Ransomware-Angriffe auf Unternehmen gehören heute zum unternehmerischen Risikoalltag. Auf den Erstschaden – Betriebsausfall, Wiederherstellungskosten, behördliche Meldepflichten – folgen zunehmend zivilrechtliche Schadensersatzklagen betroffener (ehemaliger) Beschäftigter, gestützt auf Art. 82 Abs. 1 DSGVO.
Das LAG Hessen hat nunmehr in einer sehr detaillierten Entscheidung (LAG Hessen 10.02.2026 – 12 SLa 709/25) zu diesem Themenkomplex klargestellt, unter welchen konkreten Umständen ein solcher Anspruch scheitert – und dabei u.a. einen bemerkenswerten Maßstab für die Bewertung behördlicher Reaktionen auf Datenpannen entwickelt.
Es hat mit seinem Urteil vom 10. Februar 2026 eine Schadensersatzklage eines ehemaligen Arbeitnehmers nach Art. 82 Abs. 1 DSGVO abgewiesen – obwohl ein Konzern Opfer eines massiven Ransomware-Angriffs mit dem Diebstahl von 40 Terabyte Daten geworden war und Daten des betroffenen Mitarbeiters dabei kopiert wurden.
Das Gericht verneint dabei alle drei tatbestandlichen Voraussetzungen des Anspruchs: Verstoß, Schaden und Kausalzusammenhang fehlen nach Ansicht des LAG Hessen jeweils aus eigenständigen, sachverhaltsbezogenen Gründen.
Besondere praktische Bedeutung hat die Feststellung, dass die Nichtbeanstandung durch die zuständige Datenschutzaufsichtsbehörde nach einer Meldung gemäß Art. 33 DSGVO als dem Nachweis einer nicht widerrufenen Zertifizierung vergleichbare Konformitätsbestätigung gewürdigt werden kann.
Die Entscheidung ist für Unternehmen und öffentliche Stellen, die mit Datenpannen konfrontiert sind, in mehrfacher Hinsicht wegweisend – dies auch im Hinblick auf Sachverhalte, in denen es nicht um so gravierende Vorfälle, wie einen Hackerangriff geht.
Sachverhalt
Der Kläger war von Februar 2006 bis November 2020 bei der Rechtsvorgängerin der Beklagten beschäftigt. Im Sommer 2022 – rund anderthalb Jahre nach seinem Ausscheiden – wurde der Konzern, zu dem die Arbeitgeberin gehörte, Opfer eines Hackerangriffs durch eine kriminelle Organisation. Auslöser war das Verhalten eines Mitarbeiters einer zum Konzern gehörenden ungarischen Gesellschaft, der unter Verstoß gegen arbeitsvertragliche und datenschutzrechtliche Vorgaben ein Software-Update mit enthaltener Trojaner-Malware zu privaten Zwecken auf seinem Dienstrechner installiert hatte. Im Zuge des Angriffs wurden 40 Terabyte Daten kopiert, darunter auch personenbezogene Mitarbeiterdaten. Die Hackerorganisation forderte sodann ein Lösegeld von 50 Millionen US-Dollar. Als der Konzern die Zahlung verweigerte, stellte sie im November 2022 im Darknet eine Liste der Dateinamen der kopierten Dateien zum Kauf ein. Die Dateien selbst wurden zu keinem Zeitpunkt veröffentlicht. Der Konzern betreibt seither ein fortwährendes Darknet-Screening. Konkrete Anhaltspunkte für einen Verkauf oder eine Veröffentlichung der Daten bestehen bis heute nicht.
Nach Kenntniserlangung des Vorfalls meldete die Beklagte ihn gebündelt für alle betroffenen Konzerngesellschaften der Landesbeauftragten für den Datenschutz in Niedersachsen gemäß Art. 33 DSGVO. Das daraufhin eingeleitete Prüfverfahren der Aufsichtsbehörde wurde abgeschlossen, ohne dass Maßnahmen ergriffen wurden. In ihrem Abschlusschreiben stellte die Behörde fest, dass sich keine Hinweise auf systemische Fehler in den Datenverarbeitungsprozessen der Beklagten ergeben hätten und dass Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO nicht erforderlich seien.
Im November 2023 informierte die Beklagte den Kläger von seiner Betroffenheit. Dieser änderte daraufhin diverse Zugangsdaten und wechselte zu einem E-Mail-Anbieter mit erhöhten Sicherheitsstandards.
Der Kläger machte vor dem Arbeitsgericht Offenbach einen immateriellen Schadensersatz von mindestens 3.000 EUR sowie die Feststellung der Ersatzpflicht für künftige materielle Schäden geltend. Das Arbeitsgericht wies die Klage ab. Im Berufungsverfahren reduzierte der Kläger seine Forderung auf mindestens 500 EUR. Das LAG Hessen wies die Berufung zurück.
Fehlender Verstoß gegen die DSGVO
Das Gericht verneint bereits das Vorliegen eines hinreichend dargelegten DSGVO-Verstoßes:
Erstens fehlte es am substantiierten Vortrag des Klägers dazu, welche seiner Daten konkret kopiert wurden. Die Beklagte hatte dem Kläger mit ihrer Benachrichtigung nach Art. 34 DSGVO in einer Anlage 2 die konkret kopierten Daten bezeichnet; der Kläger legte diese Anlage weder vor noch setzte er sich mit ihr auseinander. Stattdessen listete er pauschal alle Datenkategorien auf, die von der Beklagten grundsätzlich im Beschäftigungsverhältnis verarbeitet werden. Diesen Vortrag ließ das Gericht nicht genügen. Wer Schadensersatz wegen einer Datenpanne begehrt, muss konkret darlegen, welche seiner Daten betroffen waren – und zwar auf der Grundlage der ihm zugänglichen Informationen.
Zweitens – und dies ist der dogmatisch bedeutsamste Teil der Entscheidung – verneint das Gericht einen Verstoß gegen Art. 32 DSGVO unter Heranziehung der behördlichen Nichtbeanstandung. Die Argumentation folgt einer Analogie zu Art. 32 Abs. 3 DSGVO:
Nach dieser Norm kann eine Zertifizierung als Faktor herangezogen werden, um die Einhaltung der Anforderungen des Art. 32 Abs. 1 DSGVO nachzuweisen. Die Aufsichtsbehörde kann gemäß Art. 58 Abs. 1 DSGVO erteilte Zertifizierungen überprüfen und gemäß Art. 42 Abs. 7 DSGVO widerrufen. Erfolgt kein Widerruf, darf ihre Einschätzung als Gewähr dafür verstanden werden, dass die maßgeblichen Anforderungen tatsächlich vorliegen.
Denselben Wertungsmaßstab legt das Gericht nun an, wenn die Aufsichtsbehörde – wie hier – im Anschluss an eine Meldung nach Art. 33 DSGVO zu dem Ergebnis gelangt, systemische Fehler in den Datenverarbeitungsprozessen lägen nicht vor und Abhilfemaßnahmen nach Art. 58 Abs. 2 DSGVO seien nicht erforderlich.
Auch in diesem Fall sei – ähnlich wie beim Vorliegen einer nicht widerrufenen Zertifizierung – durch die Aufsichtsbehörde bestätigt, dass die Verarbeitungsvorgänge des Verantwortlichen im Einklang mit der DSGVO stünden. Das zusätzliche Argument, dem Konzern sei das Fehlverhalten des ungarischen Mitarbeiters mangels bestimmenden Einflusses nicht zuzurechnen, tritt dahinter zurück.
Kein immaterieller Schaden
Unabhängig vom fehlenden Verstoß verneint das Gericht auch das Vorliegen eines immateriellen Schadens. Es erkennt an, dass der Kläger durch das Kopieren seiner Daten einen Kontrollverlust erlitten hat, verneint aber eine begründete Missbrauchsbefürchtung, die allein einen Schaden begründen könnte (EuGH 14.12.2023 – C-340/21 [Natsionalna agentsia za prihodite], Rn. 85; BAG 20.02.2025 – 8 AZR 61/24).
Die Begründung stützt sich auf vier Säulen: Die Daten wurden zu keinem Zeitpunkt im Internet oder Darknet abrufbar gemacht, lediglich eine Liste von Dateinamen ist zugänglich. Die kopierten Daten sind in einer Masse von 40 Terabyte unstrukturiert gespeichert und für Dritte ohne massiven finanziellen Aufwand nicht nutzbar. Die betroffenen Daten waren bereits im Zeitpunkt des Angriffs stark veraltet – die kopierte Festnetznummer des Klägers stammte aus dem Jahr 2006, der kopierte Wohnort war ebenfalls nicht mehr aktuell. Schließlich wurden die besonders missbrauchsrelevanten Kategorien – Bank-, Steuer-, Renten- und Sozialversicherungsdaten, Handynummer sowie private Zugangsdaten – nach unbestrittener Darstellung der Beklagten nicht kopiert.
Fehlende Kausalität
Soweit der Kläger weitere DSGVO-Verstöße rügte – darunter Verletzungen der Art. 6, 12 bis 14, 33, 34 und 35 DSGVO –, fehlte es nach der Feststellung des Gerichts jeweils am Kausalzusammenhang zwischen dem behaupteten Verstoß und dem geltend gemachten Schaden. Auf den Kontrollverlust wirkten sich allein der Hackerangriff, nicht aber eine etwaig verspätete Information nach Art. 34 DSGVO aus.
Den Feststellungsantrag hinsichtlich künftiger materieller Schäden erklärte das LAG für unzulässig: Die Zulässigkeit einer solchen Feststellungsklage setzt voraus, dass der Eintritt eines künftigen Schadens zumindest denkbar und möglich erscheint (BAG 05.06.2025 – 8 AZR 117/24, Rn. 29). Daran fehlte es aus den zum Schaden genannten Gründen.
Einordnung und Handlungsempfehlungen
Die Entscheidung ist dogmatisch stimmig und in ihrer Begründungsdichte für die Praxis von erheblichem Wert. Sie verdient in drei Punkten besondere Aufmerksamkeit:
Der erste und praxiswichtigste Punkt ist die Aufwertung der behördlichen Nichtbeanstandung:
Wenn ein Verantwortlicher nach einem Datenschutzvorfall seiner Meldepflicht nach Art. 33 DSGVO fristgerecht und vollständig nachkommt und die Aufsichtsbehörde das Prüfverfahren ohne Abhilfemaßnahmen abschließt, kann diese behördliche Entscheidung nach dem Ansatz des LAG Hessen als Konformitätsindiz für Art. 32 DSGVO herangezogen werden.
Das ist kein Blanko-Scheck. Die Behörde muss das Prüfverfahren auch tatsächlich inhaltlich abgeschlossen und ihre Bewertung schriftlich niedergelegt haben. Hier hatte sie es allerdings auch getan.
Für Unternehmen und öffentliche Stellen folgt daraus:
Eine strukturierte, vollständige und dokumentierte Meldung nach Art. 33 DSGVO ist nicht nur aufsichtsrechtliche Pflicht, sondern kann sich im zivilrechtlichen Folgeprozess auszahlen. Das Abschlussschreiben der Behörde sollte sorgfältig archiviert werden.
Ob andere Gerichte dieser Analogie folgen werden, bleibt abzuwarten. Die Argumentation überzeugt jedenfalls in ihrer systematischen Herleitung.
Der zweite Punkt betrifft die prozessuale Darlegungslast:
Das Gericht macht deutlich, dass Kläger die konkret von einem Datenschutzvorfall betroffenen Daten benennen müssen – auf der Grundlage der ihnen mitgeteilten Informationen.
Eine pauschale Auflistung aller Datenkategorien, die ein Unternehmen grundsätzlich verarbeitet, genügt nicht. Verantwortliche, die nach Art. 34 DSGVO Benachrichtigungsschreiben versenden, sollten dabei die konkret betroffenen Daten klar von den allgemein verarbeiteten Datenkategorien abgrenzen – und zwar schriftlich und dokumentiert. Dies verringert die Erfolgsaussichten pauschaler Klagen erheblich.
Der dritte Punkt betrifft das Schadenserfordernis:
Auch nach dieser Entscheidung ist der reale Kontrollverlust als solcher kein ausreichender Anknüpfungspunkt für Schadensersatz. Entscheidend ist die objektiv nachvollziehbare Missbrauchsbefürchtung. Je älter und unstrukturierter die betroffenen Daten, je weniger sensibel die konkreten kopierten Kategorien und je geringer die realistische Zugänglichkeit für Dritte, desto schwerer ist diese Voraussetzung zu erfüllen.
Für das Vorfallmanagement bedeutet das: Forensische Dokumentation darüber, welche Daten konkret abgeflossen sind, in welchem Zustand sie sich befanden und ob sie für Dritte tatsächlich zugänglich wurden, ist keine technische Formalität, sondern unmittelbar haftungsrelevant.
Die Revision wurde nicht zugelassen. Eine höchstrichterliche Überprüfung der vom LAG entwickelten Argumentationslinie zur Unbedenklichkeitsbewertung durch die Datenschutz-Aufsichtsbehörde wird daher bis auf Weiteres noch auf sich warten lassen…