Ansprüche nach der DSGVO gegen Lebensversicherer
AG Duisburg v. 13.1.2026 - 513 C 1345/25
Der Sachverhalt:
Die Beklagte zu 1) ist Lebensversicherer; zwischen ihr und der Klägerin bestand ein Riester-Rentenversicherungsvertrag. Zur Vertragsdurchführung verarbeitete die Beklagte zu 1) personenbezogene Daten der Klägerin (Art. 6 Abs. 1 lit. b DSGVO), u.a. Stammdaten sowie Steuer- und Sozialversicherungsdaten zur Beantragung von Zulagen (§ 83 EStG) und zur steuerlichen Meldung (§ 10a EStG).
Für die Riester-Zulagenverwaltung bediente sich die Beklagte zu 1) der Beklagten zu 2), die hierfür die Datentransfer-Software MOVEit nutzte. Ende Mai 2023 kam es infolge Ausnutzung einer kritischen Schwachstelle dieser Software auf einem Server der Beklagten zu 2) zu einem unbefugten Datenabfluss durch Dritte. Das BSI bestätigte eine aktive Ausnutzung mit Datenabfluss.
Mit Schreiben vom 3.7.2023 informierte die Beklagte zu 1) die Klägerin über die Betroffenheit u.a. von Name, Adresse, Geburtsdaten, Steuer-ID und ggf. weiteren sensiblen Daten. Auf ein Auskunftsersuchen gem. Art. 15 DSGVO vom 09.08.2023 erteilte die Beklagte zu 1) erst am 20.10.2023 Auskunft.
Die Klägerin machte gegen die Beklagten Ansprüche aus der DSGVO geltend. Sie behauptete unzureichende Information über die Einschaltung der Beklagten zu 2) sowie eine seit längerem bekannte Sicherheitsanfälligkeit der Software. Der Einsatz sei daher grob fahrlässig gewesen; zudem seien Schutzmaßnahmen unzureichend gewesen.
Das AG hat die Klage abgewiesen.
Die Gründe:
Die Klägerin steht aus keinem rechtlichen Gesichtspunkt ein Anspruch auf Zahlung eines - materiellen oder immateriellen - Schadenersatzes gegen die Beklagten zu, weder aus Art. 82 Abs. 1, Abs. 2 DSGVO noch aus Art. 6 Abs. 1 DSGVO.
Ein Schadensersatz nach Art. 82 DSGVO schied aus, da ein schuldhafter Verstoß der Beklagten nicht festgestellt werden konnte. Nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen. Dies erfordert jedoch nicht die vollständige Verhinderung aller Datenverletzungen; ein Risikomanagementsystem genügt. Cyberangriffe Dritter sind nur dann dem Verantwortlichen zuzurechnen, wenn dieser die Verletzung durch Missachtung seiner Pflichten ermöglicht hat.
Hier lag ein "zero-day"-Angriff auf die MOVEit-Software vor, die weder von der Beklagten zu 1) noch zu 2) entwickelt worden war. MOVEit war marktführend, mehrfach zertifiziert und als sicher etabliert. Die Beklagte zu 1) hatte vor dem Vorfall keine konkreten Anhaltspunkte für eine Sicherheitslücke. Nach Kenntnis des Angriffs wurde dieser unverzüglich behoben. Pauschale Hinweise der Klägerin auf angeblich bekannte Schwachstellen genügten nicht, um eine Pflichtverletzung anzunehmen. Ebenso konnte kein Vorwurf daraus gemacht werden, dass die Beklagte nicht mit den Angreifern verhandelt hatte.
Ein Verstoß gegen Art. 6 Abs. 1 DSGVO schied aus, da die Datenverarbeitung zur Vertragserfüllung rechtmäßig erfolgt war. Verstöße gegen Informations- oder Auskunftspflichten waren nicht kausal für behauptete Schäden. Substantiiert nachgewiesene Schäden lagen nicht vor; E-Mail-Adressen und Telefonnummern der Klägerin waren nicht betroffen, sodass Spam-Mails und Anrufe nicht dem Datenleck zugeordnet werden konnten. Die Beklagten hatten ihre DSGVO-Pflichten nicht schuldhaft verletzt; ein Anspruch der Klägerin auf Schadensersatz bestand insofern nicht.
Mehr zum Thema:
Beratermodul Datenschutzrecht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt. Das Komplettangebot zum Datenschutzrecht.
Start-Abo 3 Monate (1 Monat gratis)
Beratermodul IT-Recht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt. Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Beratermodul Computer und Recht - CR
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt. Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Justiz NRW
Die Beklagte zu 1) ist Lebensversicherer; zwischen ihr und der Klägerin bestand ein Riester-Rentenversicherungsvertrag. Zur Vertragsdurchführung verarbeitete die Beklagte zu 1) personenbezogene Daten der Klägerin (Art. 6 Abs. 1 lit. b DSGVO), u.a. Stammdaten sowie Steuer- und Sozialversicherungsdaten zur Beantragung von Zulagen (§ 83 EStG) und zur steuerlichen Meldung (§ 10a EStG).
Für die Riester-Zulagenverwaltung bediente sich die Beklagte zu 1) der Beklagten zu 2), die hierfür die Datentransfer-Software MOVEit nutzte. Ende Mai 2023 kam es infolge Ausnutzung einer kritischen Schwachstelle dieser Software auf einem Server der Beklagten zu 2) zu einem unbefugten Datenabfluss durch Dritte. Das BSI bestätigte eine aktive Ausnutzung mit Datenabfluss.
Mit Schreiben vom 3.7.2023 informierte die Beklagte zu 1) die Klägerin über die Betroffenheit u.a. von Name, Adresse, Geburtsdaten, Steuer-ID und ggf. weiteren sensiblen Daten. Auf ein Auskunftsersuchen gem. Art. 15 DSGVO vom 09.08.2023 erteilte die Beklagte zu 1) erst am 20.10.2023 Auskunft.
Die Klägerin machte gegen die Beklagten Ansprüche aus der DSGVO geltend. Sie behauptete unzureichende Information über die Einschaltung der Beklagten zu 2) sowie eine seit längerem bekannte Sicherheitsanfälligkeit der Software. Der Einsatz sei daher grob fahrlässig gewesen; zudem seien Schutzmaßnahmen unzureichend gewesen.
Das AG hat die Klage abgewiesen.
Die Gründe:
Die Klägerin steht aus keinem rechtlichen Gesichtspunkt ein Anspruch auf Zahlung eines - materiellen oder immateriellen - Schadenersatzes gegen die Beklagten zu, weder aus Art. 82 Abs. 1, Abs. 2 DSGVO noch aus Art. 6 Abs. 1 DSGVO.
Ein Schadensersatz nach Art. 82 DSGVO schied aus, da ein schuldhafter Verstoß der Beklagten nicht festgestellt werden konnte. Nach Art. 5 Abs. 1 f), Art. 24 und Art. 32 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen. Dies erfordert jedoch nicht die vollständige Verhinderung aller Datenverletzungen; ein Risikomanagementsystem genügt. Cyberangriffe Dritter sind nur dann dem Verantwortlichen zuzurechnen, wenn dieser die Verletzung durch Missachtung seiner Pflichten ermöglicht hat.
Hier lag ein "zero-day"-Angriff auf die MOVEit-Software vor, die weder von der Beklagten zu 1) noch zu 2) entwickelt worden war. MOVEit war marktführend, mehrfach zertifiziert und als sicher etabliert. Die Beklagte zu 1) hatte vor dem Vorfall keine konkreten Anhaltspunkte für eine Sicherheitslücke. Nach Kenntnis des Angriffs wurde dieser unverzüglich behoben. Pauschale Hinweise der Klägerin auf angeblich bekannte Schwachstellen genügten nicht, um eine Pflichtverletzung anzunehmen. Ebenso konnte kein Vorwurf daraus gemacht werden, dass die Beklagte nicht mit den Angreifern verhandelt hatte.
Ein Verstoß gegen Art. 6 Abs. 1 DSGVO schied aus, da die Datenverarbeitung zur Vertragserfüllung rechtmäßig erfolgt war. Verstöße gegen Informations- oder Auskunftspflichten waren nicht kausal für behauptete Schäden. Substantiiert nachgewiesene Schäden lagen nicht vor; E-Mail-Adressen und Telefonnummern der Klägerin waren nicht betroffen, sodass Spam-Mails und Anrufe nicht dem Datenleck zugeordnet werden konnten. Die Beklagten hatten ihre DSGVO-Pflichten nicht schuldhaft verletzt; ein Anspruch der Klägerin auf Schadensersatz bestand insofern nicht.
Beratermodul Datenschutzrecht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt. Das Komplettangebot zum Datenschutzrecht.
Start-Abo 3 Monate (1 Monat gratis)
Beratermodul IT-Recht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt. Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Beratermodul Computer und Recht - CR
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt. Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.