Wie stehen die Erfolgsaussichten einer Schadensersatzklage gegen ein Unternehmen wegen einer Datenpanne beim Auftragsverarbeiter?

Die Erfolgsaussichten hängen stark vom Einzelfall ab – grob gesagt sind sie **oft nicht schlecht**, wenn das Unternehmen sauber nachweisen kann, dass (1) der Auftragsverarbeiter gegen DSGVO/Vertrag verstoßen hat, (2) **ein konkreter, bezifferbarer Schaden** entstanden ist und (3) dieser Schaden **kausal** auf die Pflichtverletzung zurückgeht. In der Praxis scheitern Klagen aber häufig an **Kausalität** und **Schadensnachweis** (insbesondere bei „Reputationsschäden“ oder pauschalen internen Aufwänden). ## 1) Rechtliche Anspruchsgrundlagen (typisch) 1. **Vertraglich** (Auftragsverarbeitungsvertrag/AVV, Hauptvertrag, SLA) - Schadensersatz wegen Pflichtverletzung, ggf. auch **Freistellung** für Ansprüche Dritter. 2. **DSGVO Art. 82** (Schadensersatz) - Grundsätzlich kann „jede Person“ Ersatz verlangen; Unternehmen können sich darauf stützen, wenn sie als „Person“ i.S.d. Norm verstanden werden – in der Praxis wird aber meist **vertraglich/deliktisch** geklagt, weil das dogmatisch klarer ist. 3. **Deliktisch** (z.B. § 823 BGB, § 826 BGB) und **§ 280 BGB** (Pflichtverletzung) - Relevanz v.a. bei Schutzgesetzargumenten, grobem Fehlverhalten oder wenn Vertragsklauseln lückenhaft sind. ## 2) Was das Unternehmen beweisen muss (Kernpunkte) - **Pflichtverletzung** des Auftragsverarbeiters: - z.B. unzureichende TOMs, fehlende Patch- und Zugriffskontrollen, unzulässige Subunternehmer, verspätete Meldung/Unterstützung. - **Schaden**: - **Konkrete Vermögensschäden** sind am dankbarsten: Forensik-/Incident-Response-Kosten, Benachrichtigungskosten, Callcenter, Kreditüberwachung (falls erforderlich), Rechtsberatung (teilweise), Mehrkosten durch Systemwiederherstellung, Vertragsstrafen gegenüber Kunden (wenn adäquat kausal). - **Reputationsschaden/entgangener Gewinn** ist möglich, aber beweisintensiv (Umsatzrückgang muss plausibel und kausal auf die Panne zurückführbar sein, nicht auf Markt/PR/sonstige Faktoren). - **Kausalität**: - Der häufigste Streitpunkt: War die konkrete Sicherheitslücke/Fehlkonfiguration beim Auftragsverarbeiter tatsächlich ursächlich? Hätte der Schaden auch bei ordnungsgemäßen TOMs eintreten können? - **Mitverschulden** (§ 254 BGB): - z.B. unklare Weisungen, fehlende Risikoanalyse, unzureichende Auswahl-/Kontrollpflichten, zu weitgehende Berechtigungen, fehlende Verschlüsselung/Key-Management auf Verantwortlichenseite. ## 3) Typische „Gewinner“-Konstellationen - **Klare technische Pflichtverletzung** beim Auftragsverarbeiter (z.B. bekannte kritische Schwachstelle ungepatcht, offen erreichbare Datenbank, fehlende MFA, Fehlkonfiguration in Cloud-Storage). - **Dokumentierte Weisungen** und **nachweisbare Kontrollen** des Unternehmens (Vendor-Audits, TOM-Prüfungen, Protokolle). - **Sauber belegte Kosten** unmittelbar nach dem Incident (Rechnungen, Timesheets, Incident-Report, Forensik-Berichte). - **Gute Vertragslage**: Haftung/Freistellung nicht zu stark begrenzt, klare Sicherheits- und Supportpflichten, Subprocessor-Regeln, Audit- und Mitwirkungspflichten. ## 4) Typische „Verlierer“-Konstellationen - **Pauschale Schadensbehauptungen** („Image beschädigt“, „Kunden verloren“) ohne belastbare Zahlen/Belege. - **Unklare Verantwortungsabgrenzung** (Shared Responsibility, Cloud) oder fehlende Beweise, wo die Panne tatsächlich entstanden ist. - **Haftungsbegrenzungen** im Vertrag (Cap, Ausschluss indirekter Schäden/entgangenen Gewinns) greifen wirksam. - **Mitverschulden** des Unternehmens ist erheblich (z.B. unsichere Konfiguration vorgegeben, schwache Authentisierung verlangt, keine Schlüsseltrennung). ## 5) Haftungsbegrenzungen & AGB-Klauseln (sehr entscheidend) In B2B-Verträgen sind **Haftungscaps**