Im folgenden handelt es sich um eine reine Urteilsveröffentlichung, dessen Verfahren wir geführt und für unseren Mandanten gewonnen haben.
Die Parteien streiten um Schadensersatz, Feststellungs- und Unterlassungsansprüche aus einem Hackerangriff im Sommer 2022 und damit verbundenen Zugriffs und Kopierens einer Vielzahl an Daten, u. a. auch denen des Klägers, wegen in diesem Zusammenhang streitiger Verstöße der Beklagten gegen die Datenschutz-Grundverordnung (DSGVO).
Der Kläger ist Arbeitnehmer bei der Beklagten. Im Rahmen des On-Boarding Prozesses zum Beginn des Arbeitsverhältnisses, sowie in den Jahren der Beschäftigung des Klägers bei der Beklagten wurden personenbezogene Daten des Klägers wie beispielweise vollständiger Name, Geschlecht, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Telefonnummer, E-Mail-Adresse, Gehaltsangaben, IBAN und Bankdaten, Firmenzugehörigkeit, Beginn der Beschäftigung, Abteilung, Jobbezeichnung, Arbeitsstunden, Personalnummer, Ausbildungsgrad, Beschäftigungsgrad und Angestelltenstatus von der Beklagten erfasst und gespeichert.
Im Sommer 2022 kam es bei der Beklagten zu einem Cyberangriff, bei welchem ein unter dem Namen Lockbit agierendes Hackerkollektiv u. a. Mitarbeiterdaten ausgelesen und neben einer Vielzahl anderer Daten u. a. der Beklagten im sogenannten Darknet zum Verkauf angeboten haben. Ein paar Monate später berichteten die Medien hierüber. Hintergrund dieses Hackerangriffs war folgender: Ab November 2017 war bei einer ungarischen Gesellschaft des Continental-Konzerns, der Continental Automotive Hungary Kft., ein IT-Mitarbeiter am Standort Vizprem tätig. Seine Tätigkeit umfasste das Testen neuer Software und neuer Software-Komponenten. Dafür erhielt der IT-Mitarbeiter spezifische Administratorrechte, die auch die Installation und Ausführung von Drittsoftware umfasste. Der IT-Mitarbeiter wurde mit einem Dienstlaptop ausgestattet und arbeitete überwiegend im Home-Office. Die private Nutzung des Dienstlaptops war dem Mitarbeiter untersagt und im Arbeitsvertrag war geregelt, dass er Geräte des Arbeitgebers nur für dienstbezogene Aufgaben verwendet darf und nicht für private Zwecke nutzen darf. Der Laptop war mit einem Virenscanner und einer Firewall ausgestattet. Der Zugriff vom Laptop auf das Firmennetzwerk war nur über VPN möglich und gestattet. Der IT-Mitarbeiter nahm regelmäßig an IT-Sicherheitsschulungen teil. Im Sommer 2022 nutze der IT-Mitarbeiter den Dienstlaptop dennoch zum Gaming, Filesharing und Streaming sowie zum privaten Surfen im Internet. Dabei deaktivierte er die verpflichtende vorgeschriebene VPN-Verbindung. Er installierte ohne entsprechende Genehmigung verschiedene Fremdprogramme, die in keinem Zusammenhang mit der arbeitsvertraglichen Tätigkeit standen, darunter den für Computerspiele optimierten Webbrowser OperaGX. Am 01.07.2022 gelangte der IT-Mitarbeiter mittels OperaGX und über eine Google Suche auf die Webseite „nagy-autoszerviz.hu“. Das ungarische Wort „Autoszerviz“ steht für Autoservice, oder durch die Beklagte frei übersetzt für Autowerkstatt. Von dieser Seite lud er ein vermeintliches Update für OperaGX herunter und installierte dieses. Tatsächlich handelte es sich nicht um ein Update, sondern um eine Schadsoftware. Durch diese wurde der Dienstlaptop des IT-Mitarbeiters mit einem Trojaner des Hackerkollektivs Lockbit kompromittiert. Der betroffene Standort in Veszprem über zwei Datenzentren, die jeweils mit einem „Intrusion Prevention System“ (ein Angriffserkennungssystem) ausgestattet waren. Dennoch konnten die Hacker mit Hilfe der Malware Zugriff auf die IT-Systeme der Continental und damit auch der Beklagten nehmen, auf denen sie ca. einen Monat lang unerkannt verweilten. Denn es gelang ihnen weitere Accounts zu übernehmen und bei verschiedenen Windows Domains verschiedener Continental-Gesellschaften personenbezogene Daten zu entwenden. Bei diesem Vorfall wurden der vollständige Name, das Geschlecht und Geburtsdatum, der Geburtsort und die Staatsangehörigkeit, Gehaltsangaben, die IBAN und Bankdaten, die Firmenzugehörigkeit und der Beginn der Beschäftigung, die Abteilung, Jobbezeichnung, Arbeitsstunden, Personalnummer sowie der Ausbildungs- und Beschäftigtengrad und Angestelltenstatus des Klägers erlangt.
Zum Zeitpunkt des Hackerangriffs waren folgende technische und organisatorische Maßnahmen, von der Beklagten implementiert:
Bei der Continental Ungarn, die Ausgangspunkt des streitgegenständlichen Cyberangriffs war, waren ebenfalls umfangreiche technisch-organisatorische Maßnahmen zur Sicherung der IT-Infrastruktur implementiert, zu denen die Beklagte näher ausgeführt hat. Insoweit wird auf S. 12 ff. des Schriftsatzes vom 30.05.2025 Bezug genommen.
Als nach ca. einem Monat Continental Kenntnis von dem Hacker-Angriff erlangte, entfernte sie die Hacker aus ihren IT-Systemen. Die Täter des Hackerangriffs boten Continental an, sämtliche erlangte Daten gegen Zahlung eines Lösegeldes zurückzugeben. Die Beklagte ist hierauf – wie von Behörden für solche Fälle dringend empfohlen- nicht eingegangen. Danach wurde eine Liste der Dateinamen der kopierten Daten (nicht aber einzelne Daten) im sog. Darknet veröffentlicht und die dahinterstehenden Daten zum Verkauf angeboten, wobei von der Beklagten nach durchgeführten sogenannten Darknet-Screenings keine Verkäufe ermittelt werden konnten. Die kopierten Daten wurden nicht veröffentlicht.
Weder gegen die Beklagte selbst, noch gegen andere Gesellschaften der Continental wurden Bußgeldverfahren nach Art. 83 DSGVO eingeleitet oder Bußgelder im Zusammenhang mit dem streitgegenständlichen Cyberangriff verhängt. Das aufgrund der Meldung nach Art. 33 DSGVO gegen die Muttergesellschaft der Beklagten, die Continental AG, eingeleitete Prüfverfahren schloss die Landesbeauftragte für den Datenschutz in Niedersachsen ab, ohne Abhilfemaßnahmen zu ergreifen, weil sie solche nicht für notwendig erachtete.
Mit Schreiben vom 23.03.2023 informierte die Continental den Kläger über den Cyberangriff und u.a. darüber, welche Daten grundsätzlich betroffen seien, in Form eines Serienbriefes. Der Kläger machte danach mit Schreiben vom 01.06.2024 ein Auskunftsbegehren hinsichtlich der von ihm tatsächlich betroffenen Daten geltend, welchen die Beklagte mit Schreiben vom 03.07.2024 nachkam.
Der Kläger machte seine Schadensersatzforderungen mit Aufforderungsschreiben vom 29.11.2023 gegenüber der Beklagten geltend. Diese reagierte mit der Zurückweisung sämtlicher Forderungen.
Der Kläger behauptet, auch seine Handynummer sowie seine E-Mailadresse seien Teil der bei dem Hackerangriff von den Hackern kopierten Daten gewesen, da er in der Folgezeit ein vermehrtes Vorkommen in Form von Spam-E-Mails und Spam-Nachrichten erlebt habe. Die Beklagte habe nicht hinreichend durch geeignete technische Maßnahmen dafür Sorge getragen, dass Dritte keinen Zugriff auf Datensätze erhalten. Zum immateriellen Schaden macht der Kläger geltend, es habe sich bei ihm neben den benannten Spam-Aufkommen und dem Kontrollverlust über seine Daten und zwischenzeitlich ein grundsätzliches Unbehagen und eine generelle Unsicherheit bezüglich der Echtheit erlangter E-Mails sowie bei Kontaktversuchen durch unbekannte Telefonnummern eingestellt. Er lebe seitdem in ständiger Sorge über den Verbleib seiner Daten und den unbefugten Zugang Dritter hierauf. Er müsse nunmehr damit rechnen, dass seine höchstpersönlichen Daten und die Bankdaten durch widerrechtlich durch unbefugte Dritte für Manipulationen im Rahmen von Internetkäufen, Identitätsdiebstahl etc. verwendet würde, ohne dass er hierauf einen Einfluss habe.
Der Kläger ist der Ansicht, es liege ein Verstoß gegen Art. 5 Abs. 1 lit. f), 15, 25 Abs. 1 und 32 DSGVO vor, weil die Beklagte keine geeigneten technischen bzw. organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten vorgesehen hätte. Die Beweislast dafür trage nach Art. 5 Abs. 2 DSGVO die Beklagte. Die Beklagte müsse sich auch das Verhalten eines Konzernmitarbeiters zurechnen lassen. Zudem fehle es an jeglicher Erklärung für die Zugriffsmöglichkeit von Daten der Beklagten nach einem bei einer Schwestergesellschaft installierten Trojaner. Zudem habe die Beklagte selbst ihrer Auskunftspflicht nach Art. 15 DSGVO nicht vollständig genügt, da die Beklagte – aus seiner Sicht auch verspätet − lediglich lange Excel-Tabellen in englischer Sprache zur Verfügung gestellt habe, die nicht hinreichend verständlich gewesen seien. Die erst elf Monate Zeit nach Kenntniserlangung von dem Datenschutzvorfall erfolgte Auskunft durch die Beklagte müsse im Rahmen der Höhe der Entschädigungssumme zu ihren Lasten berücksichtigt werden. Der Kläger ist weiter der Ansicht, es bestehe ein Feststellungsinteresse für seinen Feststellungsantrag, weil nicht abgesehen werden könne, welche Dritte Zugriff auf seine Daten hatten und wie sie die Daten noch missbrauchen könnten. Aus dem Grund sei auch sein Unterlassungsantrag berechtigt und begründet.
Der Kläger beantragt,
Die Beklagte beantragt,
die Klage abzuweisen.
Die Beklagte behauptet, die Handynummer und die E-Mailadresse des Klägers seien nicht Bestandteil der im Rahmen des Hackerangriffs betroffenen Daten des Klägers gewesen. Es seien von den Hackern allein die im Schreiben vom 03.07.2025 benannten Daten des Klägers kopiert worden. Sie behauptet weiter, dass insgesamt bei ihr ein hinreichendes Datensicherheitsniveau bestehe und bestanden habe, weil die von ihr zum Schutz der personenbezogenen Daten ihrer Mitarbeiter getroffenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO in ihrer Gesamtheit zu jedem Zeitpunkt wirksam, angemessen gewesen seien und dem Stand der Technik entsprochen hätten. Bei dem vorliegenden Cyberangriff handele es sich um einen hochprofessionellen und gezielt durchgeführten Angriff, um dem Unternehmen bewusst Schaden zuzufügen und sich dadurch zu bereichern. Gegen Cyberangriffe dieser Art könne sich ein Unternehmen selbst dann nicht schützen, wenn es – wie sie – angemessene technisch-organisatorische Maßnahmen zur Sicherung der IT-Infrastruktur getroffen habe. Keinesfalls könne daher von dem Zugriff der Hackergruppe und dem damit verbundenen Datenschutz-Vorfall auf eine Unzulänglichkeit der bei der Beklagten bestehenden Sicherheitssysteme geschlossen werden.
Die Beklagte ist der Auffassung, weder sei ihr ein Verstoß gegen die DSGVO vorzuwerfen, noch sei dem Kläger ein ersatzfähiger Schaden entstanden. Der Kläger habe zu dem angeblich erlittenen Schaden nur floskelhaft und unter Verwendung von Textbausteinen vorgetragen. Der vom Kläger geltend gemachte Kontrollverlust sei nicht schon per se ein immaterieller Schaden und daneben fehle es auch an Vortrag des Klägers zu den vermeintlichen Folgen dieses Kontrollverlustes. Etwaige – bestrittene − Sorgen bzw. Unbehagen des Klägers bei Kontaktversuchen Dritter sei objektiv nicht nachvollziehbar und beruhe nicht kausal auf dem Cyberangriff auf die Beklagte, da seine E-Mailadresse und Handynummer bei dem Cyberangriff nicht kopiert worden seien. Zudem sei der Vorfall ihr nicht zurechenbar, da der IT-Mitarbeiter kein Mitarbeiter der Beklagten, sondern einer unabhängigen Gesellschaft des Continental-Konzerns, der Continental Automotive Hungary Kft., sei. Darüber hinaus habe dieser Mitarbeiter eklatant und bewusst gegen ausreichende interne Vorgaben und Anweisungen seines Arbeitgebers sowie gegen konzernweite Vorgaben verstoßen, und damit ein Exzess vorgelegen, der ebenfalls jegliche Zurechenbarkeit entfallen lasse. Auch aus dem Auskunftsanspruch des Klägers folge kein Schaden. Sie habe diesen ordnungsgemäß erfüllt; ihr Benachrichtigungsschreiben sowie das Auskunftsschreiben stünden im Einklang mit Art. 34 bzw. Art. 15 DSGVO.
Hinsichtlich des weiteren Vorbringens der Parteien wird ergänzend auf den Inhalt der gewechselten Schriftsätze nebst Anlagen und die Sitzungsprotokolle Bezug genommen.
Die Klage ist – soweit sie zulässig ist − im tenorierten Umfang begründet.
Der Zahlungsantrag zu Ziff. 1 hat zum Teil und der Feststellungsantrag zu Ziff. 2 in vollem Umfang Erfolg. Der Unterlassungsantrag zu Ziff. 3 unterlag aufgrund der aus seiner Unbestimmtheit folgenden Unzulässigkeit der Abweisung.
I.
Der auf Ersatz immaterieller Schäden gerichtete Zahlungsantrag zu Ziff. 1 ist zulässig, insbesondere streitgegenständlich hinreichend i.S.v. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt, und dem Grunde nach begründet; er ist jedoch der Höhe nach teilweise unbegründet, da dem Kläger der geltend gemachte immaterielle Schadensersatz aus Art. 82 Abs. 1 DSGVO allein in Höhe von 1.500,00 Euro zusteht.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Hieraus ergeben sich drei kumulative Voraussetzungen: Ein Verantwortlicher oder Auftragsverarbeiter muss gegen die DSGVO verstoßen haben, der betroffenen Person muss hierdurch ein materieller oder immaterieller Schaden entstanden sein und dieser Schaden muss kausal auf den Verstoß zurückgehen.
Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (vgl. EuGH, Urteil v. 11.04.2024 – C-741/21, NJW 2024, 1561; EuGH, Urteil v. 25.01.2024 – C-687/21, NZA 2024, 320 – MediaMarktSaturn; BGH, Urteil v. 18.11.2024 – VI ZR 10/24, GRUR 2024, 1910). Nicht nachzuweisen hat die betroffene Person im Rahmen eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO hingegen ein Verschulden des Verantwortlichen. Denn Art. 82 DSGVO sieht eine Haftung für vermutetes Verschulden vor, die Exkulpation obliegt nach Art. 82 Abs. 3 DSGVO dem Verantwortlichen (vgl. BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O. mit Verweis auf EuGH, Urteil v. 11.04.2024 – C-741/21, a.a.O.; EuGH, Urteil v. 21.12.2023 – C-667/21, ZD 2024, 146 – Krankenversicherung Nordrhein; vgl. ferner ErwG 146 S. 2 DSGVO; BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O.).
Diese Voraussetzungen sind vorliegend erfüllt. Der Anwendungsbereich der Norm ist eröffnet (dazu unter a) ) und die Beklagte hat als Verantwortliche gegen die DSGVO verstoßen (dazu unter b) ), weil sie den ihr obliegenden Exkulpationsnachweis nicht geführt hat (dazu unter c) ). Der Kläger hat einen ersatzfähigen Schaden erlitten, der kausal auf die Verstöße der Beklagten zurückzuführen ist (dazu unter d) ) und den die Kammer mit 1.500,00 Euro beziffert (dazu unter e) ).
Der zeitliche Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ist nach Art. 99 Abs. 2 DSGVO eröffnet, weil sich der streitgegenständliche Vorfall unstreitig im Jahr 2022 ereignete. Auch ist die DSGVO räumlich (Art. 3 Abs. 1 DSGVO) und sachlich anwendbar (Art. 2 Abs. 1 DS GVO).
Der Beklagten ist als Verantwortlicher nach Art. 4 Nr. 7 DSGVO jedenfalls ein Verstoß gegen Art. 5 Abs. 1 lit. f) sowie Art. 32 Abs. 1 lit. b) und d) DSGVO vorzuwerfen, weil sie keine geeigneten technischen und organisatorischen Maßnahmen getroffen hat, die sicherstellen konnten, dass die Daten ihrer Mitarbeiter, hier des Klägers, hinreichend geschützt sind vor einem Zugriff sowie der Vervielfältigung durch unbefugte Dritte wie das hier agierende Hackerkollektiv Lockbit. Über das Vorliegen der weiteren vom Kläger gerügten Verstöße der Beklagten gegen die DSGVO musste die Kammer nicht entscheiden.
Die Beklagte hat gegen die ihr als Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO gemäß Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit. b) und d) DSGVO auferlegte Obliegenheit verstoßen, hinreichende technische und organisatorische Maßnahmen zum Schutz der Rechte und der personenbezogenen Daten ihrer Arbeitnehmer, hier des Klägers, insbesondere vor unbefugter Verarbeitung zu treffen.
Gemäß Art. 5 Abs. 1 lit. f) DSGVO müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Nach Art. 32 lit. b) und d) DSGVO haben der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die hiernach erforderlichen Maßnahmen schließen unter anderem nach lit. b) ein, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen sowie gemäß lit. d), ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Art. 32 DSGVO enthält darüber hinaus jedoch keine konkreten Vorgaben zu erforderlichen Maßnahmen. Es ist damit eine Frage des konkreten Einzelfalls, ob die vom Verantwortlichen getroffenen Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren (OLG Hamm, Urteil v. 15.08.2023 – 7 U 19/23, GRUR 2023, 1791).
Unter personenbezogenen Daten werden nach Art. 4 Nr. 1 DSGVO alle Informationen verstanden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die durch den Hackerangriff unstreitig abgegriffenen Daten des Klägers betrafen jedenfalls den vollständigen Namen, das Geschlecht und Geburtsdatum, den Geburtsort und die Staatsangehörigkeit, Gehaltsangaben, die IBAN und Bankdaten, die Firmenzugehörigkeit und der Beginn der Beschäftigung, die Abteilung, Jobbezeichnung, Arbeitsstunden, Personalnummer und den Ausbildungsgrad und Beschäftigtengrad sowie den Angestelltenstatus des Klägers. Damit ist es möglich, den Kläger zu identifizieren. Es handelt sich mithin um personenbezogene Daten.
Für die Beurteilung des angemessenen Schutzniveaus kommt es darauf an, insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind. Sei es insbesondere durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden; dabei ist unbeachtlich, ob dies unabsichtlich oder unrechtmäßig, oder durch unbefugte Offenlegung geschah (BeckOK DatenschutzR/Paulus, 52. Ed. 1.11.2021, DSGVO Art. 32 Rn. 10).
Der Begriff des „Verantwortlichen“ ist in Art. 4 Nr. 7 DSGVO legal definiert. Demnach ist Verantwortlicher „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. „Auftragsverarbeiter“ ist nach Art. 4 Nr. 8 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.
Gemessen hieran hat die Beklagte als Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO nicht hinreichend dargelegt, dass für die von ihr bzw. ihren/m Auftragsdatenverarbeiter(n) für die Speicherung der betroffenen personenbezogenen Daten des Klägers genutzten Systeme und/oder Dienste durch sie bzw. ihr(e) Auftragsdatenverarbeiter grundsätzlich nach Art. 5 Abs. 1 lit. f) sowie Art. 32 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen getroffen wurden, um vor allem die in Art. 5 Abs. 1 lit. f) und 32 Abs. 1 lit. b) Vertraulichkeit und Integrität der Daten im Zusammenhang mit deren Verarbeitung – hier in Form der streitgegenständlichen Speicherung – auf Dauer sicherzustellen. Ebenfalls nicht hinreichend dargelegt hat die Beklagte, dass sie bzw. ihr(e) Auftragsdatenverarbeiter ein geeignetes Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung i.S.d. Art. 32 Abs. 1 lit. d) implementiert hatte.
Zunächst ist festzustellen, dass der EuGH bereits entschieden hat, dass bei Verstößen gegen die Vorschriften der Art. 5 bis 11 DSGVO, mithin des zweiten Kapitels der Datenschutz-Grundverordnung, die Grundsätze für die Verarbeitung von Daten aufstellen, zugleich eine unrechtmäßige Datenverarbeitung vorliegt (vgl. EuGH, Urteil v. 04.05.2023 – C-60/22, ZD 2023, 606 – Bundesrepublik Deutschland [Elektronisches Gerichtsfach]). Bedenken gegen die Anwendbarkeit des Art. 82 Abs. 1 DSGVO auf Verstöße gegen Art. 5 DSGVO bestehen daher nicht (vgl. auch bereits EuGH, Urteil v. 25.01.2024 – C-687/21, CR 2024, 160– Media-MarktSaturn; EuGH, Urteil v. 14.12.2023 – C-340/21, NJW 2024, 1091 – Natsionalna agentsia za prihodite).
Auch für Verstöße gegen Vorschriften aus dem vierten Kapitel der Datenschutz-Grundverordnung (Art. 24 bis 43 DSGVO) hat der Gerichtshof zu einzelnen Vorschriften bereits angenommen, dass ein Schadensersatzanspruch aus Art. 82 DSGVO möglich ist (vgl. zu einem Verstoß gegen Art. 32 DSGVO EuGH, Urteil v. 25.01.2024 – C-687/21, a.a.O.; EuGH, Urteil v. 14.12.2023 – C-340/21, a.a.O.; für Verstöße gegen Art. 26 und 30 DSGVO EuGH, Urteil v. 04.05.2023 – C-60/22, a.a.O.; BGH, Urteil v.18.11.2024 – VI ZR 10/24, a.a.O.).
Entgegen der Auffassung der Beklagten oblag es vorliegend nicht dem Kläger, konkrete Anhaltspunkte für fehlende oder unzureichende Maßnahmen im Zusammenhang mit dem Cyberangriff vorzutragen, sondern die Beklagte traf Darlegungs- und Beweislast darüber, die betroffenen personenbezogenen Daten des Klägers entsprechend der DSGVO verarbeitet, mithin auch gespeichert, zu haben.
Obwohl es sich bei dem für die Haftung nach Art. 82 DSGVO erforderlichen Verstoß gegen die DSGVO im Zuge der Datenverarbeitung um eine anspruchsbegründende Voraussetzung handelt, ist nicht die klägerische Partei für einen solchen Verstoß darlegungs- und beweisbelastet, denn die DSGVO enthält in Art. 5 Abs. 2 DSGVO eine spezifische Beweislastregelung. Danach ist nämlich der für die Datenverarbeitung Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO enthaltenen Grundsätze der Datenverarbeitung verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“). Er muss damit also generell auch im arbeitsrechtlichen Gerichtsverfahren nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält (EuGH, Urteil v. 04.07.2023 – C-252/21, GRUR 2023, 1131; EuGH, Urteil v. 04.05.2023 – C-60/22, a.a.O.; EuGH, Urteil v. 24.02.2022 – C-175/20, EuZW 2022, 527; vgl. zu Art. 32, 24 DSGVO speziell auch GA Pitruzzella Schlussanträge v. 27.04.2023 – C-340/21, NJW 2024, 1091; siehe auch BVerwG, Urteil v. 01.03.2022 – 6 C 7 /20, NVwZ 2022, 1205). Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren (EuGH, Urteil v. 14.12.2023 – C-340/21, a.a.O.). Dies erfordert konkreten und detaillierten prozessualen Vortrag zur Gesamtheit der getroffenen Maßnahmen in Bezug die betroffenen personenbezogenen Daten sowie dazu, welche Risikoprognose der Verantwortliche angestellt hat und weshalb er die von ihm getroffenen Maßnahmen ex ante für ausreichend gehalten hat (ebenso AG Chemnitz, Endurteil v. 14.03.2025 – 16 C 1327/24, GRUR-RS 2025, 11998).
Gemessen an den vorstehenden Ausführungen hat als i.S.v. Art. 4 Nr. 7 DSGVO für die Datenverarbeitung verantwortliche Beklagte vorliegend weder schlüssig dargelegt noch gar be-wiesen, dass ihre streitgegenständliche Datenverarbeitung in Form der Speicherung der von dem Hackerangriff bei der Beklagten betroffenen Daten des Klägers entgegen dem klägerischen Vorbringen nicht gegen die in Art. 5 Abs. 1 DSGVO normierten Grundsätze verstoßen hat.
Die Beklagte hat als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO gehandelt, da sie als Arbeitgeberin des Klägers dessen hier kompromittierte Daten erlangt und gespeichert hatte und die Hackerzugriff auf diese Daten auf den von der Beklagten hierfür genutzten Systemen hatten.
Mit der Beklagten ist zu berücksichtigen, dass die Art. 24 und 32 der DSGVO dahin auszulegen sind, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren (so EuGH im Urteil v. 14.12.2023 – C-340/21, a.a.O.).
Jedoch hat die Beklagte keinen hinreichenden Vortrag dafür erbracht, dass die von ihr getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren, um die Daten des Klägers unter Berücksichtigung der mit der betreffenden Verarbeitung verbundenen Risiken zu schützen und dass die Art, den Inhalt und die Umsetzung der insoweit getroffenen Maßnahmen im Hinblick auf diese Risiken angemessen waren.
Die Beklagte hat vorgetragen, die Daten des Klägers – soweit sie unstreitig vom Hackerangriff im Sommer 2022 betroffen waren – nicht Dritten zugänglich gemacht zu haben. Gegen einen so hochprofessionellen Hackerangriff wie denen des Hackerkollektivs Lockbit mit besonderer krimineller Energie, planmäßigem Vorgehen und besonderem technischen Know-How sei kein Schutz möglich. Sie behauptet, dass die von ihr zum Schutz der personenbezogenen Daten ihrer Mitarbeiter getroffenen technischen und organisatorischen Maßnahmen zu jedem Zeitpunkt wirksam und angemessen waren und dem Stand der Technik gemäß Art. 32 DSGVO entsprachen. Dies genügt aufgrund der Pauschalität dieser Behauptung nicht.
Soweit die Beklagte zur Erläuterung dieser Behauptung anführt, dass sie – sowie auch die Muttergesellschaft Continental AG − für den Bereich IT-Sicherheit, welcher die Abteilungen IT, Cybersecurity und Data Compliance erfasse, Rollen und Zuständigkeiten definiert und die Organisation dabei so aufgebaut habe, dass die Umsetzung der Maßnahmen sowohl auf zentrale als auch lokaler Ebene sichergestellt sei, dies auch durch enge Kooperation der Abteilung miteinander und regelmäßige Reviews nebst implementierter Reporting-Struktur, ergibt sich hieraus kein hinreichend konkreter Tatsachenvortrag, um konkrete Feststellungen der Kammer in Bezug auf diesen Maßnahmenbereich zu ermöglichen.
Des Weiteren ermöglicht der Vortrag der Beklagten, sie habe unter Nennung von Beispielen Zutritts-, Zugangs- und Zugriffskontrollen vorgesehen, welche den Zutritt zu Datenverarbeitungsanlagen für Unbefugte untersagten, die Nutzung von Datenverarbeitungsanlagen von Unbefugten verhinderten sowie gewährleisteten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen könnten, keine Bewertung der grundsätzlichen Geeignetheit dieser Maßnahmen zur Gewährleistung der Vertraulichkeit dieser Daten. Insbesondere hat die Beklagte ihren diesbezüglichen Vortrag in keinerlei Bezug zu den hier betroffenen personenbezogenen Daten des Klägers gestellt, sodass für die Kammer nicht erkennbar war, wie das konkrete Schutzkonzept für diese Daten im Einzelnen aufgestellt war. Es fehlt zudem jeglicher Vortrag der Beklagten dazu, welche konkreten Maßnahmen sie im Jahr 2022 implementiert und umgesetzt hatte, um sicherzustellen, dass eine Verarbeitung der Daten des Klägers – insbesondere deren Speicherung − erfolgte, ohne dass weitere Gesellschaften in der Unternehmensgruppe auf diese Zugriff hätten bzw. haben könnten, welcher nicht erforderlich i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. b) oder f) DSGVO ist.
Dies ist aus zwei Gründen besonders relevant:
Erstens wäre in diesem Fall bereits ohne den Hackerangriff ein Verstoß gegen die DSGVO wegen unzulässiger Datenweitergabe im Konzern gegeben (vgl. BAG, Urteil v. 08.05.2025 − 8 AZR 209/21, derzeit nur Pressemitteilung veröffentlicht). Eine Beauftragung einer der Schwestergesellschaften als Auftragsdatenverarbeiter für die Beklagte wurde nicht vorgetragen und ist auch anderweitig nicht ersichtlich.
Zweitens hatte das Hackerkollektiv Lockbit im Sommer 2022 nicht nur mittels des Trojaners ihre Verschlüsselungssoftware (auch als Ransomware bezeichnet) in das System des Mitarbeiters der Continental Automotive Hungary Kft. und dadurch die Systeme dieser Schwestergesellschaft der Beklagten eingeschleust, um den von ihr üblicherweise genutzten Vorgang der Verschlüsselung von Daten nebst „Lösegeld“-Forderung in Gang zu setzen, sondern darüber hinaus eine erhebliche Anzahl von Daten auch der Beklagten kopiert mit dem Zweck deren Verkaufs im sogenannten Darknet. Diesbezüglich ist bereits im Jahr 2023 in der Presse (u. a. im Handelsblatt) berichtet worden, dass das Hackerkollektiv einen Monat lang unentdeckt auf die Server der Beklagten zugegriffen und insgesamt 40 Terrabyte Daten erbeutet hätte. Der Vortrag der Beklagten lässt jegliche Ausführungen darüber vermissen, wie und wo die Personaldaten ihrer Mitarbeiter im Sommer 2022 gespeichert wurden, wie das Berechtigungs-, Zugriffs- und Weitergabekonzept für diese Daten konkret ausgestaltet war, um insbesondere deren Vertraulichkeit sicherzustellen. Aufgrund dessen war für die erkennende Kammer nicht feststellbar, dass die von der Beklagten zum Schutz der hier streitgegenständlichen Daten vorgenommenen Maßnahmen hinreichend geeignet i.S.d. Art. 32 DSGVO waren. Gleiches gilt für die nicht erfolgte Darlegung der gegebenen oder fehlenden Verknüpfung der IT-Systeme der unterschiedlichen Schwestergesellschaften der Unternehmensgruppe; ohne Informationen der Beklagten hierüber ist keine Beurteilung durch die Kammer möglich, ob insoweit besondere Schutzmaßnahmen der Beklagten wegen Datenzugriffsmöglichkeiten im Konzernverbund erforderlich waren und ob diese in geeigneter Art i.S.v. Art. 32 DSGVO bestanden und auch zur Umsetzung gebracht wurden. Dies gilt auch unter Berücksichtigung des Umstandes, dass die Hacker vom Rechner des ungarischen Mitarbeiters der Schwestergesellschaft aus weitere Accounts von Continental-Mitarbeitern übernommen haben sollen. Accounts welcher Continental-Gesellschaften waren betroffen und wie war dies, wenn nicht bereits die Mitarbeiter-Daten der Beklagten selbst unternehmensübergreifenden Zugriffsmöglichkeiten ausgesetzt waren, unternehmensübergreifend überhaupt möglich, wenn die Beklagte selbst ein striktes – obgleich nicht näher dargelegtes − Rollen- und Berechtigungskonzept nebst Zugriffskontrollen implementiert haben will?
Auch die Ausführungen der Beklagten zu den von ihr vorgenommenen Weitergabekontrollen genügen den Anforderungen an die schlüssige Darlegung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der angemessenen Sicherheit der hier betroffenen personenbezogenen Daten des Klägers nicht, da sie nicht über die Aufzählung beispielhafter Begriffsbezeichnungen und hinausgehen. Gleiches gilt für ihr Vorbringen, es gäbe bei Begründung und regelmäßig während des laufenden Arbeitsverhältnisses verpflichtende Schulungen der Mitarbeitenden unter anderem in den Bereichen Compliance-, Datenschutz- sowie IT-Sicherheit bzw. Cybersecurity, da deren Inhalt und Umfang nicht einmal ansatzweise geschildert wird und jegliche Information darüber fehlt, was die Beklagte unter dem von ihr verwendeten Begriff „regelmäßig“ versteht.
Soweit die Beklagte weiter kursorisch zu Auftragskontrollen und Verfügbarkeitskontrollen ausführt, ist dies streitgegenständlich ohne Auswirkung, da kein hinreichender Bezug dieser Maßnahme-Typen zu dem streitgegenständlichen Datenschutzverstoß gegeben ist. Gleiches gilt für ihren Vortrag bezüglich vorgenommener Eingabekontrollen, da diese lediglich eine Nachvollziehbarkeit des Hackerangriffs und deren Vorgehen im Nachhinein hätten ermöglichen können, jedoch bereits dem Grundsatz nach nicht die für den streitgegenständlichen Vorfall einschlägigen Schutzmaßnahmen darstellten.
Mangels hinreichend konkreten Vortrags der Beklagten zu den von ihr im Sommer 2022 implementierten technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit der Daten des Klägers kann vorliegend dahinstehen, ob diese in Abwägung mit den Risiken, welche mit der Speicherung dieser Daten verbunden sind, das hinreichende Schutzniveau i.S.v. Art. 32 DSGVO aufwiesen.
Da bereits bezüglich der Speichersysteme der Beklagten keine Geeignetheit der technischen und organisatorischen Schutzmaßnahmen i.S.d. Art. 32 DSGVO dargelegt wurde, kann eben-falls dahinstehen, ob die der Continental Automotive Hungary Kft. implementierten Schutzmaß-nahmen diese Anforderungen erfüllt hätten. Auf diese kommt es vorliegend nicht mehr an.
Ferner kommt es vorliegend nicht darauf an, ob die Beklagte auch gegen Art. 25 Abs. 2 DSGVO verstoßen hat, da die Schadenshöhe nicht mit der Anzahl von Verstößen korreliert, weil der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion, jedoch keine Abschreckungs- oder Straffunktion erfüllt und daher das Vorliegen mehrerer Verstöße nicht zu einer Erhöhung des Schadensersatzes führt (vgl. EuGH, Urteil v. 11.04.2024 – C-741/21, a.a.O.; OLG Oldenburg, Urteil v. 21.05.2024 – 13 U 100/23, BeckRS 2024, 12013; BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O.). Ob ein solcher Verstoß der Beklagten ebenfalls vorzuwerfen ist, kann somit dahinstehen.
Die Beklagte hat sich nicht gemäß Art. 82 Abs. 3 DSGVO von der vermuteten Haftung befreit.
Die Verantwortung des Anspruchsverpflichteten wird zunächst gesetzlich vermutet (§ 292 ZPO), die Beweislast für das fehlende Verschulden liegt damit beim Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO. Nach Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den schadensverursachenden Um-stand verantwortlich ist. Der Begriff der Verantwortlichkeit i.S.d. Art. 82 Abs. 3 ist in der DSGVO nicht definiert.
Der EuGH hat in seiner Entscheidung vom 11.04.2024 (C-741/21, NJW 2024,1561) klargestellt, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DSGVO nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde. Der EuGH führt insoweit aus, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist, mithin keinerlei Kausalzusammenhang zwischen der etwaigen Verletzung der datenschutzrechtlichen Verpflichtung und dem der betroffenen Person entstandenen Schaden besteht. Die Schadensentstehung aufgrund eines Hackerangriffs führt nicht automatisch zur Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO.
Es kann vorliegend dahingestellt bleiben, ob dieser Begriff mit dem Begriff des Verschuldens nach der deutschen Rechtsterminologie gleichzusetzen ist, wonach die Haftungsbefreiung nur dann eingreifen würde, wenn der Verantwortliche sämtliche Sorgfaltsanforderungen erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorzuwerfen ist, oder ob Art. 82 DSGVO als Gefährdungshaftungstatbestand zu verstehen ist, mit der Folge, dass eine Haftung des Verantwortlichen nur bei atypischen Kausalverläufen oder bei höherer Gewalt entfiele. Denn sie hat weder hinreichend konkret vorgetragen, dass sie die am Maßstab des Stands der Technik und im Verkehr, d.h. am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt i.S.v. § 276 Abs 2 BGB angewendet hat, noch, dass ein atypischer Kausalverlauf vorgelegen hatte. Dies gilt auch im Fall von Hackerangriffen (vgl. BeckOK DatenschutzR/Quaas, 52. Ed. 1.5.2025, DSGVO Art. 82 Rn. 18 – insoweit ausgehend vom Begriff des Verschuldens i.S.v. § 276 Abs. 2 BGB − mit Verweis auf Plath/Becker Rn. 5a).
Die Beklagte hat vorgetragen, mangels eigenen Fehlverhaltens nicht für einen etwaig entgegen ihrer Rechtsauffassung entstandenen Schaden des Klägers verantwortlich im Sinne von Art. 82 Abs. 3 DSGVO zu sein. Aus Sicht der Beklagten ist der Hackerangriff nur deshalb erfolgreich gewesen, weil ein mit besonderen Administratorrechten ausgestatteter Mitarbeiter in der IT-Abteilung der Continental Automotive Hungary Kft., einer Schwestergesellschaft der Beklagten, eklatant und bewusst gegen interne Vorgaben und Anweisungen dieses Unternehmens sowie gegen konzernweite Vorgaben verstoßen habe. Dieser Mitarbeiter habe das IT-System seiner Arbeitgeberinnen eigenhändig zu unternehmensfremden Zwecken missbraucht und in diesem Zusammenhang in unberechtigterweise eine Schatzsoftware heruntergeladen und installiert. Sie ist der Auffassung, dass zum einen keine konzerndimensionale und grenzüberschreitende Zurechnung des Verhaltens eines bei der Schwestergesellschaft der Beklagten angestellten IT-Mitarbeiters zu der Beklagten in Betracht käme und zum anderen wegen des zudem gegebenen Mitarbeiterexzesses jeglicher – unterstellter – Zurechnungszusammenhang entfalle. Auch habe die für die Beklagte zuständige Datenschutzaufsichtsbehörde keine Datenschutzverstöße festgestellt. Vielmehr habe die Landesbeauftragte für den Datenschutz in Niedersachsen ausdrücklich bestätigt, dass sich keine Hinweise auf systemische Fehler in den Datenverarbeitungsprozessen der Beklagten ergaben. Dies zeige, dass auch nach ihrer Auffassung keine Indizien für unzureichende technisch-organisatorische Maßnahmen vorgelegen hätten.
Mit diesem Vorbringen genügt die Beklagte jedoch nicht den Anforderungen des Art. 82 Abs. 3 DSGVO für das Eintreten der Haftungsbefreiung.
Insoweit wird zur Vermeidung von Wiederholungen auf die Ausführungen unter Gliederungspunkt I. 2. b) Bezug genommen. Ferner dient u.a. die korrekte Erfüllung der Rechenschafts- und Dokumentationspflichten nach Art. 5 Abs. 2 und Art. 24 Abs. 2 DSGVO um dem Entlastungsbeweis nachzukommen. Auch dies hat die Beklagte nicht vorgetragen.
Ergänzend ist zu den Argumenten der Beklagten auszuführen, dass Hackerangriff im heutigen Zeitalter leider keinen so seltenen Fall mehr darstellen, dass insoweit von einem atypischen Kausalverlauf ausgegangen werden könnte. Auch Fehlverhalten von Mitarbeitern, sei es den eigenen oder solchen eines Auftragsdatenverarbeiters, kann auch bei etwaig erteilten sicherheitsbezogenen Arbeitsanweisungen ohne Vortrag zu einem Kontrollkonzept bzw. tatsächlich durchgeführten Kontrollen keinen atypischen Kausalverlauf darstellen. Soweit sich die Beklagte darauf beruft, es bestünde aufgrund des Umstandes, dass hier das Eintrittstor für den Hackerangriff durch einen Mitarbeiter der Continental Automotive Hungary Kft. geschaffen worden sei, kein Zurechnungszusammenhang zu ihrem eigenen Verhalten, kann dem aufgrund ihres mangelnden Vortrags zu den von ihr gespeicherten Personaldaten ihrer eigenen Mitarbeiter und deren Vertraulichkeit trotz Vorliegens einer Konzernstruktur nicht gefolgt werden. Auch wenn insoweit vom Verschulden i.S.d. § 276 Abs. 2 BGB und nicht von einer Gefährdungshaftung ausgegangen würde, hätte sich die Beklagte nicht hinreichend entlastet, da sie – wie bereits ausgeführt − nicht dargelegt hat, dass sie selbst im Sommer 2022 für die hier betroffenen personenbezogenen Daten des Klägers sämtliche am Maßstab des Stands der Technik und im Verkehr erforderlichen Sorgfaltsanforderungen bei dem Versuch der Implementierung und Durchführung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Vertraulichkeit und Integrität der Daten des Klägers auch vor dem Zugriff unbefugter Dritter erfüllt hatte, d.h. die am allgemeinen Schutzinteresse orientierte erforderliche Sorgfalt i.S.v. § 276 Abs 2 BGB, und ihr insoweit nicht die geringste Fahrlässigkeit vorzuwerfen war. Insoweit ist noch einmal klarzustellen, dass die Beklagte mit keinem Wort erläutert hat, wie es überhaupt möglich sein konnte, dass die Hacker ausgehend von IT-System der Continental Automotive Hungary Kft. überhaupt in ihr eigenes IT-System gelangen und darüber hinaus auf die von ihr gespeicherten Personaldaten ihrer Mitarbeiter zugreifen konnten. Ohne nachvollziehbare Informationen hierzu, welche die Beklagte bei Funktionieren der von ihr vorgetragenen Zugriffskontrollen sowie Weitergabe- und Eingabekontrollen in das vorliegende Verfahren hätte einführen können und müssen, ist nicht feststellbar, dass die Beklagte auch in Bezug auf die Vorbeugung etwaiger Hackerangriffe keinerlei Fahrlässigkeit vorgeworfen werden könnte bzw. der Kausalzusammenhang zwischen ihren Maßnahmen und dem dennoch erfolgreichen Hackerangriff ausnahmsweise aufgrund der von ihr implizierten Sicherungsmaßnahmen als atypisch zu bewerten wäre.
Auch folgt die Entlastung der Beklagten nicht bereits aus dem Umstand, dass weder gegen sie selbst, noch gegen andere Gesellschaften der Unternehmensgruppe (repressive) Bußgeldverfahren nach Art. 83 DSGVO eingeleitet wurden und das gegen die Muttergesellschaft der Beklagten, der Continental AG, eingeleitete Prüfverfahren der Landesbeauftragten für den Datenschutz in Niedersachsen seinen Abschluss gefunden hat, ohne dass Abhilfemaßnahmen angeordnet wurden. Denn zum einen sieht die DSGVO keinen Automatismus zwischen etwaigen Prüfergebnissen der Datenschutzbehörden und der Haftungserleichterung nach Art. 82 Abs. 3 DSGVO vor, anders als es bspw. nach Art. 32 Abs. 3 DSGVO in Bezug auf genehmigte Verhaltensregeln gem. Art. 40 oder eines genehmigten Zertifizierungsverfahrens nach Art. 42 DSGVO möglich ist. Zum anderen ist zu berücksichtigen, dass die Beklagte mit keinem Wort vorgetragen hat, was die konkrete Prüfbasis und der Prüfumfang der Landesbeauftragten für den Datenschutz in Niedersachsen waren, insbesondere ob von der Beklagten zum Zeitpunkt der Prüfung bereits Veränderungen an den Sicherheitssystemen der Beklagten oder der Art und Weise ihrer Datenverarbeitung – hier insbesondere der Speicherung der Mitarbeiterdaten – im Vergleich zum Stand im Sommer 2022 vorgenommen worden waren.
Der Kläger erlitt durch das Verhalten der Beklagten einen konkreten ersatzfähigen immateriellen Schaden.
Der Begriff des Schadens im Sinne des Art. 82 Abs. 1 DSGVO ist nach dem Erwägungsgrund 146 Satz 3 DSGVO weit auszulegen. Dabei reicht ein bloßer Verstoß gegen Bestimmungen der DSGVO nicht aus, um einen Schadensersatzanspruch zu begründen, denn der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO setzt nach Wortlaut, Systematik und Schutzzweck sowie nach den Erwägungsgründen 75, 85 und 146 der DSGVO einen über den Verstoß gegen die DSGVO hinausgehenden Schaden voraus (EuGH, Urteil v. 04.05.2023 – C-300/21, NJW 2023, 1930 – [UI/Österreichische Post AG]). Die Begriffe „materieller“ und „immaterieller Scha-den“ i.S.v. Art. 82 Abs. 1 DSGVO sind unionsautonom auszulegen. Dabei setzt der Schadens-ersatzanspruch aus Art. 82 Abs. 1 DSGVO nicht voraus, dass der Nachteil spürbar und die Beeinträchtigung objektiv sein muss (EuGH, Urteil v. 14.12.2023 – C-456/22, NZA 2024, 56 – [VX, AT/Gemeinde Ummendorf]). Aus Wortlaut, Zusammenhang und Ziel der Bestimmung des Art. 82 Abs. 1 DSGVO sowie aus dem Erwägungsgrund 146 der DSGVO folgt, dass ein immaterieller Schaden i.S.v. Art. 82 Abs. 1 DSGVO nicht voraussetzt, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (EuGH, Urteile v. v. 14.12.2023 – C-456/22, a.a.O. sowie v. 04.05.2023 – C-300/21, a.a.O.). Ein „immaterieller Schaden“ i.S.v. Art. 82 Abs. 1 DSGVO kann auch durch den kurzzeitigen Verlust der Kontrolle über personenbezogene Daten eintreten, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden erlitten hat (EuGH, Urteil v. 25.01.2024 – C-687/21, r+s 2024, 381 – [BL/MediaMarktSaturn Hagen-Iserlohn GmbH]). Der Begriff des „immateriellen Schadens“ i.S.v. Art. 82 Abs. 1 DSGVO umfasst zudem eine Situation, in der die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden, wobei die Grenze darin liegt, dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen kann (EuGH, Urteile v. 04.10.2024 – C-200/23, r+s 2024, 1080 – [Agentsia po vpisvaniyata/OL] sowie v. 25.01.2024 – C-687/21, a.a.O.) .
Allerdings bedeutet diese Auslegung auch nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, vom Nachweis befreit wäre, dass sie tatsächlich einen solchen Schaden i.S.v. Art. 82 Abs. 1 DSGVO –so geringfügig er auch sein möge – erlitten habe, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordere. (EuGH, Urteile v. 25.01.2024 – C-687/21, a.a.O.; v. 14.12.2023 – C-456/22, a.a.O. sowie v. 04.05.2023 – C-300/21, a.a.O.).
Mit seiner Facebook-Entscheidung vom 18.11.2024 (VI ZR 10/24, r+s 2025, 32) setzt der BGH in Anknüpfung an die vorgenannten Entscheidungen des EuGH Maßstäbe für ein weites Verständnis des Art. 82 Abs. 1 DSGVO. Nach Auffassung des BGH muss die betroffene Person den Nachweis erbringen, dass sie einen Kontrollverlust erlitten hat, wobei die Darlegungsanforderungen an die Substantiierung des klagebegründenden Vortrags allerdings nicht überspannt werden dürfen. Stehe der Kontrollverlust fest, stelle dieser selbst den immateriellen Schaden dar, ohne dass es sich daraus entwickelnder besonderer Befürchtungen oder Ängste der betroffenen Person bedürfe.
Das BAG hingegen hat in seiner Entscheidung vom 20.02.2025 (8 AZR 61/24, NZA 2025, 837) unter Verweis auf die Entscheidung des EuGH vom 04.10.2024 (C-200/23, NJW 2025, 40) bestätigt, dass ein Kontrollverlust zwar auch dann gegeben sein kann, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sei aber in Ergänzung hierzu ausgeführt, dass der EuGH unter einem Kontrollverlust nur eine Situation verstehe, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt.
Letztlich bedarf es keiner Entscheidung, welcher dieser Auffassungen die vom EuGH aufgestellten Grundsätze korrekt erfasst und angewendet hat und welche sie ggf. zu weitgehend oder aber zu eng verstanden hat. Denn auch das BAG sieht einen Datenverlust in Bezug auf Bank- oder Gesundheitsdaten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung jedenfalls aufgrund hieraus ggf. folgenden Konsequenzen als so schwerwiegend an, dass ein Schaden in Form von Befürchtungen selbstverständlich angenommen werden könne und daher nicht gesondert begründet werden müsse (vgl. BAG, Urteil v. 20.02.2025 − 8 AZR 61/24, a.a.O.). Dies ist vorliegend gegeben, weil die Hacker vorliegend unstreitig neben dem vollen Namen und der Adresse des Klägers nicht nur personenbezogenen Daten zu seinem Arbeitsverhältnis, sondern auch dessen Bankverbindung erlangt haben.
Gemessen an diesen Grundsätzen hat der Kläger jedenfalls einen Kontrollverlust an folgenden Daten durch den Hackerangriff auf die Beklagte erlitten.
Wie bereits dem Wortlaut dieses Begriffes zu entnehmen ist, setzt ein Kontrollverlust voraus, dass der Betroffene zunächst die Kontrolle über das konkrete personenbezogene Datum hatte und diese Kontrolle später gegen seinen Willen verloren hat.
Ein Kontrollverlust liegt vor. Der Hackerangriff bei der Beklagten als solcher steht ebenso fest, wie der Umstand, dass diese Daten im sogenannten Darknet zum Verkauf angeboten sind. Zwischen den Parteien ist auch nicht streitig, dass der Kläger die Kontrolle über diese Daten gegen seinen Willen verloren hat, da er die Daten zwar willentlich an die Beklagte als seine Arbeitgeberin weitergegeben hatte, jedoch selbstverständlich und unstreitig nicht mit einer Weitergabe an unbefugte Dritte einverstanden war und hiermit bei Weitergabe seiner Daten an die Beklagte auch nicht rechnen musste.
Die Beklagte räumte selbst ein, dass die insoweit eindeutig als unbefugte Dritte zu bewertenden Hacker versuchen, die von ihnen erlangten Daten im sogenannten Darknet verkaufen. Ein größerer Kontrollverlust ist schwer vorstellbar. Insoweit ist es auch unerheblich, dass nach den Angaben der Beklagten ein Verkauf bislang noch nicht stattgefunden haben soll. Eine begründete Befürchtung des Missbrauchs der erlangten Daten durch das Hackerkollektiv bzw. etwaige Käufer ist nach objektiven Maßstäben gegeben.
Bei der Vielzahl dieser Daten handelt es sich um solche, die zum einen in so konkretem Bezug zu dem Arbeitsverhältnis des Klägers stehen und zum anderen so sensible Finanzdaten darstellen (vollständige Bankdaten nebst Gehaltsinformationen in Verbindung mit vollem Namen und Anschrift des Klägers), dass – jedenfalls in ihrer Gesamtheit – ein vorheriger und nicht in der Verantwortung der Beklagten liegender Kontrollverlust nicht lebensnah ist.
Hingegen hat der Kläger nicht hinreichend dargelegt, dass seine Handynummer und seine E-Mailadresse auch im Rahmen des Hackerangriffs kopiert worden sind. Insoweit reichen die von ihm aufgestellten Vermutungen aufgrund des substantiierten Bestreitens der Beklagten nicht aus, auch wenn dem Kläger zuzugeben ist, dass die fehlende Betroffenheit dieser Daten überraschend ist.
Es liegt auch die erforderliche Kausalität zwischen dem Verstoß der Beklagten gegen die DSGVO und dem Schaden des Klägers vor. Der Schaden des Klägers ist auf die genannten Verstöße der Beklagten zurückzuführen und es lag kein völlig atypischer Verlauf, der die Kausalität ausschließen würde, vor. Ein solcher kann bei Hackerangriffen nicht per se angenommen werden, da sonst die Personen, deren Daten hiervon betroffen sind, auch bei im Übrigen eindeutig vorwerfbar schlechten Sicherheitsvorkehrungen keinerlei durchsetzbare Entschädigungsmöglichkeit hätte. Dies würde dem Sinn und Zweck der verbraucherschutzorientierten DSGVO vollkommen zuwiderlaufen. Vielmehr ist in der heutigen Zeit gerade bei Unternehmen – egal welcher Größe aber insbesondere solchen mit wirtschaftlich relevantem technischem Know-How oder aber hochsensiblen Kunden- bzw. Mandantendaten – stets mit virtuellen Angriffen zu rechnen, sodass der Eintritt des bei nicht hinreichend geeigneten Sicherheitsmaßnahmen für die zu sichernden Daten bestehenden Risikos eines erfolgreichen Zugriffs durch Hacker durchaus nicht unvorhersehbar war.
Hingegen liegt eine über den Kontrollverlust hinausgehende psychische Beeinträchtigung des Klägers nicht zur Überzeugung der Kammer vor.
Die Ausführungen des Klägers, sich aufgrund des Kontrollverlustes nach wie vor in einem Zustand großen Unwohlseins und großer Sorge über den möglichen Missbrauch seiner Daten zu befinden, sind aufgrund ihrer Pauschalität nicht geeignet, um die Feststellung einer konkreten psychischen Beeinträchtigung des Klägers, welche als eigenständiger immaterieller Schaden gewertet werden könnte, durch die erkennende Kammer zu ermöglichen.
Auch aus der aus Sicht des Klägers verspätet erteilten Auskunft nach Art. 15 DSGVO folgt kein eigenständiger Schaden. Weder liegt in einer – zu Gunsten des Klägers insoweit unterstellten – verspäteten Auskunft ein Kontrollverlust (vgl. hierzu ausführlich BAG, Urteil v. 20.02.2025 − 8 AZR 61/24, NJW 2025, 2197), noch hat der Kläger einen darüberhinausgehenden immateriellen Schaden in Form begründeter Befürchtungen wegen der späten Auskunftserteilung behauptet.
Ein Schadensersatz in Höhe von 1.500,00 Euro ist vorliegend angemessen.
Art. 82 Abs. 1 DSGVO macht bezüglich der Höhe des Schadensersatzanspruchs keine Vorgaben. Insbesondere können aufgrund des unterschiedlichen Zwecks der Vorschriften nicht die in Art. 83 DSGVO genannten Kriterien herangezogen werden (EuGH, Urteile v. 04.10.2024 – C-507/23, NJW 2025, 141 – [Patērētāju tiesību aizsardzības centrs] sowie v. 11.04.2024 – C-741/21, NJW 2024, 1561). Die Bemessung richtet sich vielmehr entsprechend dem Grundsatz der Verfahrensautonomie nach den innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung (EuGH, Urteile v. 11.04.2024 – C-741/21, a.a.O.; v. 25.01.2024 – C-687/21, NZA 2024, 320 – [MediaMarktSaturn]; v. 21.12.2023 – C-667/21, ZD 2024, 146 – [Krankenversicherung Nordrhein], jeweils m.w.N.), sodass in Deutschland somit insbesondere die Verfahrensvorschrift des § 287 ZPO anzuwenden ist (BAG, Urteil v. 05.05.2022 – 2 AZR 363/21, NJW 2022, 2779). Wesentlich für die Bemessung der Höhe des Schadensersatzes sind die konkreten Umstände des Einzelfalls. Hinsichtlich der aus dem Unionsrecht folgenden Beschränkungen, welchen die innerstaatliche Verfahrensautonomie bei der Ermittlung des nach Art. 82 DSGVO zu ersetzenden Schadens unterliegt, gilt im Ergebnis (vgl. hierzu umfassend: BGH, Urteil v. 18.11.2014 − VI ZR 10/24, GRUR-RS 2024, 31967), dass die Höhe der Entschädigung zwar nicht hinter dem vollständigen Ausgleich des Schadens zurückbleiben soll, sie aber auch nicht in einer Höhe bemessen werden darf, die über den vollständigen Ersatz des Schadens hinausginge (vgl. EuGH, Urteile v. 11.04.2024 – C-741/21, a.a.O. sowie v. 25.01.2024 – C-687/21, a.a.O.); dies gilt auch unter Berücksichtigung des Umstandes, dass der durch eine Verletzung des Schutzes personenbezogener Daten verursachte immaterielle Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung (vgl. dazu EuGH, Urteile v. 04.10.2024 – C-200/23, a.a.O.; EuGH, v. 20.06.2024 – C-182/22 und C-189/22, NJW 2024, 2599 − [JU, SO/Scalable Capital GmbH]; BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O.). Wenn allein ein Schaden in Form eines Kontrollverlusts an personenbezogenen Daten vorliegt, weil weitere Schäden nicht nachgewiesen sind, sind bei der Schätzung des Schadens insbesondere die etwaige Sensibilität der konkret betroffenen personenbezogenen Daten (vgl. Art. 9 Abs. 1 DSGVO) und deren typischerweise zweckgemäße Verwendung zu berücksichtigen. Weiter sind die Art des Kontrollverlusts (begrenzter/unbegrenzter Empfängerkreis), die Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle etwa durch Entfernung einer Veröffentlichung aus dem Internet (inkl. Archiven) oder Änderung des personenbezogenen Datums in den Blick zu nehmen (BGH, Urteil v. 18.11.2014 − VI ZR 10/24, a.a.O.). Zudem ist das Ziel des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO zu berücksichtigen, Verstöße gegen die DSGVO effektiv und abschreckend zu sanktionieren.
Vorliegend muss bei der Bemessung der Höhe des immateriellen Schadensersatzes des Klägers zunächst berücksichtigt werden, dass der Kontrollverlust über die Daten hier tatsächlich eingetreten ist und erhebliche Risiken für den Kläger birgt. Insoweit ist zu berücksichtigen, dass nicht nur eine Vielzahl personenbezogener Daten des Klägers betroffen ist, sondern sich darunter besonders sensible und solche, die sich nicht bzw. nur mit erheblichen Begleitkosten und -umständen ändern ließen befinden. Insbesondere auch, aber nicht nur aufgrund der Verknüpfung des vollen Namens des Klägers mit sowohl seiner Adresse als auch seiner vollständigen Bankverbindung sowie seinen Arbeitszeiten entstehen für den Fall der Nutzung seiner Daten durch Mitglieder des Hackerkollektivs, deren Verkauf oder aber deren anderweitiger Weitergabe in kriminellen Kreisen erhebliche Risiken. Aufgrund dessen sind die potentiellen negativen Folgen vielfältig und können schwere Nachteile mit sich bringen: Von Identitätsdiebstahl bis hin zu Wohnungseinbrüchen besteht nunmehr eine besondere Volatilität des Klägers. Es handelt sich mithin um einen erheblichen Fall des Datenabflusses mit erheblich höherem Potential für etwaige Straftaten durch Dritte als es bspw. in den Fällen des Scrapings von Telefonnummern auf eines weltweit aktiven Social Media Unternehmens der Fall war und der auch weit über den Kontrollverlust über eine IP-Adresse an ein Drittland hinausgeht, welcher der Entscheidung des EuG vom 08.01.2015 (T-354/22, GRUR-RS 2025, 12) mit dem Ergebnis eines Schadensersatzanspruchs in Höhe von 400,00 Euro zugrunde lag. Weiter ist bei der Wertung zu beachten, dass der Kontrollverlust endgültig erfolgt ist, da eine Rückerlangung bzw. Löschung der kopierten Daten ausgeschlossen erscheint. Die Kammer hat insoweit aber auch zu Gunsten der Beklagten berücksichtigt, dass die Daten nicht unmittelbar veröffentlicht wurden, sondern bislang nach Kenntnisstand der Beklagten lediglich eine Liste mit Dateinamen und Dateipfaden im sogenannten Darknet zum Verkauf angeboten sind und bislang nach ihren Angaben noch kein Verkauf der Daten erfolgt ist.
Berücksichtigt werden muss daneben für die Bemessung der Schadensersatzhöhe auch die gesetzgeberisch beabsichtigte abschreckende Wirkung des Schadensersatzes. Vorliegend gilt zu berücksichtigen, dass nach Kenntnis der Kammer bislang nur eine geringe Anzahl von Arbeitnehmern der Beklagten Schadensersatzansprüche gegen die Beklagte geltend gemacht hat. Soweit es die Ausführungen der Beklagten zu den eigentlichen Zielen des Hackerkollektivs im Rahmen ihres Angriffs angeht (Erpressung und ggf. Weitergabe von im Rahmen Industriespionage interessanter Daten), scheint es aus Sicht der Kammer notwendig, auch den Schutz der Daten in Erinnerung zu rufen, welche nicht zur Beklagten und ihren Schwestergesellschaften selbst gehören und sie insoweit nicht in ihren eigenen wirtschaftlichen Interessen betroffen sind, diese Daten jedoch ebenso eines geeigneten und effektiven Schutzes bedürfen, welchen die Beklagte zum Stand des Vorfalles im Sommer 2022 jedoch nicht in der Lage war darzulegen.
Unter Abwägung dieser gesamten Gesichtspunkte erachtet die Kammer einen immateriellen Schadensersatz in Höhe von 1.500,00 Euro für angemessen, aber auch ausreichend.
Die Entscheidung über die Zinsen folgt aus § 291, § 288 Abs. 1 BGB beginnend ab dem Tag nach Klagezustellung, welches vorliegend der 20.03.2025 war.
Der Klageantrag zu Ziff. 2 auf Feststellung einer Ersatzpflicht für künftige derzeit noch nicht vorhersehbare immaterielle Schäden aufgrund des Zugriffs unbefugter Dritter auf das Datenarchiv der Beklagten ist zulässig und begründet.
Der Feststellungsantrag ist zulässig.
Das für den Antrag erforderliche Feststellungsinteresse nach § 256 Abs. 1 ZPO liegt vor.
Voraussetzung hierfür ist es, dass dem Recht oder der Rechtslage der klagenden Partei eine gegenwärtige Gefahr oder Unsicherheit droht, die das erstrebte Urteil beseitigen kann (vgl. st. Rspr. BGH, Urteil v. 22.06.1977 – VIII ZR 5/76, NJW 1977, 1881 m.w.N.). Eine Klage auf Feststellung der Verpflichtung zum Ersatz bereits eingetretener und künftiger Schäden ist bei Verletzung eines absoluten Rechts oder aber in solchen Fällen, in denen bereits ein (Teil-)Schaden eingetreten ist, zulässig, wenn künftige Schadensfolgen – wenn auch nur entfernt – möglich, ihre Art und ihr Umfang, sogar ihr Eintritt aber noch ungewiss sind (BGH, Urteile v. 29.06.2021 – VI ZR 52/18, NJW 2021, 3130; v. 16.01.2001 – VI ZR 381/99, NJW 2001, 1431 und v. 24.01.2006 – XI ZR 384/03, NJW 2006, 830); auf die Wahrscheinlichkeit weiterer Schäden kommt es hier nicht an (BGH, Urteil v. 29.06.2021 – VI ZR 52/18, a.a.O.). Ein Feststellungsinteresse ist nur zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, BGH, Urteil v. 20.03.2001 – VI ZR 325/99, NJW 2001, 3414 sowie Beschluss v. 09.01.2007 – VI ZR 133/06, NJW-RR 2007, 601).
Die Möglichkeit künftiger Schäden reicht hier aus, weil es nicht um reine Vermögensschäden geht, sondern um Schäden, die aus der vom Kläger behaupteten Verletzung seines Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, mithin seines allgemeinen Persönlichkeitsrechts als einem sonstigen absolut geschützten Rechtsgut i.S.v. § 823 Abs. 1 BGB resultieren (vgl. BGH, Urteile v. 05.10.2021 – VI ZR 136/20, NJW-RR 2022, 23; BGH, Urteil v. 29.06.2021 – VI ZR 10/18, a.a.O. und v. 18.11.2024 – VI ZR 10/24, GRUR 2024, 1910). Denn die nicht von den Bestimmungen der DSGVO gedeckte Verarbeitung personenbezogener Daten kann eine Verletzung des allgemeinen Persönlichkeitsrechts als sonstiges Recht im Sinne des § 823 Abs. 1 BGB darstellen (vgl. OLG Frankfurt, Urteil v. 14.04.2022 – 3 U 21/20, ZD 2022, 621 m.w.N.; Schleswig-Holsteinisches Oberlandesgericht, Urteil v. 02.07.2021 – 17 U 15/21, ZD 2021, 584). Auch die primär als Anspruchsgrundlage herangezogene Vorschrift des Art. 82 DSGVO hat jedenfalls dann, wenn – wie hier – mit einem möglichen Verstoß gegen die Art. 5, 25 und Art. 32 DSGVO auch eine unrechtmäßige Datenverarbeitung gerügt wird, eine Verletzung des Rechts auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh zum Inhalt (vgl. Art. 1 Abs. 2 DSGVO).
Die Möglichkeit des Schadenseintritts hat der Kläger nach den allgemeinen zivilprozessualen Grundsätzen substantiiert darzutun.
Nach diesen Grundsätzen ist die Möglichkeit des Eintritts künftiger Schäden hier ohne Weiteres zu bejahen. Denn gemessen an diesen Voraussetzungen ist der Kläger den Anforderungen an die Darlegung des Feststellungsinteresses gerecht geworden.
Streitgegenständlich ist die nicht von den Bestimmungen der DSGVO gedeckte Verarbeitung personenbezogener Daten des Klägers. Der Kläger wurde durch den Verstoß gegen die DSGVO in seinem Recht auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG bzw. in seinem Recht auf Schutz der personenbezogenen Daten gemäß Art. 8 GRCh verletzt, welche sonstige Rechte im Sinne des § 823 Abs. 1 BGB darstellen. In Anbetracht des bereits eingetretenen und noch andauernden Kontrollverlusts über seine Daten ist bei verständiger Würdigung ein Grund gegeben, mit dem Eintritt eines Schadens wenigstens zu rechnen (vgl. BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O.; OLG Stuttgart, Urteil v. 22.11.2023 – 4 U 20/23, GRUR-RS 2023, 32883). Denn hinsichtlich der weiteren Schäden hat der Kläger zwar zunächst ausgeführt, es könne noch nicht abgesehen werden, welche Dritte Zugriff auf die Daten erhalten hätten und für welche kriminellen Zwecke diese missbraucht würden. Da die Daten jedoch unstreitig weiterhin zum Verkauf stehen und sich im Besitz eines der zehn größten Hackerkollektive weltweit befinden, besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen oder andere Vermögensdelikte verwirklichenden Nutzung dieser Daten mit der Folge eines materiellen oder immateriellen Schadens fort. Bei der Sorge des Klägers um einen Missbrauch seiner Daten, sei es unmittelbar durch dieses oder nach erfolgtem Verkauf an weitere kriminell agierende Dritte, handelt es sich nicht lediglich um ein rein hypothetisches Risiko.
Der Antrag ist auch streitgegenständlich hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO.
Das festzustellende Rechtsverhältnis muss derart genau bezeichnet werden, dass über dessen Identität und damit über den Umfang der Rechtskraft der Feststellung keine Ungewissheit besteht (vgl. BGH, Urteil v. 22.11.2007 – I ZR 12/05, GRUR 2008, 357). Hierbei sind die Klageanträge der Auslegung (§ 133 BGB) zugänglich (vgl. BGH, Urteil v. 24.04.2018 – XI ZR 207/17, NJW 2018, 3098 m.w.N.).
Der Antrag zu Ziff. 2 auf Feststellung der Ersatzpflicht für „künftige Schäden“, die „entstanden sind und/oder noch entstehen werden“ genügt für sich gesehen nicht dem Bestimmtheitsgebot des § 253 Abs. 2 Nr. 2 ZPO. Denn er ist ohne Hinzutreten weiterer Umstände widersprüchlich.
Allerdings kann die Bestimmtheit des Antrages des Klägers durch Auslegung hinreichend hergestellt werden. Der Kläger hat in seiner Klage vorgetragen, dass noch nicht absehbar sei, welche Schäden durch den Zugriff auf die Daten abschließend entstanden seien. Hieraus folgt, dass sein Antrag zu Ziff. 2 dahingehend zu verstehen ist, dass es ihm auf die „weiteren“ Schäden über diejenigen, deren Ersatz er mit dem Antrag zu Ziff. 1 verfolgt, hinausgehenden Schäden ankommt, welche entweder bereits entstanden sind oder noch entstehen werden.
Der zulässige Feststellungsantrag zu Ziff. 2 ist auch begründet.
Ein zulässiger Feststellungsantrag ist begründet, wenn die sachlichen und rechtlichen Voraussetzungen eines Schadensersatzanspruchs vorliegen, also ein haftungsrechtlich relevanter Tatbestand gegeben ist, der zu möglichen künftigen Schäden führen kann (vgl. BGH, Beschluss v. 09.01.2007 − VI ZR 133/06, a.a.O.). Es bedarf im Rahmen der Begründetheit keiner darüber hinausgehender gewissen Wahrscheinlichkeit des Schadenseintritts. An der Erforderlichkeit eines solchen zusätzlichen Begründungselements hat der BGH − jedenfalls für den Fall, dass Gegenstand der Feststellungsklage ein befürchteter Folgeschaden aus der Verletzung eines deliktsrechtlich geschützten absoluten Rechtsguts ist – zutreffend Zweifel geäußert (vgl. BGH, Urteil v. 16.01.2001 – VI ZR 381/99, a.a.O.).
Die erkennende Kammer schließt sich diesbezüglich der vom Bundesgerichtshof vertretenen Ansicht ausdrücklich an. Demnach reicht vorliegend bereits die Möglichkeit eines Schadens aus.
Es liegen, wie bereits dargelegt, die Voraussetzungen des Schadensersatzanspruches aus Art. 82 Abs. 1 DSGVO vor. Auch die Möglichkeit künftiger materieller Schäden ist auf Grundlage der genannten Feststellungen (bereits eingetretener Schaden durch Kontrollverlust) zu bejahen. Wie bereits ausgeführt besteht das Risiko einer missbräuchlichen, insbesondere betrügerischen Nutzung der Daten des Klägers mit der Folge eines materiellen oder immateriellen Schadens fort. Daher kann der Feststellungsanspruch auch in der Sache nicht verneint werden (vgl. BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O.).
Der Klageantrag zu Ziff. 3. ist bereits unzulässig, weil er nicht hinreichend bestimmt i.S.d. § 253 Abs. 2 Nr. 2 ZPO ist.
Ein Klageantrag ist hinreichend bestimmt (§ 253 Abs. 2 Nr. 2 ZPO), wenn er den erhobenen Anspruch konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der materiellen Rechtskraft der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeit auf den Beklagten abwälzt und eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt (BGH, Urteil v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 m.w.N.). Dies bedeutet bei einem Unterlassungsantrag insbesondere, dass dieser nicht derart undeutlich gefasst sein darf, dass die Entscheidung darüber, was der beklagten Partei verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt (vgl. BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O. m.w.N).
Eine hinreichende Bestimmtheit ist bei einem Unterlassungsantrag für gewöhnlich gegeben, wenn eine Bezugnahme auf die konkrete Verletzungshandlung erfolgt oder die konkret angegriffene Verletzungsform antragsgegenständlich ist und der Klageantrag zumindest unter Heranziehung des Klagevortrags unzweideutig erkennen lässt, in welchen Merkmalen des angegriffenen Verhaltens die Grundlage und der Anknüpfungspunkt für den Rechtsverstoß und damit das Unterlassungsgebot liegen soll (st. Rspr.; vgl. BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O m.w.N). Die Verwendung auslegungsbedürftiger Begriffe im Klageantrag ist zulässig, wenn über ihren Sinngehalt zwischen den Parteien kein Streit besteht und objektive Maßstäbe zur Abgrenzung vorliegen, oder wenn der Kläger den auslegungsbedürftigen Begriff hinreichend konkret umschreibt und gegebenenfalls mit Beispielen unterlegt oder sein Begehren an der konkreten Verletzungshandlung ausrichtet (BGH, Urteile v. 02.06.2022 – I ZR 140/15, BGHZ 234, 56 und v. 09.09.2021 – I ZR 113/20, GRUR 2021, 1425 m.w.N.).
Demgegenüber sind Unterlassungsanträge, die lediglich den Wortlaut eines Gesetzes wiederholen, grundsätzlich als zu unbestimmt und damit unzulässig anzusehen. Abweichendes kann gelten, wenn entweder bereits der gesetzliche Verbotstatbestand selbst entsprechend eindeutig und konkret gefasst oder der Anwendungsbereich einer Rechtsnorm durch eine gefestigte Auslegung geklärt ist, oder wenn der Kläger hinreichend deutlich macht, dass er nicht ein Verbot im Umfang des Gesetzeswortlauts beansprucht, sondern sich mit seinem Unterlassungsbegehren an der konkreten Verletzungshandlung orientiert. Die Bejahung der Bestimmtheit setzt in solchen Fällen allerdings grundsätzlich voraus, dass zwischen den Parteien kein Streit darüber besteht, dass das beanstandete Verhalten das fragliche Tatbestandsmerkmal erfüllt. Die Wiedergabe des gesetzlichen Verbotstatbestands in der Antragsformulierung ist auch unschädlich, wenn sich das mit dem selbst nicht hinreichend klaren Antrag Begehrte im Tatsächlichen durch Auslegung unter Heranziehung des Sachvortrags des Klägers eindeutig ergibt und die betreffende tatsächliche Gestaltung zwischen den Parteien nicht infrage gestellt ist, sondern sich ihr Streit ausschließlich auf die rechtliche Qualifizierung der angegriffenen Verhaltensweise beschränkt. Eine auslegungsbedürftige Antragsformulierung kann im Übrigen hinzunehmen sein, wenn dies zur Gewährleistung effektiven Rechtsschutzes erforderlich ist (st. Rspr.; vgl. BGH, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O m.w.N).
An diesen Anforderungen gemessen ist der Antrag des Klägers zu Ziffer 3a, mit dem er begehrt, dass die Beklagte es unterlasse, konkret benannte personenbezogene Daten des Klägers unbefugten Dritten zugänglich zu machen, ohne die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen vorzusehen, um die Ausnutzung des Systems zu verhindern, nicht hinreichend bestimmt. Er lässt sich auch unter Heranziehung des Klagevorbringens nicht in einer Weise auslegen, dass der Kläger ein hinreichend bestimmtes Unterlassen begehrt.
Insbesondere der Begriff des unbefugten Dritten, aber auch die an Art. 32 Abs. 1 DSGVO und damit an den bloßen Gesetzeswortlaut angelehnte Formulierung der „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ sowie die Formulierung „Ausnutzung des Systems für andere Zwecke als der Kontaktaufnahme“ sind unbestimmt (vgl. zu einem ähnlich gelagerten Fall BAG, Urteil v. 18.11.2024 – VI ZR 10/24, a.a.O m.w.N).
Der verwendete Begriff „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ ist auslegungsbedürftig, da die nach dem Stand der Technik möglichen Sicherheitsmaßnahmen einem ständigen Wandel unterliegen. Zur Gewährleistung effektiven Rechtsschutzes kann zwar eine gewisse Auslegungsbedürftigkeit hinzunehmen sein. Allerdings nur, wenn über den Sinngehalt der verwendeten Begriffe keine Zweifel bestehen, was vorliegend gerade nicht der Fall ist, weil zwischen den Parteien Streit darüber besteht, ob die im Sommer 2022 implementierten Vorkehrungen der Beklagten die nach „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“ darstellten oder nicht. Mithin würde auch bei etwaigen zukünftigen Datenzugriffen unbefugter Dritter der eigentlich im Erkenntnisverfahren beizulegende Streit unzulässig ins Vollstreckungsverfahren verlagert (vgl. BGH, Urteil v. 01.12.1999 − I ZR 49/97, NJW 2000, 2195). Eine diese Mängel beseitigende Klarstellung des Antrags ist trotz gerichtlicher Hinweise sowie entsprechender Rüge der Beklagten nicht erfolgt.
Auch soweit der Kläger Unterlassung begehrt, seine Daten „Dritten zugänglich zu machen, ist der Antrag unbestimmt und wäre im Falle des Zusprechens nicht vollstreckungsfähig.
Der Antrag ist unter Berücksichtigung seiner Begründung und seines Ziels nach §§ 133, 157 BGB auszulegen (BAG, Urteil v. 17.12.2015 – 2 AZR 304/15, NZA 2016, 568). Das Gericht hat den erklärten Willen zu erforschen, wie er sich aus der Klagebegründung, dem Prozessziel und der Interessenlage ergibt, wobei im Zweifel das gewollt ist, was nach den Maßstäben der Rechtsordnung vernünftig ist und der richtig verstandenen Interessenlage des Antragstellers entspricht.
Vorliegend wendet sich der Kläger offensichtlich gegen das von der Beklagten nicht beabsichtigte Abgreifen seiner Daten durch Dritte unter Umgehung der vorhandenen Sicherungsmaßnahmen der Beklagten, welche er als unzureichend kritisiert. Mit dieser Maßgabe ist aber weder klar und bestimmbar, wie das zu verbietende „zugänglich machen“ durch die Beklagte aussehen soll, noch wessen Zugriffsmöglichkeit zu unterbinden ist. Denn der Begriff der „unbefugten Personen“ hätte durch eine Darlegung der konkreten Verletzungshandlung näher definiert werden können und müssen.
Dem steht nicht entgegen, dass die Beklagte in der Wahl der von ihr zu ergreifenden Maßnahmen eine Auswahl haben muss, solange diese geeignet sind, das konkrete Rechtsschutzziel zu erreichen (vgl. BGH, Beschluss v. 22.02.2024 – III ZR 63/23, BeckRS 2024, 5358 sowie Urteil v. 05.12.2023 – KZR 101/20, BGHZ 239, 116; jeweils zu Unterlassungsansprüchen nach § 1004 BGB). Auch insoweit wäre es – auch mit Blick auf die Gewährung effektiven Rechtsschutzes (BGH, Urteil v. 26.01.2017 – I ZR 207/14, GRUR 2017, 422) – dem Kläger zumutbar gewesen, die künftig zu unterlassende Verletzungshandlung näher zu konkretisieren.
Die Konkretisierung des Antrags ist auch nicht deswegen entbehrlich, weil sich eine solche aus dem Klagevorbringen ergäbe. Der Kläger hat zur Erläuterung seines Rechtsschutzziels lediglich angegeben, er verfolge ein Unterlassen, dass personenbezogene Daten ohne ausreichende Sicherheitsvorkehrungen verarbeitet werden. Eine Bezugnahme auf den Hackerangriff als konkrete Verletzungsform enthält der Unterlassungsantrag nicht. Auch eine nähere Darlegung, welche konkrete Verletzungshandlung durch die Beklagte zu unterlassen sei, fehlt ebenso wie eine Erläuterung, in welchen Fällen von einem „Zugänglichmachen“ der Daten für „unbefugte Personen“ durch deren „Ausnutzung des Systems“ auszugehen sei. Der Kläger argumentiert insoweit zunächst mit dem Recht auf Vergessenwerden, welches bereits deshalb vorliegend nicht einschlägig sein kann, da die Verarbeitung seiner Daten aufgrund des noch bestehenden Beschäftigungsverhältnisses mit der Beklagten weiterhin zwingend erforderlich ist und eine Löschung daher von der Beklagten nicht gefordert werden kann. Auch die von ihm herangezogene aus dem erstmaligen Verstoß resultierende Wiederholungsgefahr genügt für die erforderliche Konkretisierung des Unterlassungsantrages nicht.
Mit einem Unterlassungsantrag kann der Kläger die Beklagte auch nicht allgemein zu gesetzeskonformem Handeln oder zu einem positiven Tun, wie z.B. der Einführung der jeweils nach dem aktuellen „Stand der Technik möglichen Sicherheitsmaßnahmen“ verpflichten. Vielmehr sind etwaige künftige Verstöße der Beklagten gegen die DSGVO oder die nach dem jeweils aktuellen „Stand der Technik möglichen Sicherheitsmaßnahmen“ in einem neuen Erkenntnisverfahren zu klären.
Da der Unterlassungsantrag bereits unzulässig ist, kommt es vorliegend auch nicht mehr darauf an, ob für diesen nach der DSGVO bzw. nach allgemeinem Zivilrecht und/oder arbeitsrechtlichen Vorschriften überhaupt eine Anspruchsgrundlage gegeben ist.
Die Kostenentscheidung folgt aus § 92 Abs. 1 S. 1 ZPO i.V.m. § 46 Abs. 2 ArbGG. Danach sind bei teilweisem Obsiegen und Unterliegen die Kosten verhältnismäßig zu teilen. Somit hat der Kläger im Verhältnis seines Unterliegens 78,95 % und die Beklagte im entsprechenden Verhältnis zu ihrem Unterliegen die übrigen 21,05 % der Kosten des Rechtsstreits zu tragen.
Der Streitwert war gemäß § 61 Abs. 1, § 46 Abs. 2 ArbGG, §§ 3 ff. ZPO im Urteil festzusetzen. Er beträgt 9.500,00 Euro.
Der festzusetzende Wert des Streitgegenstandes beläuft für den Zahlungsantrag zu Ziff. 1. auf den Wert der Hauptforderung. Der Feststellungsantrag zu Ziff. 2. fällt mit 500,00 Euro ins Gewicht. Das wirtschaftliche Interesse des Klägers an der beantragten Feststellung, das sich auf die ab Klageeinreichung mutmaßlich entstehenden weiteren Schäden bezieht (vgl. hierzu BGH, Beschluss v. 23.02.2022 − IV ZR 282/21, NJOZ 2022, 600 sowie OLG Karlsruhe, Beschluss v. 05.07.2023 – 10 W 5/23, ZD 2023, 746 m.w.N.) ist vorliegend nach freiem Ermessen der Kammer mit 500,00 als angemessen bewertet zu betrachten.
Der Unterlassungsantrag zu Ziff. 3. war mit demselben Wert wie der Zahlungsantrag festzusetzen, weil der Kläger hiermit der Sache nach im Wesentlichen begehrt, dass sich ein dem bereits geschehenen gleichgelagerter Vorfall nicht wiederholt. Abgesehen von den unterschiedlichen Zeiträumen des in den Klageanträgen zu Ziff. 1 und Ziff. 2 zu Grunde liegenden Geschehens in der Vergangenheit und den vom Klageantrag zu Ziff. 3 erfassten Wiederholungen in der Zukunft sind keine Umstände vorgetragen, die eine unterschiedliche wirtschaftliche Bewertung rechtfertigen würden. Denn keine der Parteien hat für sich behauptet, dass ein gleich gelagerter Vorfall eine signifikant größere oder aber auch kleinere wirtschaftliche Bedeutung entfalten könnte, als der bisherige.
Die Berufung war nicht besonders zuzulassen, weil die Voraussetzungen des § 64 Abs. 3 ArbGG nicht vorliegen.
Bereits im Jahr 2003 urteilte der BGH, dass Websitebetreiber für Verlinkungen auf fremde Inhalte grundsätzlich…
Am 23. April 2025 hat die Europäische Kommission zum ersten Mal Strafen nach dem Digital…
BGH-Urteil: Verbraucherschutzverbände und Mitbewerber können Datenschutzverstöße vor Zivilgerichten verfolgen Am 27. März 2025 hat der…
Die Zukunft des EU-US Data Privacy Framework (DPF) steht auf der Kippe. Unter Präsident Donald…
Bild: Generiert mit Midjourney von Joerg Heidrich Für KI-Anbieter geht es bald in die heiße…
Die rasante Entwicklung Künstlicher Intelligenz (KI) führt nicht nur zu technologischen Innovationen, sondern auch zu…