Die technologische Entwicklung und die stetig wachsende Bedeutung von Daten als Ressource stellen besondere Herausforderungen im Hinblick auf die Verhinderung von Datenlecks dar. Datenlecks können nicht nur administrative Konsequenzen gemäß der Datenschutz-Grundverordnung (DSGVO) nach sich ziehen, sondern auch zivilrechtliche Haftung für Auftragnehmer, deren Interessen verletzt wurden.
Ziel dieser Studie ist es, die Grundlagen der zivilrechtlichen Haftung in einer Situation zu analysieren, in der ein Unternehmer es versäumt hat, eine angemessene Informationssicherheitspolitik umzusetzen, und sein Auftragnehmer dadurch einen Schaden erlitten hat.
Verantwortungsbereich in Bezug auf die Sicherheit personenbezogener Daten
Gemäß Artikel 24 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgt. Diese Maßnahmen müssen der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung sowie dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sein.
Hierbei spielt die interne Informationssicherheitsrichtlinie eine Schlüsselrolle, einschließlich Zugriffsrechteverwaltung, Verfahren zur Reaktion auf Sicherheitsvorfälle, Passwortrichtlinie, Richtlinien zur Datenspeicherung und -verschlüsselung sowie Mitarbeiterschulung.
Zivilrechtliche Haftung – Rechtsgrundlage und Bedingungen
Kommt es aufgrund unzureichender Sicherheitsmaßnahmen zu einem Datenleck, kann die zivilrechtliche Haftung auf Folgendem beruhen:
- vertragliche Regelung gemäß Artikel 471 des Bürgerlichen Gesetzbuches (CC), wenn der Schaden auf die unsachgemäße Erfüllung einer vertraglichen Verpflichtung (z. B. Kooperationsvertrag, Datenverarbeitungsvertrag) zurückzuführen ist.
- Deliktsrecht gemäß Artikel 415 des Bürgerlichen Gesetzbuches im Falle eines Verstoßes gegen allgemeine Sorgfaltsgrundsätze oder gesetzliche Bestimmungen, wenn zwischen den Parteien kein Pflichtverhältnis besteht,
- Artikel 82 der DSGVO sieht die Möglichkeit für eine natürliche Person vor, deren Daten verletzt wurden, vom Verantwortlichen oder Auftragsverarbeiter eine Entschädigung zu verlangen.
Im Kontext von Geschäftsbeziehungen ist Artikel 471 des Bürgerlichen Gesetzbuches von zentraler Bedeutung. Dieser besagt, dass ein Schuldner zum Ersatz des Schadens verpflichtet ist, der durch die Nichterfüllung oder mangelhafte Erfüllung einer Verpflichtung entstanden ist, es sei denn, er kann nachweisen, dass die Nichterfüllung oder mangelhafte Erfüllung auf Umstände zurückzuführen ist, die er nicht zu vertreten hat. Demnach müssen das Bestehen der Verpflichtung, ihre mangelhafte Erfüllung, der dem Auftragnehmer entstandene Schaden sowie ein ursächlicher Zusammenhang zwischen der Vertragsverletzung und dem Schaden nachgewiesen werden.
Die Bedeutung des Fehlens einer Informationssicherheitsrichtlinie als Verletzung der Sorgfaltspflicht
Der Gerichtshof der Europäischen Union hat die Sorgfaltspflicht beim Schutz personenbezogener Daten wiederholt anerkannt. Am 14. Dezember 2023 erließ der EuGH im Urteil C-340/21, wonach jede Person, der durch einen Verstoß gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz vom Verantwortlichen oder Auftragsverarbeiter hat. Der EuGH stellte fest, dass bereits die bloße Befürchtung einer künftigen Nutzung personenbezogener Daten durch Dritte das Kriterium des „immateriellen Schadens“ erfüllt.
In ähnlicher Weise kann im Verhältnis zwischen Auftragnehmern das Versäumnis, angemessene technische und organisatorische Maßnahmen (einschließlich einer formellen Sicherheitsrichtlinie) umzusetzen, ein Beweis für grobe Fahrlässigkeit sein und somit eine Grundlage für die Haftung für Schäden bilden, die der anderen Partei entstehen.
Praktische Konsequenzen und Ansprüche
Im Falle eines Datenlecks kann der geschädigte Auftragnehmer unter anderem Folgendes geltend machen:
- Erstattung der im Zusammenhang mit dem Verstoß entstandenen Kosten (z. B. Audits, Benachrichtigungen an Betroffene, PR-Dienstleistungen),
- Entschädigung für Bildschäden,
- Schadensersatz wegen Verletzung von Persönlichkeitsrechten (wenn die Daten seine Angestellten oder Kunden betrafen),
- Rechtsbehelfe gegen Verwaltungsstrafen (z. B. gemäß entsprechenden Vertragsbestimmungen).
Das letztendliche Ausmaß der Haftung hängt von den Umständen des jeweiligen Falles ab und davon, ob ein ursächlicher Zusammenhang zwischen den Mängeln der Sicherheitspolitik und dem daraus resultierenden Schaden nachgewiesen werden kann.
Schlussfolgerungen
Nach geltendem Recht kann die Nichteinhaltung einer Informationssicherheitsrichtlinie zivilrechtliche Haftungsansprüche – sowohl für Privatpersonen als auch für Unternehmen – begründen. Ebenso wichtig ist, dass ein Datenleck den über Jahre aufgebauten Ruf eines Unternehmens schwerwiegend schädigen kann. Dies kann zu Schwierigkeiten bei der Neukundengewinnung und zum Verlust bestehender Kunden führen, was sich letztendlich negativ auf die finanzielle Leistungsfähigkeit des Unternehmens auswirkt.
Es sollte anerkannt werden, dass eine aktuelle und effektiv umgesetzte Informationssicherheitsrichtlinie für jeden professionellen Teilnehmer an Geschäftstransaktionen Standard sein sollte.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Der aktuelle Stand der Rechtslage ist der 19. August 2025.
Autor:
Herausgeber der Reihe:
