MOVEit-Urteil: Keine Haftung für Unternehmen bei Zero-Day-Exploits

Das Amtsgericht Duisburg weist die Klage einer Riester-Sparerin nach dem massiven Datendiebstahl ab – der Einsatz zertifizierter Software entlastet Anbieter.

Werden sensible Kundendaten durch einen Hackerangriff gestohlen, führt dies nicht automatisch zu einem Entschädigungsanspruch gegen das betroffene Unternehmen. Das hat das Amtsgericht Duisburg in einem am 13.01.2026 verkündeten Urteil (Az.: 513 C 1345/25) klargestellt. Im Zentrum des Rechtsstreits stand der weltweit beachtete Sicherheitsvorfall rund um die Datentransfer-Software MOVEit, der im Frühjahr 2023 tausende Institutionen erschütterte. Eine Klägerin, die bei einer Lebensversicherung einen Riester-Rentenvertrag unterhielt, scheiterte mit ihrer Forderung nach immateriellem Schadensersatz in Höhe von mindestens 1000 Euro sowie der Feststellung einer Haftung für künftige Schäden.

Das Gericht betont in seiner Entscheidung, dass die Datenschutz-Grundverordnung (DSGVO) kein Null-Risiko-Szenario vorschreibt. Vielmehr verlangen die Artikel 24 und 32 DSGVO von den Verantwortlichen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der bloße Umstand, dass es zu einem Datenabfluss gekommen ist, reicht nach Ansicht der Duisburger Richterin nicht aus, um eine schuldhafte Pflichtverletzung der beteiligten Unternehmen zu begründen. Wenn ein Angriff durch Dritte – in diesem Fall unbekannte Cyberkriminelle – erfolgt, kann dies dem Verantwortlichen nur dann zugerechnet werden, wenn er seine Sorgfaltspflichten vernachlässigt hat.

Im konkreten Fall nutzte ein Dienstleister der Versicherung die Software MOVEit für den verschlüsselten Datenaustausch. Diese Anwendung galt zum Zeitpunkt des Vorfalls als marktführend und war mehrfach für ihre Datensicherheit zertifiziert. Dass Hacker Ende Mai 2023 eine zuvor unbekannte Schwachstelle, einen sogenannten Zero-Day-Exploit, ausnutzten, könne den Beklagten nicht zur Last gelegt werden, heißt es in dem Urteil. Da die Sicherheitslücke dem Hersteller selbst erst durch den Angriff bekannt wurde und dieser unmittelbar nach Entdeckung Updates bereitstellte, fehlte es an Anhaltspunkten für eine mangelnde Sicherheit, die die Versicherung hätte erkennen müssen.

Die Klägerin hatte argumentiert, die Anfälligkeit der Software sei in Fachkreisen bereits seit Jahren bekannt gewesen. Diesen Vortrag wies das Gericht als zu pauschal und vage zurück. Es sei nicht ersichtlich, warum gerade die Beklagten vor dem Angriff konkrete Hinweise auf die spezifische Schwachstelle hätten haben sollen, zumal weltweit rund 2500 Unternehmen und Behörden gleichermaßen betroffen waren. Auch der Vorwurf, die Versicherung hätte mit den Angreifern verhandeln müssen, um die Daten „zurückzuholen“, fand beim Gericht kein Gehör.

Ein weiterer wichtiger Aspekt des Urteils betrifft die Reichweite von Auskunftsansprüchen. Das Gericht stellte klar, dass ein Betroffener nach Art. 15 DSGVO nicht verlangen kann, dass ein Unternehmen sämtliche interne Notizen, E-Mails oder Chat-Verläufe aller Mitarbeiter durchforstet, nur weil diese möglicherweise Rückschlüsse auf die Person zulassen könnten. Zudem konnte die Klägerin keinen konkreten Schaden nachweisen. Die von ihr angeführten Spam-Mails und unerwünschten Anrufe standen in keinem Zusammenhang mit dem Datenleck, da ihre E-Mail-Adresse und Telefonnummer nachweislich gar nicht von dem Abfluss betroffen waren. Das Urteil ist noch nicht rechtskräftig, eine Berufung zum Landgericht Duisburg ist unter bestimmten Voraussetzungen möglich.