Datenleck nach Online-Kauf: Zahlt die Rechtsschutzversicherung auch bei DSGVO-Schmerzengeld?

Ein gekaufter Gegenstand um wenige hundert Euro kann plötzlich ein Prozessrisiko von mehreren tausend Euro auslösen. Genau das passiert, wenn nach einem Online-Kauf Kundendaten im Netz landen, Betroffene Angst vor Identitätsdiebstahl entwickeln und der Rechtsschutzversicherer erklärt: „Nicht gedeckt.“ Der OGH hat dazu nun eine bemerkenswert klare Linie gezogen.

Vom Hardware-Kauf zur Datenschutzklage

Eine Kundin bestellte online ein Hardware-Wallet. Also kein Finanzprodukt, keine Veranlagung, sondern ein physisches Gerät. Dann passierte, was Unternehmen im E-Commerce, im Direktvertrieb und in digitalen Händlernetzen fürchten: Der Hersteller wurde Opfer von zwei Cyberangriffen. Namen, Adressen, Telefonnummern und E-Mail-Adressen von Kunden tauchten später in einem Forum auf.

Für die Kundin blieb das nicht abstrakt. Sie berichtete von Spam, Phishing-Nachrichten und Anrufen. Dazu kam die ständige Sorge, dass ihre Daten für Betrug oder Identitätsmissbrauch verwendet werden könnten. Sie wollte daher gegen den Hersteller vorgehen: auf immateriellen Schadenersatz und zusätzlich auf Feststellung, dass auch künftige materielle Schäden ersetzt werden müssen, falls später noch ein konkreter Vermögensschaden eintritt.

Nur: Wer einen solchen Prozess führen will, braucht oft zuerst Deckung von der Rechtsschutzversicherung. Und genau dort begann der eigentliche Streit. Der Versicherer lehnte ab. Begründung: immaterielle Schäden seien nicht umfasst, außerdem bestehe ein Ausschluss wegen „Vermögensveranlagung“.

Nicht jede Krypto-Nähe ist schon eine Vermögensveranlagung

Der spannende Punkt an der Sache liegt in der Produktumgebung. Ein Hardware-Wallet wird typischerweise im Kryptobereich verwendet. Versicherer versuchen in solchen Konstellationen mitunter, den Fall in die Nähe von Anlageprodukten zu rücken. Das klingt auf den ersten Blick plausibel, rechtlich ist es aber etwas ganz anderes, ob jemand über eine Kapitalanlage streitet oder ob jemand ein Gerät kauft und dabei vertragliche Nebenpflichten des Verkäufers verletzt werden.

Genau diese Trennlinie hat der OGH betont: Der Kauf eines Hardware-Produkts bleibt ein Kaufvertrag über eine bewegliche Sache. Dass das Gerät im Umfeld von Kryptowerten eingesetzt wird, macht aus dem Kauf noch keine Vermögensveranlagung.

Was der OGH entschieden hat

Mit Beschluss des OGH vom 18.12.2024 zu 7 Ob 169/24i steht fest: Die Geltendmachung immaterieller Schäden wegen einer Datenschutzverletzung im Zusammenhang mit einem Kaufvertrag fällt unter den Allgemeinen Vertrags-Rechtsschutz. Der Ausschluss für Streitigkeiten im Zusammenhang mit der Veranlagung von Vermögensgegenständen und Geld greift hier nicht.

Das ist wirtschaftlich relevant. Denn damit geht es nicht nur um die Frage, ob ein DSGVO-Anspruch denkbar ist, sondern darum, wer die Kosten des Rechtsstreits trägt. Für viele Betroffene entscheidet genau das, ob sie Ansprüche überhaupt durchsetzen.

Warum der Vertrags-Rechtsschutz hier gezogen hat

Rechtsschutzversicherungen sind modular aufgebaut. Das wird in der Praxis oft übersehen. Es genügt nicht, irgendeine Polizze zu haben; entscheidend ist, welcher Baustein betroffen ist. Der OGH stellte klar, dass Art 2 ARB nur den Zeitpunkt des Versicherungsfalls regelt. Ob ein Fall überhaupt gedeckt ist, ergibt sich aus dem jeweiligen Deckungsbaustein.

Hier war der maßgebliche Baustein der Allgemeine Vertrags-Rechtsschutz nach Art 23 ARB 2017. Dieser erfasst Streitigkeiten aus schuldrechtlichen Verträgen über bewegliche Sachen. Genau darunter fiel der Online-Kauf des Hardware-Wallets.

Wichtig ist der nächste Schritt: Zu solchen Verträgen gehören nicht nur Lieferung und Bezahlung. Auch Nebenpflichten zählen dazu. Dazu kann die Pflicht gehören, Kundendaten im Zuge der Vertragsabwicklung ausreichend zu schützen, sichere IT-Prozesse bereitzustellen und personenbezogene Daten nicht durch mangelhafte Systeme offenzulegen.

Mit anderen Worten: Das Datenleck war aus Sicht des Höchstgerichts nicht bloß ein „Datenschutzthema“, sondern auch eine mögliche Verletzung vertraglicher Nebenpflichten.

Immaterieller Schaden heißt nicht automatisch: keine Deckung

Besonders interessant ist die Argumentation zu den Schäden selbst. Der Versicherer wollte aus dem Wortlaut ableiten, dass der Vertrags-Rechtsschutz nur bestimmte Vermögensschäden erfasse. Der OGH sah das anders.

Art 23 ARB 2017 enthält einen Satz, wonach der Versicherungsschutz auch für die Geltendmachung und Abwehr reiner Vermögensschäden gilt. Diese Formulierung erweitert den Schutz. Sie bedeutet aber nicht, dass immaterielle Schäden ausgeschlossen wären. Der Baustein sagt also: Vermögensschäden sind jedenfalls mitumfasst. Er sagt nicht: Nur Vermögensschäden sind gedeckt.

Das ist für DSGVO-Fälle zentral. Ansprüche nach Art 82 DSGVO betreffen häufig gerade immaterielle Beeinträchtigungen: Kontrollverlust über Daten, Angst, Stress, Schlafstörungen, ständige Phishing-Belastung. Wenn ein Versicherer hier reflexartig auf „immateriell nicht gedeckt“ verweist, lohnt ein genauer Blick auf den konkret einschlägigen Baustein.

Ausschlüsse werden eng gelesen – und das kann Deckung retten

Der zweite große Streitpunkt war der Ausschluss nach Art 7.1.14 ARB für Angelegenheiten „in ursächlichem Zusammenhang mit der Veranlagung von Vermögensgegenständen und Geld“. Solche Ausschlüsse sollen typischerweise Kapitalanlage-Risiken begrenzen. Gemeint sind also klassische Veranlagungsstreitigkeiten.

Der OGH hat diesen Ausschluss eng ausgelegt. Genau so müssen Allgemeine Versicherungsbedingungen gelesen werden. Ein durchschnittlicher Versicherungsnehmer darf nicht damit rechnen, dass ein Datenleck beim Kauf eines physischen Produkts plötzlich als Veranlagungsstreit behandelt wird, nur weil das Produkt im Kryptobereich verwendet werden kann.

Noch wichtiger: Unklare AVB gehen zulasten des Versicherers. Diese Auslegungsregel hat in Deckungsprozessen oft erhebliches Gewicht. Wer mehrdeutige Ausschlussklauseln formuliert, trägt auch das Risiko dieser Unklarheit.

Warum diese Entscheidung für Unternehmen im Vertrieb sofort relevant ist

Die Entscheidung betrifft nicht nur Versicherungsnehmer auf Kundenseite. Sie ist auch für Unternehmer, Hersteller, Importeure, Franchisegeberinnen und Betreiber von Händlerportalen relevant.

  • E-Commerce: Wenn Ihr Webshop personenbezogene Daten verarbeitet, können Sicherheitsmängel schnell zu vertraglichen und datenschutzrechtlichen Ansprüchen führen.
  • Franchise- und Händlernetze: Einheitliche CRM-, Newsletter- oder Bestellsysteme schaffen Skaleneffekte – aber auch ein gebündeltes Haftungsrisiko bei Datenpannen.
  • SaaS- und Plattformmodelle: Wer Kundenbeziehungen digital abwickelt, übernimmt regelmäßig vertragliche Nebenpflichten zur sicheren Datenverarbeitung.
  • Fintech- und Kryptoumfeld: Die Produktkommunikation sollte sauber trennen: Hardwarekauf bleibt Hardwarekauf. Sonst drohen unnötige Diskussionen über Anlageausschlüsse.

Wenn Sie als Unternehmer nach einer Datenpanne mit Ansprüchen konfrontiert sind, stellt sich nicht nur die Haftungsfrage. Es stellt sich auch die Frage, welche Versicherungsschicht greift: Cyber-Versicherung für Forensik, Incident Response und Benachrichtigungskosten oder Rechtsschutz für die Finanzierung des Prozesses. Beides muss zusammenpassen.

Vier Punkte, die Sie jetzt prüfen sollten

  • Rechtsschutz-Polizze lesen: Ist der Allgemeine Vertrags-Rechtsschutz tatsächlich eingeschlossen? Gibt es Sublimits oder Sonderausschlüsse für Datenschutzfälle?
  • Cyber- und Rechtsschutz abstimmen: Cyber deckt oft den Vorfall, Rechtsschutz oft den Rechtsstreit. Die Schnittstelle entscheidet über teure Lücken.
  • Verträge mit IT-Dienstleistern schärfen: Regeln Sie technische und organisatorische Maßnahmen, Reaktionszeiten, Audit-Rechte, Nachweise, Freistellungen und Versicherungspflichten.
  • Anspruch richtig einordnen: Nach einem Datenvorfall ist die juristische Einordnung entscheidend. Vertragliche Nebenpflichtverletzung und deliktische Haftung führen versicherungsrechtlich nicht immer zum selben Ergebnis.

FAQ: Was Unternehmer und Versicherte dazu tatsächlich googlen

„Zahlt meine Rechtsschutzversicherung bei DSGVO-Schadenersatz?“

Das kann sie, wenn der Anspruch unter einen gedeckten Baustein fällt. Nach der Entscheidung 7 Ob 169/24i kann ein immaterieller DSGVO-Schaden im Zusammenhang mit einem Kaufvertrag vom Allgemeinen Vertrags-Rechtsschutz erfasst sein. Entscheidend sind der konkrete Vertragsbaustein und die Formulierung der AVB.

„Ist ein Datenleck nach Produktkauf ein Vertragsfall oder ein Datenschutzfall?“

Beides kann zutreffen. Datenschutzrechtlich geht es um die Verletzung von Pflichten bei der Verarbeitung personenbezogener Daten. Versicherungsrechtlich kann derselbe Lebenssachverhalt zusätzlich als Verletzung vertraglicher Nebenpflichten aus dem Kaufvertrag zu qualifizieren sein. Genau diese vertragliche Einordnung war hier ausschlaggebend.

„Kann der Versicherer auf Krypto oder Vermögensveranlagung verweisen?“

Nicht automatisch. Wenn der Streit aus dem Kauf eines Hardware-Produkts stammt, ist das noch keine Veranlagung von Geld oder Vermögenswerten. Der OGH hat den Anlageausschluss in diesem Zusammenhang eng gelesen und bei einem Hardware-Wallet nicht angewendet.

„Was sollte ich nach einer Deckungsablehnung sofort tun?“

Die Ablehnung sollte nicht vorschnell akzeptiert werden. Oft hängt alles an der richtigen rechtlichen Qualifikation des Anspruchs und am genauen Wortlaut der ARB. Gerade bei Datenpannen lohnt sich eine Prüfung, ob vertragliche Nebenpflichten betroffen sind und ob Ausschlüsse vom Versicherer zu weit ausgelegt wurden.

Zur vollständigen OGH-Entscheidung

Probleme im Vertriebsrecht? Wir beraten Sie.

Unsere Rechtsanwaltskanzlei in 1010 Wien berät Hersteller, Importeure, Handelsvertreter, Vertragshändler und Franchisenehmer in allen Fragen des Vertriebs- und Handelsrechts. Beratungstermin vereinbaren oder anrufen: 01/513 07 00.

Dr. Clemens Pichler

Rechtsanwalt · Vertriebsrecht, Handelsvertreterrecht & Wirtschaftsrecht in Wien

Dr. Clemens Pichler ist eingetragener Rechtsanwalt in Wien und Gründer der Pichler Rechtsanwalt GmbH mit Kanzlei in 1010 Wien. Er berät Hersteller, Importeure, Handelsvertreter, Vertragshändler und Franchisenehmer in allen Fragen des Vertriebs- und Handelsrechts – von der Vertragsgestaltung über Provisions- und Ausgleichsstreitigkeiten nach § 24 HVertrG bis zu Wettbewerbsverboten und kartellrechtlichen Vertriebsfragen.

Seit der Kanzleigründung im Jahr 2008 hat Dr. Pichler bereits hunderte Mandanten in Vertriebs- und Handelsrechtssachen vertreten und Vertriebsstreitigkeiten vor österreichischen Wirtschaftsgerichten abgewickelt – sowohl auf Hersteller- als auch auf Vertreter-/Händler-Seite.

Er ist Autor zahlreicher juristischer Fachpublikationen, unter anderem im Österreichischen Anwaltsblatt, den Fachzeitschriften ecolex und Recht der Wirtschaft sowie Gastautor in den Tageszeitungen Die Presse und Der Standard. Seine wissenschaftlichen Aufsätze werden vom Obersten Gerichtshof (OGH) zitiert.

📍 Adresse 1010 Wien
✉ E-Mail office@anwaltskanzlei-pichler.at
🔗 Web rechtsanwalt-vertriebsrecht.at
📞 Telefon 01/513 07 00

Dieser mit KI-Unterstützung erstellte Beitrag dient ausschließlich der allgemeinen Information über das österreichische Recht. Er stellt keine Rechtsberatung im Sinne der RAO dar und ersetzt nicht die individuelle anwaltliche Beratung . Die Anwendung gesetzlicher Bestimmungen und höchstgerichtlicher Judikatur auf einen konkreten Lebenssachverhalt erfordert stets eine einzelfallbezogene Prüfung durch einen Rechtsanwalt. Durch das Lesen, Speichern, Teilen oder Weiterleiten dieses Beitrags kommt kein Auftrags- oder Beratungsverhältnis mit der Pichler Rechtsanwalt GmbH oder einer ihrer Rechtsanwältinnen oder Rechtsanwälte zustande. Ein Mandat entsteht ausschließlich nach individueller Beauftragung. Soweit dieser Beitrag auf Entscheidungen des OGH, EuGH oder anderer Gerichte Bezug nimmt, geben wir die jeweilige Geschäftszahl und allenfalls einen Direktlink zum Rechtsinformationssystem des Bundes (RIS) an. Maßgeblich ist stets der vollständige Wortlaut der Originalentscheidung, nicht die Zusammenfassung in diesem Beitrag. Für eine auf Ihren konkreten Sachverhalt zugeschnittene Beurteilung vereinbaren Sie bitte eine Erstberatung , schreiben Sie an wien@anwaltskanzlei-pichler.at oder rufen Sie uns unter 01/5130700 an.