Ransomware-Angriffe auf Unternehmen gehören heute zum unternehmerischen Risikoalltag. Auf den Erstschaden (Betriebsausfall, Wiederherstellungskosten, behördliche Meldepflichten) folgen zunehmend zivilrechtliche Schadensersatzklagen betroffener (ehemaliger) Beschäftigter, gestützt auf Art. 82 Abs. 1 DSGVO.
Das Landesarbeitsgericht (LAG) Hessen hat nun kürzlich in einer recht detaillierten Entscheidung (LAG Hessen 10.02.2026 – 12 SLa 709/25) zu diesem Themenkomplex aufgezeigt, unter welchen konkreten Umständen ein solcher Anspruch scheitert – und dabei u.a. eine interessante Einordnung bei der Bewertung behördlicher Reaktionen auf Datenpannen vorgenommen.
Mit seinem Urteil hat es die Schadensersatzklage eines ehemaligen Arbeitnehmers nach Art. 82 Abs. 1 DSGVO abgewiesen – obwohl dessen früheres Unternehmen Opfer eines massiven Ransomware-Angriffs mit dem Diebstahl von 40 Terabyte Daten geworden war und personenbezogene Daten dieses Mitarbeiters dabei kopiert wurden.
Das Gericht verneint dabei das Vorliegen gleich aller drei tatbestandlichen Voraussetzungen des Anspruchs: Verstoß, Schaden und Kausalzusammenhang.
Besondere praktische Bedeutung hat die Feststellung des LAG Hessen, dass die Nichtbeanstandung durch die zuständige Datenschutzaufsichtsbehörde nach einer Meldung gemäß Art. 33 DSGVO als eine dem Nachweis einer nicht widerrufenen Zertifizierung vergleichbare Konformitätsbestätigung gewürdigt werden kann. Sozusagen also einer amtlichen Bestätigung, datenschutzrechtlich alles richtig gemacht zu haben.
Die Entscheidung ist für Unternehmen und öffentliche Stellen, die mit Datenpannen konfrontiert sind, in mehrfacher Hinsicht wegweisend – dies auch im Hinblick auf Sachverhalte, in denen es nicht um so gravierende Vorfälle, wie einen Hackerangriff geht.
Sachverhalt
Der Kläger war von Februar 2006 bis November 2020 bei der Rechtsvorgängerin der Beklagten beschäftigt. Im Sommer 2022 – rund anderthalb Jahre nach seinem Ausscheiden – wurde der Konzern, zu dem die Arbeitgeberin gehörte, Opfer eines Hackerangriffs durch eine kriminelle Organisation. Auslöser war das Verhalten eines Mitarbeiters einer zum Konzern gehörenden ungarischen Gesellschaft, der unter Verstoß gegen arbeitsvertragliche und datenschutzrechtliche Vorgaben ein Software-Update mit enthaltener Trojaner-Malware zu privaten Zwecken auf seinem Dienstrechner installiert hatte. Im Zuge des Angriffs wurden 40 Terabyte Daten kopiert, darunter auch personenbezogene Mitarbeiterdaten. Die Hackerorganisation forderte sodann ein Lösegeld von 50 Millionen US-Dollar. Als der Konzern die Zahlung verweigerte, stellte sie im November 2022 im Darknet eine Liste der Dateinamen der kopierten Dateien zum Kauf ein. Die Dateien selbst wurden nicht veröffentlicht. Der Konzern betreibt seither ein fortwährendes Darknet-Screening. Konkrete Anhaltspunkte für einen Verkauf oder eine Veröffentlichung der Daten bestanden jedenfalls bis zum Zeitpunkt des Urteils nicht.
Nach Kenntniserlangung des Vorfalls meldete die Beklagte ihn gebündelt für alle betroffenen Konzerngesellschaften der Landesbeauftragten für den Datenschutz in Niedersachsen gemäß Art. 33 DSGVO. Das daraufhin eingeleitete Prüfverfahren der Aufsichtsbehörde wurde abgeschlossen, ohne dass Maßnahmen ergriffen wurden. In ihrem Abschlusschreiben stellte die Behörde fest, dass sich keine Hinweise auf systemische Fehler in den Datenverarbeitungsprozessen der Beklagten ergeben hätten und dass Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO nicht erforderlich seien.
Im November 2023 informierte die Beklagte den Kläger von seiner Betroffenheit. Dieser änderte daraufhin diverse Zugangsdaten und wechselte zu einem E-Mail-Anbieter mit erhöhten Sicherheitsstandards.
Der Kläger machte vor dem Arbeitsgericht Offenbach einen immateriellen Schadensersatz von mindestens 3.000 EUR sowie die Feststellung der Ersatzpflicht für künftige materielle Schäden geltend. Das Arbeitsgericht wies die Klage ab. Im Berufungsverfahren reduzierte der Kläger seine Forderung auf mindestens 500 EUR. Das LAG Hessen wies die Berufung zurück.
Fehlender Verstoß gegen die DSGVO
Das Gericht verneint bereits das Vorliegen eines hinreichend dargelegten DSGVO-Verstoßes:
Erstens fehle es am substantiierten Vortrag des Klägers dazu, welche seiner Daten konkret kopiert wurden. Die Beklagte hatte dem Kläger mit ihrer Benachrichtigung nach Art. 34 DSGVO in einer Anlage 2 die konkret kopierten Daten bezeichnet. Der Kläger legte diese Anlage weder vor noch setzte er sich mit ihr auseinander. Stattdessen listete er pauschal alle Datenkategorien auf, die von der Beklagten grundsätzlich im Beschäftigungsverhältnis verarbeitet werden. Diesen Vortrag ließ das Gericht nicht genügen. Wer Schadensersatz wegen einer Datenpanne begehrt, muss konkret darlegen, welche seiner Daten betroffen waren – und zwar auf der Grundlage der ihm zugänglichen Informationen.
Zweitens – und dies ist der dogmatisch spannende Teil der Entscheidung – verneint das Gericht einen Verstoß gegen Art. 32 DSGVO unter Heranziehung der behördlichen Nichtbeanstandung. Die Argumentation folgt einer Analogie zu Art. 32 Abs. 3 DSGVO:
Nach dieser Norm kann eine Zertifizierung als Faktor herangezogen werden, um die Einhaltung der Anforderungen des Art. 32 Abs. 1 DSGVO nachzuweisen. Die Aufsichtsbehörde kann gemäß Art. 58 Abs. 1 DSGVO erteilte Zertifizierungen überprüfen und gemäß Art. 42 Abs. 7 DSGVO widerrufen. Erfolgt kein Widerruf, darf ihre Einschätzung als Gewähr dafür verstanden werden, dass die maßgeblichen Anforderungen tatsächlich vorliegen.
Denselben Wertungsmaßstab legt das Gericht nun an, wenn die Aufsichtsbehörde – wie hier – im Anschluss an eine Meldung nach Art. 33 DSGVO zu dem Ergebnis gelangt, systemische Fehler in den Datenverarbeitungsprozessen lägen nicht vor und Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO seien nicht erforderlich.
Auch in diesem Fall sei – ähnlich wie beim Vorliegen einer nicht widerrufenen Zertifizierung – durch die Aufsichtsbehörde bestätigt, dass die Verarbeitungsvorgänge des Verantwortlichen im Einklang mit der DSGVO stünden. Das zusätzliche Argument, dem Konzern sei das Fehlverhalten des ungarischen Mitarbeiters mangels bestimmenden Einflusses nicht zuzurechnen, tritt dahinter zurück.
Kein immaterieller Schaden
Unabhängig vom fehlenden Verstoß verneint das Gericht auch das Vorliegen eines immateriellen Schadens. Es erkennt an, dass der Kläger durch das Kopieren seiner Daten einen Kontrollverlust erlitten hat, verneint aber eine begründete Missbrauchsbefürchtung, die allein einen Schaden begründen könnte:
„Zwar kann nach der Rechtsprechung des EuGH ein Kontrollverlust auch dann gegeben sein, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil der geschützten Person erfolgt sein sollte (vgl. EuGH 4. Oktober 2024 – C-200/23 – [Agentsia po vpisvaniyata] Rn. 144 ff.), denn es kann die entsprechende Gefahr bestanden haben. Die durch einen Verstoß gegen die Datenschutz-Grundverordnung ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, kann für sich genommen einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DSGVO darstellen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 65; EuGH 14. Dezember 2023 – C-340/21 – [Natsionalna agentsia za prihodite] Rn. 79 ff.). Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann jedoch nicht zu einer Entschädigung führen (EuGH 25. Januar 2024 – C-687/21 – [MediaMarktSaturn] Rn. 68; BAG 20. Juni 2024 – 8 AZR 124/23 – Rn. 13; BSG 24. September 2024 – B 7 AS 15/23 R – Rn. 31).
Unter einem Kontrollverlust versteht der EuGH daher nur eine Situation, in der die betroffene Person eine begründete Befürchtung des Datenmissbrauchs hegt (vgl. BSG 24. September 2024 – B 7 AS 15/23 R – Rn. 31). Das bloße Berufen auf eine bestimmte Gefühlslage reicht dabei nicht aus. Das Gericht hat vielmehr zu prüfen, ob das Gefühl unter Berücksichtigung der konkreten Umstände als begründet angesehen werden kann“.
Hessisches Landesarbeitsgericht, Urteil v. 10.02.2026, Az.12 SLa 709/25
Die Begründung des LAG Hessen stützt sich auf vier Säulen: Die Daten wurden zu keinem Zeitpunkt im Internet oder Darknet abrufbar gemacht, lediglich eine Liste von Dateinamen ist zugänglich. Die kopierten Daten sind in einer Masse von 40 Terabyte unstrukturiert gespeichert und für Dritte ohne massiven finanziellen Aufwand nicht nutzbar. Die betroffenen Daten waren bereits im Zeitpunkt des Angriffs stark veraltet – die kopierte Festnetznummer des Klägers stammte aus dem Jahr 2006, der kopierte Wohnort war ebenfalls nicht mehr aktuell. Schließlich wurden die besonders missbrauchsrelevanten Kategorien (Bank-, Steuer-, Renten- und Sozialversicherungsdaten, Handynummer sowie private Zugangsdaten) nach unbestrittener Darstellung der Beklagten nicht kopiert.
Fehlende Kausalität
Soweit der Kläger weitere DSGVO-Verstöße rügte – darunter Verletzungen der Art. 6, 12 bis 14, 33, 34 und 35 DSGVO –, fehlte es nach der Feststellung des Gerichts jeweils am Kausalzusammenhang zwischen dem behaupteten Verstoß und dem geltend gemachten Schaden. Auf den Kontrollverlust wirkten sich allein der Hackerangriff, nicht aber eine etwaig verspätete Information nach Art. 34 DSGVO aus.
Den Feststellungsantrag hinsichtlich künftiger materieller Schäden erklärte das LAG für unzulässig: Die Zulässigkeit einer solchen Feststellungsklage setzt voraus, dass der Eintritt eines künftigen Schadens zumindest denkbar und möglich erscheint (BAG 05.06.2025 – 8 AZR 117/24, Rn. 29). Daran fehlte es aus den zum Schaden festgestellten Gründen.
Einordnung und Handlungsempfehlungen
Die Entscheidung ist dogmatisch stimmig und in ihrer Begründungsdichte für die Praxis von erheblichem Wert. Sie verdient in drei Punkten besondere Aufmerksamkeit:
Der erste und praxiswichtigste Punkt ist die Aufwertung der behördlichen Nichtbeanstandung:
Wenn ein Verantwortlicher nach einem Datenschutzvorfall seiner Meldepflicht nach Art. 33 DSGVO fristgerecht und vollständig nachkommt und die Aufsichtsbehörde das Prüfverfahren ohne Abhilfemaßnahmen abschließt, kann diese behördliche Entscheidung nach dem Ansatz des LAG Hessen als Konformitätsindiz für Art. 32 DSGVO herangezogen werden.
Das ist kein Blanko-Scheck. Die Behörde muss das Prüfverfahren auch tatsächlich inhaltlich abgeschlossen und ihre Bewertung schriftlich niedergelegt haben. Hier hatte sie es allerdings auch getan.
Für Unternehmen und öffentliche Stellen folgt daraus:
Eine strukturierte, vollständige und dokumentierte Meldung nach Art. 33 DSGVO ist nicht nur aufsichtsrechtliche Pflicht, sondern kann sich im zivilrechtlichen Folgeprozess auszahlen. Das Abschlussschreiben der Behörde sollte sorgfältig archiviert werden.
Ob andere Gerichte dieser Analogie folgen werden, bleibt abzuwarten. Die Argumentation überzeugt jedenfalls in ihrer systematischen Herleitung.
Der zweite Punkt betrifft die prozessuale Darlegungslast:
Das Gericht macht deutlich, dass Kläger die konkret von einem Datenschutzvorfall betroffenen Daten auf der Grundlage der ihnen mitgeteilten Informationen benennen müssen.
Eine pauschale Auflistung aller Datenkategorien, die ein Unternehmen grundsätzlich verarbeitet, genügt nicht. Verantwortliche, die nach Art. 34 DSGVO Benachrichtigungsschreiben versenden, sollten daher die konkret betroffenen Daten klar von den allgemein verarbeiteten Datenkategorien abgrenzen – und zwar schriftlich und dokumentiert. Dies verringert die Erfolgsaussichten pauschaler Klagen erheblich.
Der dritte Punkt betrifft das Schadenserfordernis:
Auch nach dieser Entscheidung ist der reale Kontrollverlust als solcher kein ausreichender Anknüpfungspunkt für Schadensersatz.
Entscheidend ist die objektiv nachvollziehbare Missbrauchsbefürchtung. Je älter und unstrukturierter die betroffenen Daten, je weniger sensibel die konkreten kopierten Kategorien und je geringer die realistische Zugänglichkeit für Dritte, desto schwerer ist diese Voraussetzung zu erfüllen.
Für das Vorfallmanagement bedeutet das: Forensische Dokumentation darüber, welche Daten konkret abgeflossen sind, in welchem Zustand sie sich befanden und ob sie für Dritte tatsächlich zugänglich wurden, ist keine technische Formalität, sondern unmittelbar haftungsrelevant.
Und für die steigende Zahl der Fälle, in denen (ehemalige) Beschäftigte einen angeblichen Schaden allein aus einer nicht oder nicht ordnungsgemäss erteilten Arbeitgeberauskunft reklamieren, dürfte die Hürde für die schlüssige Schadensdarlegung realistischerweise unter Berücksichtigung dieser Entscheidung deutlich höher liegen.
Dort, wo es ausschließlich um personenbezogenen Daten geht, die der Arbeitgeber im Rahmen der Durchführung des Beschäftigungsverhältnisses berechtigt erhoben und bei sich aufbewahrt hat, dürfte im Übrigen im Normalfall schon nicht einmal von einem realen Kontrollverlust auszugehen sein.
Die Arbeitsgerichte haben in der Vergangenheit nicht nur bei nichterfüllten Auskunftsansprüchen teilweise sehr geringe Anforderungen an den Schadensnachweis gestellt, indem sie bereits die Tatsache eines objektiv vorliegenden datenschutzrechtlichen Verstosses faktisch mit einem Schaden gleichgesetzt haben (Siehe etwa: ArbG Lübeck, Beschl. v. 20.06.2019 – 1 Ca 538/19; ArbG Neumünster, Urt. v. 11.08.2020 – 1 Ca 247 c/20; LAG Schleswig-Holstein, Beschl. v. 01.06.2022 – 6 Ta 49/22). Diese Linie wird sich vorhersehbar künftig nicht mehr aufrecht erhalten lassen.
Die Revision wurde nicht zugelassen. Eine höchstrichterliche Überprüfung der vom LAG Hessen entwickelten Argumentationslinie zur Unbedenklichkeitsbewertung durch die Datenschutz-Aufsichtsbehörde wird es daher vorerst wohl nicht geben.