BGH: Unternehmen haften bei gehackten E-Mails für Datenschutz-Schäden

Der Bundesgerichtshof (BGH) stellt klar: Unternehmen müssen bei erfolgreichen E-Mail-Manipulationen auch für immaterielle Datenschutzschäden aufkommen. Die neuen Grundsätze aus Ende 2025 und Anfang 2026 bedeuten eine erhebliche Verschärfung der Haftungsrisiken für Firmen. Wer nicht ausreichend gegen sogenannte „Man-in-the-Middle“-Angriffe schützt, riskiert nun Schadensersatzklagen nach der DSGVO.

Im Zentrum steht die Frage, ob Unternehmen haften, wenn ihre E-Mail-Konten von Kriminellen übernommen und für betrügerische Zwecke manipuliert werden – etwa zur Änderung von Bankverbindungen auf Rechnungen. Während frühere Urteile vor allem die zivilrechtliche Frage der finanziellen Verluste klärten, erweitert der BGH die Haftung nun auf die Datenschutz-Grundverordnung (DSGVO).

Der Verlust der Kontrolle über personenbezogene Daten in gehackten Mailkonten stellt laut Gericht einen entschädigungspflichtigen Schaden nach Artikel 82 DSGVO dar. Ein Verstoß gegen die Sicherheitspflicht aus Artikel 32 DSGVO – etwa durch fehlende Zwei-Faktor-Authentifizierung (2FA) – kann somit direkt zu Schmerzensgeldansprüchen führen. Betroffene Geschäftspartner oder Mitarbeiter können klagen, auch ohne einen direkten finanziellen Schaden erlitten zu haben.

E-Mail‑Manipulationen wie „Man‑in‑the‑Middle“ führen nicht nur zu finanziellen Verlusten – fehlende Schutzmaßnahmen wie 2FA können bereits Schmerzensgeldansprüche nach der DSGVO auslösen. Unternehmen brauchen konkrete Abwehrstrategien gegen CEO‑Fraud, gefälschte Absender und Social‑Engineering. Das kostenlose Anti‑Phishing‑Paket erklärt in vier praktischen Schritten, wie Sie Phishing erkennen, Mitarbeiter schützen, technische Gegenmaßnahmen umsetzen und Vorlagen für Schulungen sowie Vorfallsmeldungen nutzen. Anti‑Phishing‑Paket jetzt kostenlos anfordern

Die Grundlage für diese verschärfte Haftung liegt in der jüngeren BGH-Rechtsprechung zu immateriellen Schäden. Seit wegweisenden „Scraping“-Urteilen Ende 2024 hat sich der Maßstab verschoben. Es muss keine schwere psychische Beeinträchtigung mehr nachgewiesen werden. Schon der bloße Verlust der Kontrolle über die eigenen Daten kann einen Anspruch begründen.

Dieses Prinzip wird nun auf die E-Mail-Infrastruktur angewandt. Wird ein Konto manipuliert, verlieren die Kommunikationspartner die Kontrolle über Vertraulichkeit und Integrität ihrer Daten. Für Unternehmen bedeutet das:
1. Beweislastumkehr: Der erfolgreiche Angriff selbst spricht oft dafür, dass die technisch-organisatorischen Maßnahmen unzureichend waren.
2. ​​Entschädigungsfähiger Schaden: Die entstandene Verunsicherung und das Missbrauchsrisiko gelten als immaterieller Schaden.
3. ​​Hoher Sicherheitsstandard: Unternehmen müssen nachweisen, dass sie dem „Stand der Technik“ entsprachen – eine immer höhere Hürde.

Für die Praxis entsteht ein doppeltes Haftungsrisiko. Neben den finanziellen Verlusten aus dem eigentlichen Betrug drohen nun DSGVO-Schadensersatzklagen aller Betroffenen, deren Daten kompromittiert wurden.

Das müssen Compliance-Verantwortliche jetzt beachten:
* 2FA ist Pflicht: Fehlende Mehr-Faktor-Authentifizierung für Geschäfts-E-Mails gilt zunehmend als grobe Fahrlässigkeit und klarer DSGVO-Verstoß.
* Verschlüsselung reicht nicht mehr: Transportverschlüsselung (TLS) allein genügt bei sensiblen Daten oft nicht. Ende-zu-Ende-Verschlüsselung oder sichere Portale werden zum Maßstab.
* Meldepflicht entscheidend: Schnelle und transparente Meldung eines Vorfalls (Artikel 33/34 DSGVO) beeinflusst die Schadenshöhe. Verzögerungen verschärfen den „Kontrollverlust“ der Betroffenen.

Rechtsexperten rechnen 2026 mit einer Welle von Klagen, in denen Betrugsersatz und DSGVO-Schadensersatz kombiniert werden. Die klare Botschaft des BGH: IT-Sicherheit ist kein rein operatives, sondern ein zentrales Compliance-Thema.

Gerichte werden die konkreten Sicherheitsvorkehrungen zum Zeitpunkt des Angriffs genau prüfen. Unternehmen mit nachweislich robusten, modernen Schutzmaßnahmen – wie Advanced Threat Protection und regelmäßigen Penetrationstests – können der Haftung vielleicht entgehen. Für alle anderen könnte sich der „Mann in der Mitte“ als teurer Gegner erweisen – nicht nur durch gestohlene Gelder, sondern durch gerichtlich verordnete Entschädigungszahlungen.

PS: Zur Vermeidung von DSGVO‑Haftung ist schnelle Reaktion entscheidend. Das Anti‑Phishing‑Paket liefert eine kompakte 4‑Schritte‑Anleitung, branchenspezifische Gefahrenanalysen sowie Vorlagen für die schnelle Meldung und lückenlose Dokumentation von Vorfällen. Ideal für Compliance‑ und IT‑Verantwortliche, die Angriffe früher erkennen, Mitarbeiter wirksam schulen und Meldepflichten sauber erfüllen wollen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen