Rainer M. Richter

ist Director für Central & Eastern Europe bei SentinelOne

Data & StorageStorage

DSGVO: Diese Haftungsrisken drohen bei Cyberangriffen

Welche rechtlichen Risiken Verantwortliche nach Cyberattacken mit der neuen Datenschutz-Grundverordnung drohen, erklärt Rainer M. Richter von SentinelOne.

Cyberangriffe und damit verbundene Datenschutzverletzungen stellen Unternehmen vor große Herausforderungen. So haben betroffene Firmen meist nicht nur mit der Wiederherstellung eines reibungslosen Betriebsablaufes, der Restauration verlorengegangener oder verschlüsselter Daten sowie Ursachenforschung und Angriffsanalyse zu kämpfen, sondern müssen sich auch mit rechtlichen Pflichten und Konsequenzen des Vorfalls auseinandersetzen. Denn neben Reputationsschäden und finanziellen Verlusten können auch empfindliche Bußgelder und Schadensersatzzahlungen auf das Unternehmen warten. Auch wenn es verlockend ist, Cyberangriffe intern zu klären und öffentlich unter den Tisch fallen zu lassen, sollten Unternehmen dringend davon absehen und zudem alles Erforderliche dafür tun, um sie zu verhindern.

Vorhängeschlösser (Bild: Mehmet Toprak)

Welchen Meldepflichten – gemäß Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG) und der neuen EU-Datenschutzgrundverordnung (DSGVO) – Unternehmen nach einer Datenpanne nachkommen müssen, habe ich im ersten Teil meines Blogs bereits beschrieben und dabei besonders auf die Notwendigkeit einer unverzüglichen und vollständigen Benachrichtigung von Behörden und Betroffenen hingewiesen. Im Folgenden möchte ich noch ergänzend erläutern, in welchen Fällen Haftungen oder gar Ansprüche auf Schadensersatz entstehen und wie Unternehmen sich davor schützen können.

Auch beim Datenschutz gilt: Wer fahrlässig oder grob unvorsichtig handelt und Dritten dadurch einen Schaden zufügt, muss dafür geradestehen. Konkret bedeutet dies: Erleidet ein Unternehmen eine Datenpanne, das heißt, konnten sich Dritte unrechtmäßig Zugriff auf sensible Daten verschaffen, geraten Geschäftsführung und IT-Verantwortliche in Erklärungszwang.

Sie müssen den Vorfall nicht nur melden, sondern auch die Hintergründe des Cyberangriffs genau beleuchten. Es liegt dann am Unternehmen, seine Unschuld zu beweisen. Dazu müssen die Verantwortlichen erstens nachweisen, dass nicht grob fahrlässig gehandelt wurde, zum Beispiel bekannten Sicherheitslücken und Schwachstellen nicht rechtzeitig geschlossen wurden. Zum zweiten müssen sie belegen, dass angemessene Sicherheitstechniken eingesetzt werden und diese zum Zeitpunkt des Vorfalls auch auf dem neusten Stand waren, zum Beispiel alle relevanten Updates heruntergeladen wurden. Auch der Nachweis von Zertifizierungen oder die Bestellung eines Datenschutzbeauftragten oder IT-Security-Verantwortlichen ist hilfreich.

Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten

Das sieht letztlich auch der Gesetzgeber so, weshalb es mit dem Inkrafttreten der EU-DSGVO erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben wird (Art. 35 ff. DSGVO). Dies gilt zwar vorerst nur für Unternehmen, deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist, dennoch ist die Bestellung eines Datenschutzbeauftragten grundsätzlich fast jedem Unternehmen anzuraten.

Kann ein Unternehmen diesen Entlastungsbeweis nicht bringen, das heißt die oben beschriebene Sorgfaltspflicht nicht nachweisen, können sich für die von der Datenpanne betroffenen Personen Schadensersatz- oder Schmerzensgeldansprüche gemäß §§ 7 f. BDSG und §§ 823 ff. BGB ergeben. Auch die Datenschutzgrundverordnung sieht eine Haftung bei der Verletzung der Sorgfaltspflicht vor (Art. 82 Abs. 1 DSGVO) und nennt dabei ausdrücklich auch die Haftung bei immateriellen Schäden.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Es ist deshalb davon auszugehen, dass deutsche Gerichte bei der Zusprechung von Schadensersatz bei Datenschutzverletzungen nicht so zurückhaltend agieren dürften wie bisher und die Zahl der Zivilklagen in diesem Bereich steigen wird. Darüber hinaus ergibt sich aus Art. 82 Abs. 1 DSGVO auch ein Schadensdirektanspruch gegen den Auftragsverarbeiter, d.h. die Person oder Institution, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Cyberangriffe können für Unternehmen ungeahnte Ausmaße annehmen und für kleinere Unternehmen sogar existenzbedrohend sein. Ein effizientes Cyber Security-Management ist für Unternehmen deshalb wichtiger denn je. Deren Umsetzung stellt Geschäftsführer und IT-Verantwortliche jedoch vor zunehmend große Herausforderungen, da Cyberkriminelle immer professioneller und zielgerichteter angreifen und die Angriffsfläche dank der kontinuierlich steigenden Zahl vernetzter Geräte immer größer wird.

Ausgewähltes Webinar

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Obwohl die Brisanz des Themas sowohl Geschäftsführern als auch CIOs bewusst sein dürfte, ist Cyber Security noch immer ein blinder Fleck auf der Agenda vieler Unternehmen. Viel zu oft spielen sie die Risiken unserer heutigen Bedrohungslandschaft herunter und verlassen sich auf veraltete und wirkungslose Sicherheitstechnologien – sei es aus reiner Unwissenheit oder der Angst vor hohen Kosten.

Hat ein Unternehmen einen Cyberangriff erlitten, ist schnelles Handeln gefragt und ein rechtlich korrekter Umgang unabdingbar. Wurden alle erforderlichen Sicherheitsmaßnahmen getroffen und ist diese Sorgfaltspflicht nachweisbar, hat das betroffene Unternehmen jedoch in der Regel keine rechtlichen Auswirkungen zu fürchten.