Datenlecks führen in der Praxis schnell zu Schadensersatzforderungen nach Art. 82 DSGVO. Für Unternehmen stellt sich dann regelmäßig die Frage, ob bereits der unbefugte Zugriff auf personenbezogene Daten genügt, um eine Haftung auszulösen. Das OLG Brandenburg hat mit Urteil vom 02.03.2026 entschieden, dass dies nicht automatisch der Fall ist. Auch wenn ein Datenschutzverstoß vorliegt, bleibt zu prüfen, ob sich der Verantwortliche nach Art. 82 Abs. 3 DSGVO entlasten kann.
Sicherheitsvorfälle bei Hardware-Wallet-Anbieter
Die in Frankreich ansässige Beklagte betreibt einen Onlineshop für „Hardware-Wallets“. Dabei wurden Kundendaten wie Name, E-Mail-Adresse, Telefonnummer und Postanschrift verarbeitet. Die technische Infrastruktur des Shops sowie weitere Marketing- und Schnittstellenlösungen wurden durch externe Dienstleister bereitgestellt.
Im Jahr 2020 kam es zu zwei Sicherheitsvorfällen. Zum einen griff ein Mitarbeiter eines Dienstleisters unbefugt auf Kundendaten zu und exportierte diese. Zum anderen nutzten unbekannte Dritte eine fehlerhafte API-Konfiguration, um auf Kundendaten zuzugreifen. Betroffen waren auch Daten des Klägers. Dieser verlangte immateriellen Schadensersatz in Höhe von 1.500 Euro sowie die Feststellung einer Ersatzpflicht für künftige materielle Schäden.
Zwischen den Parteien war im Verfahren insbesondere streitig, ob die Beklagte ausreichende technische und organisatorische Maßnahmen getroffen hatte und ob sie sich deshalb von einer Haftung befreien konnte.
Die Vorinstanz wies die Klage des Kläger jedoch bereits mit der Begründung ab, der Kläger habe sich nicht hinreichend dazu äußerte, ob bzw. inwieweit die über seinen Namen hinausgehenden Angaben in dem von den Vorfällen betroffenen Datensatz seine persönlichen Daten als Privatperson betroffen haben.
Die Entscheidung des OLG Brandenburg
Das OLG Brandenburg wies die Berufung des Klägers ebenfalls zurück. Zwar ging das Gericht – anders als noch das Landgericht – davon aus, dass ein Datenschutzverstoß vorlag. Der unbefugte Zugriff auf personenbezogene Daten beziehungsweise deren unbefugte Offenlegung genügte insoweit für die Annahme einer Verletzung der DSGVO. Der Schadensersatzanspruch scheiterte jedoch daran, dass sich die Beklagte nach Art. 82 Abs. 3 DSGVO entlasten konnte.
Nach Auffassung des Gerichts haftet ein Unternehmen nicht schon deshalb, weil es zu einem Datenleck gekommen ist. Entscheidend ist vielmehr, ob der Verantwortliche nachweisen kann, dass er für den haftungsbegründenden Umstand nicht verantwortlich ist.
Das Gericht stellte dabei auf die konkreten Umstände des Einzelfalls ab. Maßgeblich waren insbesondere Art, Umfang und Sensibilität der betroffenen Daten, die Auswahl und Kontrolle eingesetzter Dienstleister sowie die Angemessenheit der Schutzmaßnahmen nach Art. 24 und Art. 32 DSGVO.
Datenleck bedeutet nicht gleich unzureichende TOM
Besonders praxisrelevant ist die Klarstellung, dass ein Sicherheitsvorfall nicht automatisch beweist, dass die technischen und organisatorischen Maßnahmen (TOMs) ungeeignet waren. Art. 24 und Art. 32 DSGVO verlangen risikoadäquate Maßnahmen, aber keinen absoluten Schutz gegen jede denkbare Form unbefugten Zugriffs.
Das OLG prüfte daher nicht abstrakt, ob ein Datenabfluss stattgefunden hatte, sondern ob die Beklagte im Vorfeld angemessen gehandelt hatte. Bei dem unbefugten Zugriff durch einen Support-Mitarbeiter war aus Sicht des Gerichts relevant, dass der Dienstleister sorgfältig ausgewählt worden war und der Zugriff der Support-Mitarbeiter für deren Tätigkeit grundsätzlich erforderlich war. Ein generelles Vier-Augen-Prinzip für jeden Zugriff im Kundensupport hielt das Gericht unter den konkreten Umständen nicht für erforderlich.
Auch hinsichtlich der fehlerhaften API-Konfiguration nahm das Gericht keine automatische Zurechnung an. Die beauftragte Agentur wurde nicht als Auftragsverarbeiterin eingeordnet, weil nach dem maßgeblichen Vortrag bei der Implementierung keine echten Kundendaten verarbeitet wurden. Zudem sah das Gericht keine Anhaltspunkte dafür, dass die Beklagte die Agentur unsorgfältig ausgewählt hatte.
Was bedeutet das für die Praxis?
Die Entscheidung fügt sich in die Linie der Rechtsprechung ein, wonach Art. 82 DSGVO zwar keinen klassischen Verschuldensnachweis durch die betroffene Person verlangt, der Verantwortliche sich aber exkulpieren kann. Für Betroffene bedeutet dies: Ein Datenschutzverstoß ist eine notwendige, aber nicht stets ausreichende Voraussetzung für Schadensersatz. Hinzukommen müssen ein Schaden und ein Kausalzusammenhang. Außerdem kann der Verantwortliche nach Art. 82 Abs. 3 DSGVO nachweisen, dass er für den schadensauslösenden Umstand nicht verantwortlich ist.
Für Unternehmen ist die Entscheidung dennoch kein Freibrief. Die Entlastung setzt substantiierten Vortrag und Nachweis voraus. Wer sich auf angemessene technische und organisatorische Maßnahmen berufen will, muss diese nachvollziehbar dokumentieren können. Dazu gehören insbesondere eine risikobasierte Bewertung der Verarbeitung, belastbare Auswahl- und Kontrollprozesse bei Dienstleistern, klare vertragliche Regelungen sowie ein Sicherheitskonzept, das dem Stand der Technik und der Sensibilität der verarbeiteten Daten entspricht.
Zugleich zeigt das Urteil, dass Gerichte die Verhältnismäßigkeit der Maßnahmen berücksichtigen. Nicht jede zusätzliche Kontrollmaßnahme ist zwingend geboten. Entscheidend ist, ob die getroffenen Maßnahmen bezogen auf die konkrete Verarbeitung und das konkrete Risiko angemessen waren.
Fazit
Das OLG Brandenburg stellt klar: Ein Datenleck führt nicht automatisch zu einer Schadensersatzhaftung nach Art. 82 DSGVO. Verantwortliche können sich entlasten, wenn sie nachweisen, dass sie angemessene technische und organisatorische Maßnahmen getroffen und ihre Dienstleister sorgfältig ausgewählt haben.
Für die Praxis bleibt die wichtigste Lehre: Datenschutz-Compliance muss nicht nur umgesetzt, sondern auch dokumentiert werden. Im Streitfall entscheidet nicht allein der Sicherheitsvorfall, sondern die Frage, ob das Unternehmen seine Schutzpflichten risikoadäquat erfüllt und dies überzeugend darlegen kann.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
