich auch in zivilrechtlichen Schadenersatzprozessen nach Art. 82 DSGVO. Betroffene Personen müssen folglich nicht mühsam nachweisen, welche internen Sicherheitslücken zu dem Datenabfluss geführt haben.

Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren. – so der Europäische Gerichtshof

Unter „technischen und organisatorischen Schutzmaßnahmen“ versteht man alle Vorkehrungen, die ein Unternehmen trifft, um Daten zu sichern. Dazu zählen technische Lösungen wie Verschlüsselung und Zugangskontrollen ebenso wie organisatorische Regeln, etwa Schulungen der Mitarbeiter oder interne Notfallpläne.

Für Sie als betroffene Person bedeutet das: Sie müssen vor Gericht nicht aufwendig recherchieren, welche Sicherheitslücke das Unternehmen oder die Behörde zu verantworten hat. Konzentrieren Sie sich stattdessen darauf, Ihren eigenen Schaden glaubhaft zu machen – etwa durch die Benachrichtigung über das Datenleck, Nachweise über emotionale Belastung oder konkrete Folgen wie Spam, Betrugsversuche oder Identitätsdiebstahl.

Infografik (Checkliste): Vier EuGH-Regeln zum DSGVO-Schadensersatz, die Beweislast und Haftung für Unternehmen verschärfen.
Schadensersatz beim Datenleck: Die Rechte Betroffener

Der Streit um diese Beweispflicht prägte das Verfahren vor den bulgarischen Instanzen stark. Das erstinstanzliche Verwaltungsgericht der Stadt Sofia (Administrativen sad Sofia-grad) hatte die Klage der Frau am 27.11.2020 zunächst mit der Begründung abgewiesen, sie habe nicht nachgewiesen, dass die Finanzbehörde notwendige Sicherheitsmaßnahmen unterlassen habe. Gegen diese Entscheidung wehrte sich die Bürgerin vor dem Obersten Verwaltungsgericht Bulgariens (Varhoven administrativen sad) und rügte die fehlerhafte Verteilung der Beweislast. Der Europäische Gerichtshof bestätigte ihre Ansicht und urteilte, dass die Behörde ihre Sicherheitsvorkehrungen beweisen muss, um sich zu entlasten, und nicht das Opfer des Vorfalls erbringen muss.

Wann ist die Angst vor künftigem Datenmissbrauch ein Schaden?

Der Begriff des Schadens in Art. 82 Abs. 1 DSGVO ist weit auszulegen, was auch der Erwägungsgrund 146 der europäischen Verordnung nahelegt. Die bloße Befürchtung einer betroffenen Person, dass ihre abgeflossenen Daten in der Zukunft missbräuchlich verwendet werden könnten, kann rechtlich bereits einen immateriellen Schaden darstellen. Einen Automatismus für Entschädigungen gibt es dabei jedoch nicht. Die nationalen Gerichte müssen stets prüfen, ob diese persönliche Angst unter den konkreten Umständen und bezogen auf die betroffene Person begründet ist.

Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogene Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann. – so der Europäische Gerichtshof

Erwägungsgründe sind die einleitenden Sätze einer EU-Verordnung, die den Sinn und Zweck der einzelnen Artikel erläutern. Sie sind zwar selbst keine unmittelbar geltenden Rechtsnormen, werden von Gerichten aber regelmäßig zur Auslegung der verbindlichen Artikel herangezogen.

Wenn Sie nach einem Datenleck Angst vor künftigen Missbrauch haben, dokumentieren Sie konkret, warum diese Sorge berechtigt ist: Um welche Datenkategorien handelt es sich (Gesundheitsdaten, Finanzinformationen, Adressen)? Welche realistischen Szenarien sind damit möglich? Je spezifischer Sie den Zusammenhang zwischen Ihren abgeflossenen Daten und Ihrem persönlichen Risiko darlegen, desto höher sind die Chancen auf Anerkennung als immaterieller Schaden.

Die Argumentation der betroffenen Bürgerin liefert ein greifbares Beispiel für derartige Ängste nach einem weitreichenden Leak. Sie untermauerte ihre Forderung nach finanziellem Ausgleich mit der ernsthaften Sorge vor Erpressung, Angriffen, einer Entführung oder einer anderweitigen missbräuchlichen Verwendung ihrer nun offen im Internet abrufbaren Informationen. Die Finanzbehörde bestritt jeglichen Kausalzusammenhang zwischen dem Hackerangriff und dem von der Frau behaupteten emotionalen Schaden. Der EuGH wies diese generelle Abwehrhaltung zurück und entschied unter Verweis auf Erwägungsgrund 85 der DSGVO, dass bereits der Verlust der Kontrolle über personenbezogene Daten ausreichen kann, um einen durchsetzbaren immateriellen Schaden zu begründen.

Achtung Falle: Keine Automatik bei Angst-Schäden

Die Anerkennung von Zukunftsängsten als immaterieller Schaden bedeutet keinen Automatismus. Betroffene sollten ihre Sorge vor Gericht konkret und nachvollziehbar darlegen können – bezogen auf die Art der abgeflossenen Daten und die daraus tatsächlich resultierenden Risiken. Pauschale Befürchtungen ohne erkennbaren Zusammenhang mit den eigenen geleakten Informationen reichen regelmäßig nicht aus, um eine Entschädigung zu begründen.

Wie prüfte der EuGH Sicherheitsmaßnahmen?

Die Geeignetheit technischer und organisatorischer Sicherheitsmaßnahmen richtet sich nach Art. 24 und 32 DSGVO und orientiert sich am Stand der Technik, den Implementierungskosten sowie der Art und den potenziellen Risiken einer Datenverarbeitung. Nationale Richter müssen diese Geeignetheit in einem zweistufigen Prozess untersuchen: Im ersten Schritt ermitteln sie die konkreten Risiken und deren Folgen, danach bewerten sie die Angemessenheit der tatsächlichen Umsetzung im Betrieb. Ein gerichtliches Sachverständigengutachten ist dabei laut den europäischen Regeln kein zwingend notwendiges oder automatisch hinreichendes Beweismittel.

„Stand der Technik“ bedeutet im Datenschutzrecht nicht die teuerste oder neueste Technologie, sondern die aktuell am Markt etablierten und bewährten Sicherheitsverfahren. Welche Maßnahmen konkret erforderlich sind, hängt von der Branche, der Unternehmensgröße und der Sensibilität der verarbeiteten Daten ab.

Bei dem Diebstahl aus den Systemen der bulgarischen Behörde versuchte die Leitungseinrichtung, ihre Sorgfaltsbemühungen mit detaillierten Dokumenten zu untermauern. Diese Papiere sollten belegen, dass die Verantwortlichen nach dem Angriff sämtliche Maßnahmen zur Prävention und zur Begrenzung der massiven Folgeschäden ergriffen hatten.

Sorgfalt lässt sich nicht allein durch Papiere beweisen

Der Europäische Gerichtshof erklärte in seiner Entscheidung unmissverständlich, dass allein die Tatsache eines unbefugten Zugriffs nicht ausreicht, um die Maßnahmen der Einrichtung in jedem Fall als ungeeignet einzustufen. Die europäischen Vorgaben verpflichten Datenverarbeiter nicht zu absoluter Fehlerfreiheit, sondern nur dazu, Vorfälle so weit wie möglich zu verhindern.

Pflicht zur tiefgehenden Analyse

Zugleich forderten die Richter eine tiefgehende materielle Prüfung aller verfügbaren Beweismittel durch das zuständige nationale Gericht. Das bulgarische Gericht dürfe sich bei seinem Urteil nicht darauf beschränken festzustellen, wie die Behörde ihre Pflichten theoretisch erfüllen wollte. Damit die Behörde durch den Cyberangriff der Hacker gänzlich aus der Haftung entlassen wird, muss sie nachweisen, dass in keinerlei Hinsicht ein Kausalzusammenhang zwischen einem etwaigen eigenen Datenschutzverstoß und dem entstandenen Datenabfluss besteht.

Was heißt das für Datenleck-Opfer?

Der Europäische Gerichtshof hat mit dieser Entscheidung (C-340/21) eine bindende Auslegung der DSGVO für alle EU-Mitgliedstaaten vorgelegt. Das Urteil ist kein Einzelfall: Jede Organisation, die personenbezogene Daten verarbeitet, kann sich nach einem Cyberangriff nicht mehr automatisch auf höhere Gewalt berufen. Sie muss gerichtlich nachweisen, dass ihre Sicherheitsmaßnahmen dem Stand der Technik entsprachen – und dass der Angriff selbst bei bestmöglicher Vorsorge unvermeidbar war.

„Höhere Gewalt“ bezeichnet im Recht ein unvorhersehbares Ereignis, das sich auch bei äußerster Sorgfalt nicht verhindern lässt – etwa eine Naturkatastrophe oder ein kriegerischer Angriff. Der EuGH stellt klar: Cyberangriffe zählen nicht automatisch dazu, denn Unternehmen müssen heute mit Hackerattacken rechnen und entsprechende Vorkehrungen treffen.

Für Betroffene eines Datenlecks heißt das: Sie haben gute Aussichten auf Schadenersatz, wenn Sie Ihren Schaden – ob finanziell oder als begründete Zukunftsangst – konkret darlegen. Wenden Sie sich an einen auf Datenschutz spezialisierten Anwalt, sobald Sie von einem Datenleck erfahren. Die Beweislast liegt beim datenverarbeitenden Unternehmen, nicht bei Ihnen. Achten Sie auf Verjährungsfristen: Schadenersatzansprüche nach Art. 82 DSGVO verjähren in der Regel nach drei Jahren ab Kenntnis des Schadens.


Datenleck erlitten? Ihre Ansprüche gezielt durchsetzen

Sie müssen als Betroffener nicht nachweisen, welche Sicherheitslücke das Unternehmen zu verantworten hat – die Beweislast liegt beim Verantwortlichen. Entscheidend ist, dass Sie Ihren materiellen oder immateriellen Schaden konkret und nachvollziehbar darlegen. Unsere Rechtsanwälte unterstützen Sie dabei, die richtigen Nachweise zu sichern und Ihren Anspruch fristgerecht geltend zu machen.

Jetzt unverbindlich Situation prüfen lassen

Experten-Kommentar

Viele unterschätzen, dass deutsche Gerichte trotz der verbraucherfreundlichen EuGH-Rechtsprechung immer seltener auf pauschale Textbausteine hereinfallen. In der Realität scheitern Schadensersatzklagen nach Datenlecks meist daran, dass Betroffene ihre Zukunftsangst nur formelhaft behaupten, statt sie individuell zu untermauern. Wir sehen in den Verfahren immer öfter, dass Richter genervt auf standardisierte Massenklagen reagieren und diese eiskalt abweisen.

Wer hier eine Entschädigung erstreiten will, muss den eigenen Fall absolut individuell darstellen. Betroffene sollten daher jeden Phishing-Anruf mit Uhrzeit dokumentieren, Spam-Mails sammeln und die persönliche Angst vor einem Identitätsmissbrauch detailliert für den eigenen Schriftsatz aufschreiben. Nur mit diesem greifbaren Vortrag hebt man sich von der Masse ab und hat vor Gericht eine echte Erfolgschance.


Häufig gestellte Fragen (FAQ)

Habe ich Anspruch auf Entschädigung, obwohl mir bisher kein Geld vom Konto gestohlen wurde?

JA, nach Art. 82 DSGVO können Sie auch ohne gestohlenes Geld eine Entschädigung verlangen, wenn Ihre begründete Angst vor künftigem Datenmissbrauch einen immateriellen Schaden darstellt. Ein finanzieller Verlust ist dafür nicht erforderlich.

Art. 82 Abs. 1 DSGVO erfasst ausdrücklich materielle und immaterielle Schäden, also nicht nur Kontoplünderung oder andere Vermögensschäden. Der EuGH hat klargestellt, dass bereits die konkrete Befürchtung, offengelegte Daten könnten später missbraucht werden, ersatzfähig sein kann. Entscheidend ist aber, dass die Angst auf den tatsächlich geleakten Daten beruht und nach den Umständen nachvollziehbar ist. Pauschale Sorgen ohne Bezug zu Art und Umfang des Datenlecks genügen regelmäßig nicht.

Ob eine Entschädigung zugesprochen wird, hängt deshalb davon ab, welche Daten abgeflossen sind und welche realistischen Missbrauchsrisiken daraus folgen. Bei sensiblen Informationen wie Ausweis-, Kontaktdaten oder Gesundheitsdaten ist eine begründete Sorge schneller nachvollziehbar als bei rein allgemeinen Angaben. Dokumentieren Sie deshalb genau, welche Daten betroffen sind und welche konkreten Folgen oder Risiken sich daraus ergeben.


zurück

Muss ich meine Angst vor Datenmissbrauch durch ein psychologisches Gutachten offiziell belegen?

Nein, ein psychologisches Gutachten ist nicht zwingend erforderlich; entscheidend ist, dass Sie Ihre Angst vor Datenmissbrauch konkret und nachvollziehbar auf die abgeflossenen Daten und die daraus folgenden Risiken beziehen.

Für immateriellen Schaden nach Art. 82 DSGVO verlangt der EuGH keine medizinische Diagnose und auch keinen formellen Nachweis einer psychischen Erkrankung. Die Gerichte prüfen vielmehr, ob Ihre Sorge unter den Umständen des Einzelfalls plausibel ist und ob gerade die Art der Daten ein realistisches Missbrauchsrisiko begründet. Je genauer Sie schildern, ob etwa Gesundheitsdaten, Ausweisdaten, Kontaktdaten oder Bankdaten betroffen sind, desto eher lässt sich die Angst rechtlich einordnen. Eine schlüssige, datenbezogene Risikodarlegung ersetzt deshalb regelmäßig ein teures Gutachten.

Ein Gutachten kann in Streitfällen zwar zusätzlich hilfreich sein, wenn es bereits vorliegt oder wenn konkrete psychische Folgen belegt werden sollen. Für die erste Anspruchsbegründung reicht es aber meist aus, die Datenkategorien, den Verlust der Kontrolle und die realistischen Folgen wie Erpressung, Identitätsdiebstahl oder gezielte Kontaktaufnahme sauber darzustellen.


zurück

Wie wehre ich mich, wenn das Unternehmen den Hack als unvermeidbare höhere Gewalt darstellt?

NEIN, Sie müssen sich gegen dieses Argument nicht selbst „freikämpfen“; nach Art. 82 Abs. 3 DSGVO und der EuGH-Entscheidung C-340/21 liegt die Beweislast beim Unternehmen, nicht bei Ihnen. Das Unternehmen muss vor Gericht darlegen, dass seine Sicherheitsmaßnahmen dem Stand der Technik entsprachen und der Angriff trotz bestmöglicher Vorsorge unvermeidbar war.

Der EuGH stellt klar, dass Cyberangriffe nicht automatisch höhere Gewalt sind, weil Unternehmen heute mit solchen Angriffen rechnen und ihre Systeme entsprechend absichern müssen. „Höhere Gewalt“ setzt ein außergewöhnliches, nicht beherrschbares Ereignis voraus; ein erfolgreicher Hack genügt dafür regelmäßig nicht. Gleichzeitig folgt aus der Rechenschaftspflicht nach Art. 5 Abs. 2, Art. 24 und Art. 32 DSGVO, dass das Unternehmen seine technischen und organisatorischen Schutzmaßnahmen selbst belegen muss. Sie müssen daher nicht recherchieren, welche internen Lücken es gab, sondern können verlangen, dass das Unternehmen seine Schutzvorkehrungen schriftlich offenlegt.

Praktisch ist es sinnvoll, dem Unternehmen schriftlich mitzuteilen, dass Sie die Berufung auf höhere Gewalt nicht akzeptieren und eine Darlegung der konkreten Schutzmaßnahmen erwarten. Sollte es keine nachvollziehbare Dokumentation vorlegen können, spricht das gegen eine Entlastung nach Art. 82 Abs. 3 DSGVO. Gerade bei pauschalen Schutzbehauptungen ohne belastbaren Nachweis bleibt die Haftung in der Regel bestehen.


zurück

Wer ist mein Ansprechpartner, wenn nicht das Unternehmen, sondern deren IT-Dienstleister gehackt wurde?

Ihr Ansprechpartner ist in der Regel das Unternehmen, bei dem Sie Kunde sind, nicht dessen externer IT-Dienstleister. Im Datenschutzrecht haftet grundsätzlich der „Verantwortliche“, also die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Dass die IT ausgelagert war, ändert an dieser Zuständigkeit meist nichts.

Der IT-Dienstleister ist rechtlich häufig nur Auftragsverarbeiter und handelt für das Unternehmen, ohne selbst Ihr Vertragspartner zu sein. Nach Art. 82 DSGVO richtet sich ein Schadenersatzanspruch deshalb primär gegen das Unternehmen, das Ihre Daten verarbeitet und sichern muss. Dieses Unternehmen kann sich nicht einfach mit dem Hinweis entlasten, der eigentliche Hack sei beim Dienstleister passiert, weil es die Auswahl, Kontrolle und Überwachung der Verarbeitung verantwortet.

Adressieren Sie Ihre Forderung daher an die Geschäftsführung oder den Datenschutzbeauftragten des Unternehmens. Nur wenn ausnahmsweise der Dienstleister selbst eigenständig über Zwecke und Mittel entschieden hat, kann auch er als Verantwortlicher in Betracht kommen.


zurück

Wie beweise ich den Zusammenhang zwischen dem Datenleck und plötzlich auftretenden Phishing-Versuchen?

Sie müssen keine technische Kausalität beweisen, sondern den Zusammenhang über Zeit, Inhalt und Umfang der Nachrichten glaubhaft machen. Dokumentieren Sie dafür die Phishing-Mails, SMS oder Anrufe sofort mit Screenshots und sichern Sie das Benachrichtigungsschreiben zum Datenleck.

Im Verfahren nach Art. 82 DSGVO trägt das Unternehmen die Beweislast dafür, dass seine Sicherheitsmaßnahmen ausreichend waren. Sie müssen deshalb nicht nachweisen, welche interne Lücke den Angriff ermöglicht hat, sondern nur Ihren Schaden und dessen Plausibilität darlegen. Dafür genügt regelmäßig, wenn die Phishing-Versuche zeitlich kurz nach dem Datenleck beginnen und konkrete, zuvor abgeflossene Daten enthalten oder auffällig darauf zugeschnitten sind. Genau solche Übereinstimmungen machen den Zusammenhang nachvollziehbar.

Besonders hilfreich ist es, wenn Sie in Ihren Belegen erkennbar machen, welche Daten im Leak betroffen waren und welche davon im Phishing wieder auftauchen. Löschen Sie verdächtige Nachrichten nicht vor der Sicherung, weil sie sonst als Beweismittel verloren gehen. Wenn bereits ein finanzieller Verlust oder eine konkrete Belastung eingetreten ist, sollte auch das getrennt festgehalten werden.


zurück

Verliere ich meinen Anspruch auf Schadenersatz, wenn meine Daten bereits durch frühere Leaks kursierten?

NEIN, Sie verlieren Ihren Anspruch nicht automatisch, nur weil Ihre Daten schon aus früheren Leaks im Umlauf sind. Jedes weitere Datenleck kann den Kontrollverlust verstärken und einen eigenen Schaden nach Art. 82 DSGVO auslösen.

Entscheidend ist nicht, ob einzelne Daten bereits irgendwo kursierten, sondern ob der neue Vorfall zusätzliche Risiken schafft oder Ihren bisherigen Kontrollverlust vertieft. Ein weiteres Leck kann etwa den Abgleich mit anderen Datensätzen, neue Identitätsdiebstähle oder eine genauere Profilbildung ermöglichen, selbst wenn Teile der Informationen schon bekannt waren. Nach Art. 82 Abs. 3 DSGVO muss das Unternehmen außerdem selbst beweisen, dass es für den konkreten Schaden in keinerlei Hinsicht verantwortlich ist. Ein pauschaler Hinweis auf frühere Darknet-Leaks reicht dafür regelmäßig nicht aus, weil er den eigenen Datenabfluss nicht entlastet.

Wichtig ist deshalb, dass Sie die konkret beim neuen Vorfall betroffenen Daten und die daraus neu entstandenen Risiken festhalten. Gerade wenn zusätzlich Passwörter, Adressdaten oder andere Kombinationen offengelegt wurden, kann der neue Schaden deutlich über frühere Veröffentlichungen hinausgehen.


zurück


Hinweis/Disclaimer: Teile der Inhalte dieses Beitrags, einschließlich der FAQ, wurden unter Einsatz von Systemen künstlicher Intelligenz erstellt oder überarbeitet und anschließend redaktionell geprüft. Die bereitgestellten Informationen dienen ausschließlich der allgemeinen unverbindlichen Information und stellen keine Rechtsberatung im Einzelfall dar und können eine solche auch nicht ersetzen. Trotz sorgfältiger Bearbeitung kann keine Gewähr für Richtigkeit, Vollständigkeit und Aktualität übernommen werden. Die Nutzung der Informationen erfolgt auf eigene Verantwortung; eine Haftung wird im gesetzlich zulässigen Umfang ausgeschlossen.

Wenn Sie einen ähnlichen Fall haben und konkrete Fragen oder Anliegen klären möchten, kontaktieren Sie uns bitte für eine individuelle Prüfung Ihrer Situation und der aktuellen Rechtslage.


Das vorliegende Urteil


Az.: C-340/21 – Urteil vom 14.12.2023




* Der vollständige Urteilstext wurde ausgeblendet, um die Lesbarkeit dieses Artikels zu verbessern. Klicken Sie auf den folgenden Link, um den vollständigen Text einzublenden.

Hinweis: Informationen in unserem Internetangebot dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar und können eine individuelle rechtliche Beratung auch nicht ersetzen, welche die Besonderheiten des jeweiligen Einzelfalles berücksichtigt. Ebenso kann sich die aktuelle Rechtslage durch aktuelle Urteile und Gesetze zwischenzeitlich geändert haben. Benötigen Sie eine rechtssichere Auskunft oder eine persönliche Rechtsberatung, kontaktieren Sie uns bitte.

Wie können wir Ihnen helfen?

Wir sind Ihr Ansprechpartner in allen rechtlichen Angelegenheiten. Rufen Sie uns an um einen Beratungstermin zu vereinbaren oder nutzen Sie unser Kontaktformular für eine unverbindliche Ersteinschätzung.

Rechtsanwälte Kotz - Kreuztal

Urteile und Rechtstipps

Unsere Kontaktinformationen

Rechtsanwälte Kotz GbR

Siegener Str. 104 – 106
D-57223 Kreuztal – Buschhütten
(Kreis Siegen – Wittgenstein)

Telefon: 02732 791079
(Tel. Auskünfte sind unverbindlich!)
Telefax: 02732 791078

E-Mail Anfragen:
info@ra-kotz.de
ra-kotz@web.de

Rechtsanwalt Hans Jürgen Kotz
Fachanwalt für Arbeitsrecht

Rechtsanwalt und Notar Dr. Christian Kotz
Fachanwalt für Verkehrsrecht
Fachanwalt für Versicherungsrecht
Notar mit Amtssitz in Kreuztal

Bürozeiten:

Montags bis Donnerstags von 8-18 Uhr
Freitags von 8-16 Uhr

Individuelle Terminvereinbarung:
Mo-Do nach 18 Uhr und Samstags möglich.
Wir richten uns flexibel an die Bedürfnisse unserer Mandanten.