So unter anderem das Gericht in seinem Urteil vom 13. Januar 2026 (Az.: 513 C 1345/25) in einem Rechtsstreit, in dem der Kläger einen Anspruch auf Schadensersatz nach Art. 82 DSGVO geltend gemacht hatte. Hintergrund war ein Hackangriff auf ein Softwaresystem, dass bei dem Beklagten im Einsatz war. Das Gericht wies die Klage ab. Es führt in den Entscheidungsgründen des Urteils unter anderem aus:
„…Gemessen daran kann ein schuldhafter Verstoß der Beklagten gegen ihre Pflichten aus der DSGVO nicht angenommen werden.
Aus einem Abfluss der Daten der Klägerin folgt nicht unmittelbar, dass die Beklagten ihre Pflichten schuldhaft verletzt haben (vgl. EuGH, Urt. v. 14.12.2023 – C-340/21). Ein Angriff Dritter auf Daten ist auch bei pflichtgemäßen Schutzvorkehrungen nicht gänzlich auszuschließen, weshalb aus dem Umstand des Datenabflusses allein keine schuldhafte Pflichtverletzung der Beklagten folgt.
Für den streitgegenständlichen Datenabfluss war die Software MOVEit verantwortlich, die weder von der Beklagten zu 1) noch von der Beklagten zu 2) entwickelt wurde. Die Software war bis zum streitgegenständlichen Vorfall nach unbestrittenem Vortrag der Beklagten als eine marktführende Anwendung als datensicherheits- und -schutzkonforme Austauschplattform im Markt etabliert, was sich auch in der potentiellen Betroffenheit von ca. 2.500 Unternehmen und öffentlichen Stellen durch den Cyberangriff zeigte. Zudem ist die Software hinsichtlich der Gewährleistung von Datensicherheit (unstreitig) mehrfach zertifiziert. Ein Vorwurf im Hinblick auf die Nutzung der Software wäre der Beklagten zu 1) daher nur dann zu machen, wenn sie vor dem streitgegenständlichen Datenabgriff ausreichende Anhaltspunkte dafür gehabt hätte, dass die Software nicht ausreichend sicher gewesen wäre. Dies ist aber nicht ersichtlich.
Die Beklagte hat substantiiert vorgetragen, dass am 31.05.2023 zwischen 9:27 und 10:43 Uhr ein Abfluss von Daten von einem Server der Beklagten zu 2) auf einen unbekannten Server erfolgt sei. Noch am späten Abend des 31.05.2023 sei die Beklagte zu 2) von dem Anbieter der MOVEit-Anwendung über die Sicherheitslücke informiert worden. Bereits am 02.06.2023 habe der Hersteller … laut der Meldung des BSI zu allen betroffenen Versionen Updates bereitgestellt und die Sicherheitslücke geschlossen. Die Beklagte zu 1) selbst sei über den Vorfall erst am 13.06.2023 informiert worden. Es habe es sich um einen sog. „zero-day-exploit“ gehandelt, d.h. die Schwachstelle sei dem Anbieter der Anwendung erst durch den Angriff selbst bekannt geworden. Bei dem Angriff sei eine sog. Web-Shell mit dem Namen „human2.aspx“ auf dem betroffenen Server der Beklagten zu 2) hochgeladen, wodurch
Die Beklagte zu 1) selbst hatte danach vor dem streitgegenständlichen Hackerangriff keine Anhaltspunkte für eine fehlende Sicherheit der Software, sondern hat von der Sicherheitslücke im Gegensatz erst nach Ausnutzung für einen erfolgreichen Angriff und darauffolgender Behebung der Schwachstelle Kenntnis erlangt…“
Hinweis des Autors:
Dem Autor ist bei Erstellung des Beitrages nicht bekannt, ob Rechtsmittel gegen die Entscheidung eingelegt worden ist.
