:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenpannen Meldepflicht und Haftungsrisiken bei Cyber-Angriffen
Früher war es für Unternehmen verlockend, Datenpannen unter den Teppich zu kehren. Heute gibt es allerlei Meldepflichten, die sich aus Datenschutzgesetzen und ähnlichen Regelungen ergeben. Doch wie kommt ein Unternehmen am besten seiner Verantwortung nach?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
IT-Sicherheit ist für Unternehmen in Zeiten der Digitalisierung unerlässlich. Jedoch werden die Anforderungen, die daran gestellt werden, zunehmend komplexer, da Cyber-Angriffe immer professioneller werden. Die wachsende Bedrohung durch Netzangriffe wird trotz prominenter Fälle in der jüngeren Vergangenheit von Unternehmen aber immer noch stark unterschätzt.
Fehlendes Wissen und die Scheu vor einem hohen finanziellen Aufwand sind zwei Aspekte, die hier ausschlaggebend sind. Letzteres ist allerdings eine Milchmädchenrechnung, denn im Ernstfall können betroffenen Unternehmen beträchtliche Imageschäden und hohe Bußgelder drohen.
Doch unter welchen Voraussetzungen wird ein Unternehmen meldepflichtig gegenüber Behörden, Kunden oder Mitarbeitern? Wann besteht Haftung auf Schadensersatz? Und können die Haftungsrisiken beispielsweise Geschäftspartnern gegenüber vertraglich eingeschränkt werden?
Was ist im Fall einer „Datenpanne“ zu beachten und welche Pflichten kommen auf das betroffene Unternehmen zu?
Um eine sogenannte „Datenpanne“ zu vermeiden, ist es unabdingbar, sich rechtzeitig mit der Gefährdungslage und den Möglichkeiten der Vorbeugung zu beschäftigen. Von einer Datenpanne ist die Rede, wenn man Opfer einer Cyberattacke geworden ist, bei der personenbezogene Daten durch unberechtigten Zugriff auf Datensammlungen betroffen sind.
Unberechtigt ist ein solcher Zugriff immer dann, wenn der Betroffene nicht zugestimmt hat und der Zugriff nicht durch das BDSG oder sonstige Rechtsvorschriften erlaubt ist. Besonderes Augenmerk ist diesbezüglich auf die Meldepflichten zu legen.
Welche Meldepflichten ergeben sich?
a) Grundvorschrift zur Meldepflicht nach dem BDSG
Aus § 42a BDSG (Bundesdatenschutzgesetz) ergibt sich für Unternehmen die Meldepflicht, im Fall eines begründeten Verdachtes über den Verlust und den Zugriff auf Daten die Datenschutz-Aufsichtsbehörde und die Betroffenen zu informieren. Eine solche Benachrichtigung hat dabei sofort zu erfolgen.
Beachten sollte man, dass im Rahmen des § 42a BDSG allein der Verlust von Daten der entsprechenden Datenkategorien noch nicht zu einer Meldepflicht führt. Vielmehr wurde vom Gesetzgeber – als Korrektiv – zusätzlich das Erfordernis einer drohenden schwerwiegenden Beeinträchtigung der Rechte des Betroffenen als Folge des Verlustes eingefügt.
b) Informationspflichten nach dem Telemediengesetz
Auch Telemedienanbietern obliegen einer Meldepflicht. Sie wird in § 15a TMG (Telemediengesetz) geregelt. Die Bezeichnung Telemedienanbieter ist nach der Rechtsprechung weit zu verstehen, sodass in der Praxis jeder Webseitenbetreiber als solcher angesehen werden kann. Die sich daraus ergebenden Meldepflichten bestehen neben denen des BDSG, was häufig übersehen wird.
Besonders zu beachten ist diesbezüglich, dass es sich insofern nicht um besonders sensible Daten (Gesundheitsdaten, Religionszugehörigkeit, etc.) handeln muss. Es reicht bereits, wenn Bestands- oder Nutzungsdaten (Passwort, IP-Adresse, etc.) betroffen sind, sofern § 42a BDSG im Wege der Verweisung des Telemediengesetzes zur Anwendung kommt.
c) Meldepflicht nach der EU-DSGVO
Auch die kürzlich beschlossene DSGVO (Datenschutzgrundverordnung), welche mit einer Übergangszeit von zwei Jahren Ende Mai 2018 Anwendung finden wird, verpflichtet Unternehmen in Fällen von Datenschutzverletzungen zu einer Benachrichtigung der Behörden und Betroffenen. Hervorzuheben sind diesbezüglich die verschärften Bußgeldvorschriften.
Diese Bußgelder ergeben sich aus Art. 79 EU-DSGVO und können im Extremfall insbesondere für kleinere Unternehmen existenzgefährdend sein. So können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängen, wobei das Bußgeld „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein soll. Die Übergangszeit sollten Unternehmen nutzen, um sich mit den neuen Regelungen der Datenschutzgrundverordnung intensiv auseinander zu setzen und das Sicherheitsmanagement gegebenenfalls anzupassen.
Weitere Meldepflichten ergeben sich außerdem für Unternehmen aus dem Bereich der Telekommunikation aus dem Telekommunikationsgesetz (TKG).
Ob eine Meldepflicht nach dem BDSG, dem TMG oder der Datenschutzgrundverordnung vorliegt, ist allerdings stets im Einzelfall zu prüfen. Zudem sollte festgestellt werden, ob eine Informationspflicht der Betroffenen erforderlich ist. Da die Prüfung des Vorliegens einer Meldepflicht in Einzelfällen sehr komplex sein kann, sollte stets der Rat eines Juristen hinzugezogen werden. Denn bei Versäumnis von Meldepflichten bei deren Vorliegen kann es in den genannten Punkten zu hohen Bußgeldern der Datenschutzbehörden kommen.
Schadensersatzanspruch der Betroffenen und Haftung
Sofern sie schuldhaft, also vorsätzlich oder fahrlässig erfolgt, kann eine Datenpanne, also ein Verlust oder eine Offenbarung von Daten, einen Schadensersatzanspruch des Betroffenen nach §§ 7 f. BDSG und §§ 823 ff. BGB auslösen. Dieser ist – neben den bereits zuvor dargestellten bußgeldbewehrten Meldepflichtverletzungen – der zweite „schmerzhafte“ finanzielle Aspekt, der im Rahmen einer möglichen Datenpanne zu beachten ist.
Wenn das Unternehmen nun von einer Cyber-Attacke betroffen ist, gilt es mit allen Möglichkeiten den Vorwurf des Vorsatzes und der Fahrlässigkeit auszuräumen. Da das Unternehmen unter einer sog. Sorgfaltspflicht steht, hat es durch rechtskonformes Verhalten diese Sorgfalt nachzuweisen.
Nur so kann ein schuldhaftes Verhalten ausgeschlossen werden. Im Einzelnen bedeutet dies, dass das Unternehmen im konkreten Fall darlegen muss, dass die erforderlichen Maßnahmen getroffen wurden, um eine datenschutzkonforme Verarbeitung personenbezogener Daten zu ermöglichen.
Möglichkeit der Haftungsbeschränkung
Damit Unternehmen im Falle einer Datenpanne ihre eigene Haftung beschränken können, müssen sie die benannte Sorgfaltspflicht nachweisen. Das Unternehmen muss darlegen können, dass es trotz gesetzmäßigem und sorgfältigem Handeln den Verlust der Daten nicht hätte verhindern können.
Die getroffene Sorgfaltspflicht kann auch durch sog. ISO-Zertifizierungen sowie Audits nachgewiesen werden. Für die Frage, wie hoch der Aufwand hier sein sollte, ist darauf zu verweisen, dass für die notwendigen Sicherheitsvorkehrungen der IT-Systeme eine Investition von ca. zehn Prozent des Jahresumsatzes als angemessen verstanden wird.
Fazit
Die Digitalisierung bringt neben neuen IT-Entwicklungen auch immer neue und vielseitigere Gefahren der Netzkriminalität mit sich: Daher muss und kann nur eine größtmögliche IT-Sicherheit das Ziel sein, um dieser Bedrohung entgegen zu treten.
Der erste Schritt ist es dabei für Unternehmen, dieses Risiko zu erkennen und sich diesem zu stellen. Komplett auszuschließen ist die Gefahr, Opfer einer Cyberattacke zu werden, leider nicht. Daher sollte man sich rechtzeitig mit ihren Gefahren, den Wegen der Vorbeugung sowie der Dringlichkeit einer Auseinandersetzung mit den notwendigen Meldepflichten für den Ernstfall befassen.
IT-Unternehmen sollten daher eine qualifizierte Beratung in Erwägung ziehen. So kann schon im Vorfeld die größtmögliche IT- und Datensicherheit gewährleistet werden, damit das Unternehmen auf den Fall der Fälle vorbereitet ist und den Möglichkeiten der Haftung, hohen Bußgeldern und drohenden Imageschäden entgehen kann.
* Über die Autorin
Simone Rosenthal ist Partnerin bei Schürmann Wolschendorf Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts.
Neben ihrer anwaltlichen Tätigkeit ist sie als Geschäftsführerin der ISiCO Datenschutz GmbH tätig, einem Unternehmen, das Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Darüber hinaus arbeitet sie als Dozentin an der deutschen Presseakademie und der Hochschule für Technik und Wirtschaft Berlin.
(ID:44184268)
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1926200/1926211/original.jpg "Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Denn Betroffene sind sich oft nicht möglichen Folgen bewusst. (peterschreiber.media - stock.adobe.com)")