29. Juni 2026

DSGVO-Schadensersatz nach Hackerangriff: LArbG Frankfurt

Arbeitsrecht / Datenschutzrecht  ·  LArbG Frankfurt, Urteil vom 10.02.2026 – 12 SLa 709/25

Schadensersatz nach DSGVO nach Hackerangriff

I. Anlass des Artikels: Hackerangriff und Klage auf DSGVO-Schadensersatz

Ausgangspunkt ist das Urteil des LArbG Frankfurt vom 10.02.2026 – 12 SLa 709/25, in dem ein ehemaliger Arbeitnehmer nach einem Hackerangriff auf den Konzern seines früheren Arbeitgebers Schadensersatz nach Art. 82 DSGVO geltend gemacht hat. Die Angreifer kopierten große Datenmengen (40 Terabyte), darunter personenbezogene Beschäftigtendaten; im Darknet wurden Dateinamenlisten veröffentlicht, nicht aber die Inhalte selbst.1 Der Kläger sah hierin einen Kontrollverlust über seine Daten und begehrte immateriellen Schadensersatz sowie Feststellung der Ersatzpflicht für zukünftige materielle Schäden. Das LArbG Frankfurt verneinte sämtliche Ansprüche.2

II. Rechtlicher Rahmen: Art. 82 DSGVO – Dreistufige Anspruchsvoraussetzungen

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen.3 Nach der aktuellen Rechtsprechung von EuGH, BAG und Instanzgerichten setzt der Anspruch kumulativ voraus:

  • einen Verstoß gegen die DSGVO (z.B. gegen Art. 32, 34 DSGVO),
  • einen konkreten materiellen oder immateriellen Schaden,
  • einen Kausalzusammenhang zwischen Verstoß und Schaden.4 5 6

Der EuGH hat in mehreren Entscheidungen (u.a. C‑300/21 – Österreichische Post, C‑667/21 – Krankenversicherung Nordrhein, C‑200/23 – Agentsia po vpisvaniyata) klargestellt, dass der bloße Verstoß gegen die DSGVO nicht genügt; erforderlich ist ein tatsächlicher, nachweisbarer Schaden, wenn auch ohne Erheblichkeitsschwelle.7 8 Das BAG schließt sich dem an und betont die Dreistufigkeit (Verstoß, Schaden, Kausalität).9 10 11

III. Kontrollverlust als immaterieller Schaden – aber nicht automatisch

Der Kontrollverlust über personenbezogene Daten spielt im aktuellen Diskurs eine zentrale Rolle. Der EuGH und ihm folgend BGH und Arbeitsgerichte erkennen an, dass bereits der – selbst kurzzeitige – Verlust der Kontrolle über Daten einen immateriellen Schaden darstellen kann, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden erlitten hat.12 13 Der BGH hat diese Linie übernommen und den Kontrollverlust ausdrücklich als immateriellen Schaden eingeordnet.14

Damit ist klargestellt:

  • Es gibt keine „Erheblichkeitsschwelle“; auch geringfügige Beeinträchtigungen können ersatzfähig sein.15
  • Gleichwohl genügt nicht der abstrakte Hinweis auf ein „Unmutsgefühl“ oder eine hypothetische Sorge; die betroffene Person muss konkrete negative Folgen schildern (z.B. belastende Angst vor Missbrauch in einer bestimmten Konstellation, spürbare psychische Belastung).16 17 18

Die frühere arbeitsgerichtliche Tendenz, schon die bloße DSGVO-Verletzung als immateriellen Schaden zu behandeln (so etwa LAG Hamm 17 Sa 1185/20, LAG Niedersachsen 16 Sa 761/20)19 20 ist durch die EuGH‑Rechtsprechung überholt; maßgeblich ist jetzt der Nachweis eines tatsächlichen immateriellen Schadens.

IV. Entscheidung des LArbG Frankfurt: Kein Verstoß, kein Schaden, keine Kausalität

Das LArbG Frankfurt verneint im konkreten Fall alle drei Anspruchsvoraussetzungen des Art. 82 DSGVO.21

  • Kein nachgewiesener DSGVO‑Verstoß
    Der Kläger konnte nicht substantiiert darlegen, welche konkreten seiner Daten von dem Hackerangriff betroffen waren, obwohl ihm vom Arbeitgeber eine Liste der gespeicherten und der betroffenen Daten übermittelt worden war.22 23 Die Aufsichtsbehörde hatte zudem nach Prüfung keine Mängel der technischen und organisatorischen Maßnahmen festgestellt und keine Abhilfemaßnahmen angeordnet.24 Vor diesem Hintergrund sah das Gericht keinen schuldhaften Verstoß der Beklagten gegen Art. 32 DSGVO oder andere Normen.25
  • Kein hinreichend konkretisierter Schaden
    Das Gericht stellt klar, dass eine bloß hypothetische Gefahr des Datenmissbrauchs den Schadenersatz nicht trägt.26 27 Die bloße Veröffentlichung einer Liste mit Dateinamen, ohne Zugriff auf die Dokumente selbst, begründe – bei veralteten und begrenzt verwertbaren Daten – keinen objektiv begründeten Kontrollverlust von Gewicht.28 Die Sorge des Klägers vor möglicher künftiger missbräuchlicher Verwendung wird nicht als objektiv begründete immaterielle Beeinträchtigung anerkannt.29 30 Ein materieller Schaden war weder eingetreten noch konkret absehbar.
  • Keine Kausalität und Unzulässigkeit des Feststellungsantrags
    Mangels Schaden fehlt auch der Kausalzusammenhang zwischen Hackerangriff und behaupteter Beeinträchtigung.31 Der Feststellungsantrag zu zukünftigen Schäden ist bereits unzulässig, weil der Kläger keine „denkbare Möglichkeit und gewisse Wahrscheinlichkeit“ eines konkreten Schadenseintritts darlegen konnte.

Die Entscheidung steht damit im Einklang mit der EuGH‑Linie, wonach Verstoß, Schaden und Kausalität kumulativ und substantiiert darzulegen und zu beweisen sind.32 33

V. Einordnung in die aktuelle Rechtsprechung

Die Entscheidung des LArbG Frankfurt reiht sich in eine mittlerweile gefestigte Tendenz ein:

  • Der Schadensbegriff in Art. 82 DSGVO ist weit, aber verlangt einen konkreten Nachweis; der bloße DSGVO‑Verstoß, die abstrakte Angst oder ein „Kontrollverlust“ ohne belegte negative Folgen genügen nicht.34 35
  • Die Darlegungs- und Beweislast für Verstoß, Schadenseintritt und Kausalität liegt beim Anspruchsteller; der Verantwortliche muss lediglich fehlendes Verschulden exkulpieren (Haftung für vermutetes Verschulden, Art. 82 Abs. 3 DSGVO).36 37 38
  • Arbeits- und Zivilgerichte wenden diese Grundsätze zunehmend strikt an und verlangen substantiierte Schilderung konkreter Beeinträchtigungen (z.B. BAG 20.06.2024 – 8 AZR 124/23; LAG Rheinland‑Pfalz 22.08.2024 – 5 SLa 66/24; OLG Frankfurt u.a. zu Scraping‑Fällen).39 40 41

VI. Praxishinweise für Arbeitgeber und Beschäftigte

Für Arbeitgeber:

  • Technische und organisatorische Maßnahmen (Art. 32 DSGVO) müssen nachweisbar angemessen sein; ein positives Ergebnis der Aufsichtsbehörde wirkt in der prozessualen Verteidigung deutlich entlastend.42
  • Nach einem Datenleck sind sachkundige und sorgfältig dokumentierte Informationsprozesse gegenüber Aufsichtsbehörde und Betroffenen zentral. Eine gute Dokumentation erleichtert die Abwehr von Schadensersatzforderungen.43 44
  • Die Entscheidung zeigt, dass Gerichte pauschale, nicht konkretisierte immaterielle Schadensbehauptungen kritisch würdigen; gleichwohl können schlecht dokumentierte oder offensichtlich unzureichende Sicherheitsmaßnahmen rasch zu haftungsträchtigen Verstößen führen.

Für Beschäftigte:

  • Wer Schadensersatz nach Art. 82 DSGVO geltend machen möchte, muss – über den Verstoß hinaus – konkret beschreiben und ggf. beweisen, welche immateriellen Nachteile (z.B. intensive Belastung, berechtigter Missbrauchsverdacht) die Datenpanne ausgelöst hat.45 46
  • Die bloße Bezugnahme auf ein allgemeines Unsicherheitsgefühl oder abstrakte Missbrauchsrisiken reicht nach der aktuellen Rechtsprechung nicht.47 48

VII. Fazit für den Homepage‑Artikel

Für einen Kanzlei‑Artikel lässt sich zuspitzen:

  • Art. 82 DSGVO ist kein „automatischer Schmerzensgeldtatbestand“ für jede Datenpanne.
  • Die Gerichte verlangen konkreten, nachvollziehbaren Schadensvortrag und knüpfen den immateriellen Schaden eng an objektiv begründete Kontrollverluste.
  • Arbeitgeber können mit tragfähigen Sicherheitskonzepten und transparenter Kommunikation das Haftungsrisiko erheblich begrenzen; Beschäftigte müssen sich darauf einstellen, dass bloße Angst vor Missbrauch ohne konkrete Folgen künftig kaum noch ausreicht, um Schadensersatz zu erzielen.49

Sie sind als Arbeitgeber von einem Datenleck betroffen oder möchten als Beschäftigter Ansprüche nach Art. 82 DSGVO prüfen lassen? Wir bewerten Ihre Datenschutz- und Haftungslage und beraten Sie individuell.

Fundstellen

  1. jurisPR-ArbR_25_2026.pdf, S. 11
  2. jurisPR-ArbR_25_2026.pdf, S. 12
  3. jurisPR-ArbR_25_2026.pdf, S. 12
  4. jurisPR-ArbR_25_2026.pdf, S. 12
  5. OLG Dresden, 31.03.2026 – 4 U 834/25 – Erstrecken des gegen einen Betreiber eines sozialen Netzwerks gerichteten Auskunftsanspruchs auch auf IP-Adressen (hier: „Facebook“); Zahlung einer Geldentschädigung wegen der rechtswidrigen Verarbeitung von Plattformdaten als Ausnahme; Verwendung und Bereitstellung der „Meta Business Tools“
  6. OLG Nürnberg, 19.09.2024 – 14 U 1227/24 – Nachweis eines Kausalzusammenhangs zwischen dem behaupteten Datenschutzverstoß und dem geltend gemachten Schaden durch eine betroffene Person; Individualanspruch auf Unterlassung der Übermittlung von Daten an Dritte
  7. LAG Hessen, 10.04.2025 – 3 SLa 623/24 – Zu den Voraussetzungen eines Schadensersatzanspruch wegen Verstoßes gegen Datenschutzbestimmungen; Bedeutung des Auskunftsanspruchs für die Transparenz der Datenverarbeitung; Nichterfüllung des Auskunftsanspruchs als immaterieller Schaden
  8. LG Ansbach, 20.06.2024 – 2 O 1111/23 – Streit um Ersatzansprüchen wegen der Einmeldung von Positivdaten an die SCHUFA im Zusammenhang mit einem Mobilfunkvertrag; Fehlen eines Schadens
  9. jurisPR-ArbR_25_2026.pdf, S. 12
  10. Kommentare – Ahrendt; Bader; Horcher; Krumbiegel; Mikosch; Schleusener; Schütz; Vossen, GK-ArbGG – Gemeinschaftskommentar zum Arbeitsgerichtsgesetz; § 58 ArbGG – Beweisaufnahme; Schütz; 158. Lfg.
  11. BAG, 20.02.2025 – 8 AZR 61/24 – Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO wegen eines Verstoßes gegen die Auskunftspflicht nach Art. 15 DSGVO; Verspätete Erteilung der nach Art. 15 DSGVO geschuldeten Auskunft; Stellung eines Inzidentantrags nach § 717 Abs. 2 ZPO erstmals in der Revisionsinstanz
  12. OLG München, 18.12.2025 – 14 U 2300/25 e – Anspruch der Klägerin auf Schadensersatz sowie auf Auskfunft über personenbezogene Daten wegen fortlaufenden Einsatz sog. Tools gegen Netzwerkbetreiberin; Unverhältnismäßigkeit der Datenverarbeitung durch Verstoß gegen Grundsatz der Datenminimierung; Eingriff in das Recht auf informationelle Selbstbestimmung
  13. LAG Düsseldorf, 17.06.2025 – 9 SLa 658/24 – Hinreichende Konkretisierung des Antrags auf Herausgabe von Datenkopien
  14. OLG Hamburg, 20.03.2025 – 5 U 93/24 – Schadensersatz wegen eines Scraping-Vorfalls auf der Plattform Facebook
  15. Fachbücher – Reichert; Schimke; Dauernheim; Schiffbauer, Vereins- und Verbandsrecht; C. Datenschutzrechtliche Anforderungen an Vereine im Überblick; Drewes; 15. Auflage 2024
  16. jurisPR-ArbR_25_2026.pdf, S. 12
  17. Zeitschriften – Peisker, VSSAR 2025, 237 – Die Last der Transparenz: Aktuelle Entwicklungen und rechtssichere Umsetzung von Art. 15 DSGVO
  18. OLG Saarbrücken, 03.05.2024 – 5 U 72/23 – Anspruch gegen die Betreiberin einer Internetplattform auf Schadenersatz, Auskunft und Unterlassung wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung
  19. LAG Hamm, 14.12.2021 – 17 Sa 1185/20 – Rechtmäßigkeit der Datenverarbeitung nach Art. 5 und 6 DSGVO als Schutzgesetze nach Art. 823 Abs. 2 BGB; Erforderlichkeit der Verarbeitung personenbezogener Daten nach Art. 6 DSGVO; Spannungsverhältnis zwischen der Erhebung und Verarbeitung von Daten mit Informationspflichten nach Art. 13 und 14 DSGVO; Anspruch auf Unterlassung der Übermittlung personenbezogener Daten an Alleingesellschafterin einer Klinik; Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO bei rechtswidriger Datenübermittlung; Gesamtschuldnerische Haftung bei Art. 82 Abs. 1 DSGVO
  20. LAGE, LAG Hamm, 14.12.2021, 17 Sa 1185/20
  21. jurisPR-ArbR_25_2026.pdf, S. 12
  22. jurisPR-ArbR_25_2026.pdf, S. 11
  23. jurisPR-ArbR_25_2026.pdf, S. 12
  24. jurisPR-ArbR_25_2026.pdf, S. 11
  25. jurisPR-ArbR_25_2026.pdf, S. 12
  26. jurisPR-ArbR_25_2026.pdf, S. 12
  27. jurisPR-ArbR_25_2026.pdf, S. 12
  28. jurisPR-ArbR_25_2026.pdf, S. 12
  29. jurisPR-ArbR_25_2026.pdf, S. 12
  30. jurisPR-ArbR_25_2026.pdf, S. 12
  31. jurisPR-ArbR_25_2026.pdf, S. 12
  32. OLG Dresden, 31.03.2026 – 4 U 834/25 – Erstrecken des gegen einen Betreiber eines sozialen Netzwerks gerichteten Auskunftsanspruchs auch auf IP-Adressen (hier: „Facebook“); Zahlung einer Geldentschädigung wegen der rechtswidrigen Verarbeitung von Plattformdaten als Ausnahme; Verwendung und Bereitstellung der „Meta Business Tools“
  33. OLG Nürnberg, 19.09.2024 – 14 U 1227/24 – Nachweis eines Kausalzusammenhangs zwischen dem behaupteten Datenschutzverstoß und dem geltend gemachten Schaden durch eine betroffene Person; Individualanspruch auf Unterlassung der Übermittlung von Daten an Dritte
  34. OLG Saarbrücken, 03.05.2024 – 5 U 72/23 – Anspruch gegen die Betreiberin einer Internetplattform auf Schadenersatz, Auskunft und Unterlassung wegen behaupteter Verstöße gegen die Datenschutzgrundverordnung
  35. Fachbücher – Reichert; Schimke; Dauernheim; Schiffbauer, Vereins- und Verbandsrecht; C. Datenschutzrechtliche Anforderungen an Vereine im Überblick; Drewes; 15. Auflage 2024
  36. jurisPR-ArbR_25_2026.pdf, S. 12
  37. OLG Frankfurt am Main, 09.05.2025 – 6 U 53/24 – rechtswidrige Verarbeitung personenbezogener Daten im Zusammenhang mit dem Scraping von Daten aus sozialen Netzwerken
  38. OLG Dresden, 31.03.2026 – 4 U 834/25 – Erstrecken des gegen einen Betreiber eines sozialen Netzwerks gerichteten Auskunftsanspruchs auch auf IP-Adressen (hier: „Facebook“); Zahlung einer Geldentschädigung wegen der rechtswidrigen Verarbeitung von Plattformdaten als Ausnahme; Verwendung und Bereitstellung der „Meta Business Tools“
  39. jurisPR-ArbR_25_2026.pdf, S. 12
  40. LAG Rheinland-Pfalz, 22.08.2024 – 5 SLa 66/24 – Schmerzensgeldzahlung wegen einer Verletzung datenschutzrechtlicher Bestimmungen durch Namensnennung in einem Werbeflyer
  41. OLG Frankfurt am Main, 02.05.2025 – 6 U 11/24 – Datenschutzverletzungen im Zusammenhang mit unerlaubtem Scraping und der Verarbeitung personenbezogener Daten, insbesondere Telefonnummern
  42. jurisPR-ArbR_25_2026.pdf, S. 11
  43. jurisPR-ArbR_25_2026.pdf, S. 11
  44. jurisPR-ArbR_25_2026.pdf, S. 11
  45. jurisPR-ArbR_25_2026.pdf, S. 12
  46. Zeitschriften – Peisker, VSSAR 2025, 237 – Die Last der Transparenz: Aktuelle Entwicklungen und rechtssichere Umsetzung von Art. 15 DSGVO
  47. jurisPR-ArbR_25_2026.pdf, S. 12
  48. BAG, 20.02.2025 – 8 AZR 61/24 – Anspruch auf Schadenersatz nach Art. 82 Abs. 1 DSGVO wegen eines Verstoßes gegen die Auskunftspflicht nach Art. 15 DSGVO; Verspätete Erteilung der nach Art. 15 DSGVO geschuldeten Auskunft; Stellung eines Inzidentantrags nach § 717 Abs. 2 ZPO erstmals in der Revisionsinstanz
  49. jurisPR-ArbR_25_2026.pdf, S. 12
In diesem Artikel:
Nach einem Hackerangriff klagte ein Ex-Mitarbeiter auf DSGVO-Schadensersatz wegen Kontrollverlusts über seine Daten – und verlor auf ganzer Linie. Das LArbG Frankfurt verneinte Verstoß, Schaden und Kausalität. Warum Art. 82 DSGVO kein automatischer Schmerzensgeldtatbestand ist.
Jetzt teilen:
Facebook
Twitter
LinkedIn
Telegram