Login

Warum führen Cyberattacken zu DSGVO-Klagen?

Stellen Sie sich vor: Ein Cyberkrimineller verschafft sich Zugang zu Ihrem Unternehmensnetzwerk, verschlüsselt Ihre Daten und fordert Lösegeld. Das allein klingt schon schlimm genug – doch damit kann die Geschichte noch lange nicht zu Ende sein. Denn was als „reines" IT-Security-Problem beginnt, kann sich schnell zu einem handfesten Datenschutzproblem mit rechtlichen und finanziellen Konsequenzen ausweiten.

🕒 5 Min. Lesezeit

Inhaltsverzeichnis

🔍 Kurze Antwort:

Cyberattacken führen zu DSGVO-Klagen, weil bereits der Kontrollverlust über personenbezogene Daten schadensersatzpflichtig ist. Nach Art. 82 DSGVO können Betroffene 500-1.500€ pro Datensatz fordern. Zusätzlich drohen Bußgelder bis 4% des Jahresumsatzes und Anwaltskosten.

Stellen Sie sich vor: Ein Cyberkrimineller verschafft sich Zugang zu Ihrem Unternehmensnetzwerk, verschlüsselt Ihre Daten und fordert Lösegeld. Das allein klingt schon schlimm genug – doch damit kann die Geschichte noch lange nicht zu Ende sein.

Denn was als „reines“ IT-Security-Problem beginnt, kann sich schnell zu einem handfesten Datenschutzproblem mit rechtlichen und finanziellen Konsequenzen ausweiten.

Was passiert rechtlich nach einem Cyberangriff?

Drei Fälle, eine Lektion

Was haben die Berliner Verkehrsbetriebe, der britische Einzelhändler Marks & Spencer und der Personaldienstleister Adecco gemeinsam? Sie alle erlebten, wie aus IT-Security-Problemen massive rechtliche und finanzielle Belastungen wurden.

Die Zahlen sprechen eine klare Sprache:

  • 182.295 Datensätze kompromittiert bei der BVG
  • 145 Schadensersatzklagen bereits eingereicht
  • 72.000 Menschen betroffen beim Adecco-Vorfall
  • Millionenschwere Umsatzausfälle bei Marks & Spencer

Fall 1: BVG Berlin – Wenn der Dienstleister zum Problem wird [1]

Die BVG wurde nicht direkt angegriffen, sondern ihr IT-Dienstleister Richard Scholz GmbH. Trotzdem ist die BVG nun mit Schadensersatzforderungen konfrontiert. Die Lehre: Auch Ihre Partner können Sie in DSGVO-Haftung bringen.

Kritische Verzögerung: Es verging ein Monat, bis Kunden informiert wurden – ein klarer Verstoß gegen die 72-Stunden-Meldepflicht der DSGVO.

Fall 2: Marks & Spencer UK – Der Dreifach-Schlag [2]

Erst der Cyberangriff, dann Millionen-Umsatzausfälle durch nicht funktionierenden Onlineshop, schließlich Sammelklagen wegen Datenverlust. Ein klassisches Beispiel dafür, wie sich IT-Probleme zu existenzbedrohenden Geschäftsproblemen entwickeln können.

Fall 3: Adecco Frankreich – Wenn Insider zu Tätern werden [3]

Ein 19-jähriger Praktikant verkaufte seine Zugangsdaten für 15.000 Euro. Die Folge: 2.400 Nebenkläger fordern Schadensersatz, der Schaden beläuft sich auf 1,6 Millionen Euro allein durch unrechtmäßige Abbuchungen.

Der rechtliche Dominoeffekt visualisiert:

Dominoeffekt Datenschutz Datensicherheit

So wird aus einem IT-Problem ein Rechtsproblem:

1. Cyberangriff → Personenbezogene Daten kompromittiert
2. DSGVO-Verstoß → Automatische Meldepflicht binnen 72h
3. Schadensersatzanspruch → Art. 82 DSGVO greift sofort
4. Sammelklagen → Spezialisierte Anwaltskanzleien organisieren Betroffene
5. Finanzielle Belastung → Schadensersatz + Bußgeld + Anwaltskosten

Das Tückische: Selbst ohne direkte Schuld am Cyberangriff bleiben Sie DSGVO-rechtlich verantwortlich.

Wie hoch ist der DSGVO-Schadensersatz nach Cyberattacken?

Artikel 82 DSGVO macht es möglich: Betroffene können Schadensersatz fordern – auch bei rein immateriellen Schäden. Das bedeutet: Bereits der Kontrollverlust über eigene Daten ist schadensersatzpflichtig.

Typische Schadensersatzforderungen:

  • 500-1.500 Euro pro betroffenem Datensatz
  • Mehrere tausend Euro bei sensiblen Daten (Gesundheit, Finanzen)
  • Zusätzlich: Anwaltskosten der Kläger

Aktuelle Schadensersatzpraxis in Deutschland:

Standard-Datensätze:

  • Name, Adresse, Telefon: 500-800€ pro Person
  • E-Mail, Geburtsdatum: 300-600€ pro Person

Sensible Daten (Art. 9 DSGVO):

  • Gesundheitsdaten: 2.000-5.000€ pro Person
  • Finanzdaten: 1.500-3.000€ pro Person
  • Biometrische Daten: 3.000-8.000€ pro Person

Zusätzliche Kosten:

  • Anwaltskosten der Kläger (300-800€ pro Fall)
  • Gerichtskosten bei Prozessverlust
  • DSGVO-Bußgeld (parallel zum Schadensersatz)

Beispielrechnung BVG:
182.295 Datensätze × 800€ = 145,8 Mio€ maximaler Schadensersatz

Was muss ich in den ersten 72 Stunden nach einem Cyberangriff tun?

Bei einer Datenpanne läuft die Uhr – Sie haben nur 72 Stunden für die Meldung an die Aufsichtsbehörde.

Unser 5-Punkte-Notfallplan:
1. Sofortige Schadensbegrenzung (Systeme isolieren)
2. Umfang ermitteln (Welche Daten sind betroffen?)
3. Aufsichtsbehörde informieren (binnen 72h)
4. Betroffene benachrichtigen (unverzüglich)
5. Dokumentation (für mögliche Verfahren)

💡 Tipp: Erstellen Sie Vorlagen für alle Meldungen – in der Krise ist keine Zeit für Textarbeit!

Was gehört in die 72h-Meldung an die Aufsichtsbehörde?

Pflichtangaben nach Art. 33 DSGVO:

  • Art der Datenschutzverletzung
  • Anzahl betroffener Personen (geschätzt)
  • Kategorien betroffener Daten
  • Name des Datenschutzbeauftragten
  • Wahrscheinliche Folgen der Verletzung
  • Getroffene/geplante Abhilfemaßnahmen

Praktische Formulierungshilfe:
„Am [Datum] um [Uhrzeit] wurde festgestellt, dass durch [Ursache] personenbezogene Daten von ca. [Anzahl] Personen unbefugt [abgerufen/verändert/gelöscht] wurden. Es handelt sich um [Datenkategorien]. Sofortige Maßnahmen: [Aufzählung].“

Häufige Fehler vermeiden:

  • Zu späte Meldung (nach 72h)
  • Unvollständige Angaben
  • Verharmlosung der Tragweite
  • Fehlende Dokumentation der Meldung

Warum sind KMU besonders von DSGVO-Klagen betroffen?

Während Großunternehmen oft über eigene Rechtsabteilungen und Cyber-Versicherungen verfügen, sind kleine und mittlere Unternehmen besonders verwundbar:

1. Begrenzte Ressourcen für Security

  • Keine eigenen IT-Security-Spezialisten
  • Abhängigkeit von externen Dienstleistern
  • Oft veraltete Sicherheitsmaßnahmen

2. Unterschätzte rechtliche Risiken

  • DSGVO-Compliance wird als „Papierkram“ abgetan
  • Keine Vorbereitung auf Schadensersatzforderungen
  • Fehlende Dokumentation von Sicherheitsmaßnahmen

3. Hohe relative Schadenshöhe

  • Bereits 25.000 Euro durchschnittliche Kosten pro Cyber-Vorfall
  • DSGVO-Bußgelder bis zu 4% des Jahresumsatzes
  • Zusätzlich: Anwaltskosten, Schadensersatz, Reputationsverlust

Besondere Risiken für kleine und mittlere Unternehmen:

1. Proportional höhere Schadenshöhe:

  • 25.000€ Cyberattack-Kosten = 5% vom 500.000€ Jahresumsatz
  • Bei Großkonzern: 25.000€ = 0,001% vom Umsatz

2. Fehlende Präventionsmaßnahmen:

  • 73% der KMU haben keinen Incident Response Plan
  • 89% führen keine regelmäßigen Security Awareness Trainings durch
  • 56% unterschätzen DSGVO-Risiken bei Cyberattacken

3. Anwaltskanzleien fokussieren auf KMU:

  • Einfachere Verfahren als bei Großkonzernen
  • Oft keine eigene Rechtsabteilung
  • Höhere Vergleichsbereitschaft aus Unwissen

⚠️ Sind Sie auf den nächsten Cyberangriff vorbereitet?

Wie BVG, Marks & Spencer und Adecco zeigen: Cyberattacken werden immer zu DSGVO-Problemen. Bereiten Sie sich vor, bevor es zu spät ist. → Lesen Sie weiter für konkrete Schutzmaßnahmen.

Wie die drei eingangs skizzierten Praxisbeispiele zeigen, spielen Datenschutz UND Datensicherheit eine zentrale Rolle, wenn es darum geht, insbesondere die finanziellen Folgen eines Cyberangriffs auf ein Minimum zu reduzieren.

Aus genau diesem Grund haben wir in die Security Awareness Toolbox nicht nur Informationen zur Datensicherheit aufgenommen, sondern beschäftigen uns auch mit dem Thema Datenschutz. Sie finden in der Security Awareness Toolbox unter anderem Schulungsunterlagen und Newsletter-Vorlagen zu Themen wie:

  • Grundlagen der DSGVO
  • Personenbezogene Daten nach DSGVO
  • Auftragsverarbeitung nach DSGVO
  • Datenschutz und (Online-) Marketing
  • Datenschutz und Personalwesen
  • Datenschutz in Vertrieb und Kundendienst

Darüber hinaus weisen wir auch in allen anderen Unterlagen darauf hin, wenn datenschutzrechtliche Aspekte eine Rolle spielen (z.B. beim Verhalten bei einer Datenpanne, Stichwort: 72-Stunden-Regel).

Denn eines ist klar: Auch wenn es für den Datenschutz klar definierte Verantwortlichkeiten wie den(externen) Datenschutzbeauftragten gibt, ist es am Ende doch wieder der „Faktor Mensch“, der dafür verantwortlich ist, dass Datenschutz UND Datensicherheit im Unternehmen eingehalten werden.

⚖️ Häufige Fragen zu DSGVO-Klagen nach Cyberattacken

No accordions found

Wann kann ich nach einem Cyberangriff auf DSGVO-Schadensersatz verklagt werden?

Immer wenn personenbezogene Daten betroffen sind – unabhängig davon, ob Sie direkt schuld am Angriff sind. Art. 82 DSGVO macht bereits den Kontrollverlust schadensersatzpflichtig. Selbst bei Angriffen auf Ihre Dienstleister bleiben Sie als Verantwortlicher haftbar, wie der BVG-Fall zeigt.

Wie hoch sind typische DSGVO-Schadensersatzzahlungen nach Cyberangriffen?

Standard-Datensätze: 500-800€ pro Person, sensible Daten (Gesundheit, Finanzen): 2.000-5.000€ pro Person. Zusätzlich kommen Anwaltskosten (300-800€ pro Fall) und mögliche DSGVO-Bußgelder dazu. Bei 1.000 betroffenen Kunden können schnell 500.000-800.000€ zusammenkommen.

Was muss ich in den ersten 72 Stunden nach einem Cyberangriff unbedingt tun?

1) Systeme isolieren, 2) Umfang ermitteln, 3) Aufsichtsbehörde binnen 72h informieren, 4) Betroffene unverzüglich benachrichtigen, 5) Alles dokumentieren. Versäumen Sie die 72h-Frist, drohen zusätzliche DSGVO-Bußgelder. Erstellen Sie daher Meldungsvorlagen im Voraus.

Bin ich haftbar wenn mein IT-Dienstleister gehackt wird?

Ja, wie der BVG-Fall beweist. Sie bleiben als Verantwortlicher nach Art. 4 Nr. 7 DSGVO haftbar, auch wenn Ihr Auftragsverarbeiter angegriffen wird. Wichtig: Solide Auftragsverarbeitungsverträge nach Art. 28 DSGVO und regelmäßige Sicherheitsüberprüfungen Ihrer Dienstleister.

Kann ich DSGVO-Schadensersatz über meine Cyber-Versicherung abdecken?

Teilweise, aber aufpassen: Viele Cyber-Versicherungen schließen DSGVO-Schadensersatz aus oder haben niedrige Deckungssummen. Prüfen Sie Ihren Vertrag auf „regulatory fines“ und „privacy liability“. Moderne Policen sollten mindestens 5-10 Mio. € für DSGVO-Schäden abdecken.

Warum werden gerade KMU häufig nach Cyberangriffen verklagt?

KMU sind einfachere Ziele: Keine eigene Rechtsabteilung, oft unzureichende Vorbereitung, höhere Vergleichsbereitschaft. Spezialisierte Anwaltskanzleien organisieren Sammelklagen gezielt gegen kleinere Unternehmen. Zudem ist der relative Schaden bei KMU oft existenzbedrohender.

Welche Cyberangriffe führen am häufigsten zu DSGVO-Klagen?

Ransomware-Angriffe (wie BVG), Phishing mit Datenabfluss, Insider-Bedrohungen (wie Adecco) und so genannte „Cloud Breaches“ d.h. Verletzung der Datensicherheit in der Cloud. Besonders kritisch: Angriffe auf Kundendatenbanken, Personalakten oder Gesundheitsdaten. Je sensibler die Daten, desto höher die Schadensersatzforderungen.

Wie kann ich mich vor DSGVO-Klagen nach Cyberangriffen schützen?

1) Präventive Security Awareness Trainings, 2) Incident Response Plan mit DSGVO-Meldeprozess, 3) Cyber-Versicherung mit DSGVO-Abdeckung, 4) Regelmäßige Sicherheitsaudits, 5) Auftragsverarbeitungsverträge prüfen. Die Security Awareness Toolbox hilft bei der systematischen Umsetzung.

🛡️ Schützen Sie sich vor dem Security-Privacy-Dominoeffekt!

Erfahren Sie im kostenlosen Security Briefing, wie Sie Cyberattacken verhindern UND sich vor DSGVO-Klagen schützen. Ihre Mitarbeiter sind der Schlüssel für beides.

Kostenloses DSGVO-Security Briefing

Quellen:

[1] BVG Berlin

[2] Marks & Spencer

[3] Adecco Frankreich

Sie möchten die Security Awareness Toolbox gerne live kennen lernen?

Kein Problem! Gerne stellen wir Ihnen die Security Awareness Toolbox in einer unverbindlichen 30-minütigen Online-Präsentation näher vor.
Termin vereinbaren

📋 Nächste Schritte

Security Quick Check starten
Kostenloses Beratungsgespräch
Newsletter abonnieren

📚 Ähnliche Artikel

Ohne Bewusstsein keine Sicherheit

Alles was Sie für ein nachhaltiges Security Awareness-Programm im Unternehmen benötigen
Demo anfordern
Bild von Heike Kröner

Heike Kröner

Heike Kröner ist für das Content Marketing für die Security Awareness Toolbox verantwortlich

📚 Weitere Beiträge zum Thema: