Datenpannen

Meldepflicht und Haftungsrisiken bei Cyber-Angriffen

| Autor / Redakteur: Simone Rosenthal* / Stephan Augsten

Bei Datenverlusten ist man als Unternehmen aufgrund verschiedener Gesetze in der Pflicht.
Bei Datenverlusten ist man als Unternehmen aufgrund verschiedener Gesetze in der Pflicht. (Bild: Brian Jackson - Fotolia.com)

Früher war es für Unternehmen verlockend, Datenpannen unter den Teppich zu kehren. Heute gibt es allerlei Meldepflichten, die sich aus Datenschutzgesetzen und ähnlichen Regelungen ergeben. Doch wie kommt ein Unternehmen am besten seiner Verantwortung nach?

IT-Sicherheit ist für Unternehmen in Zeiten der Digitalisierung unerlässlich. Jedoch werden die Anforderungen, die daran gestellt werden, zunehmend komplexer, da Cyber-Angriffe immer professioneller werden. Die wachsende Bedrohung durch Netzangriffe wird trotz prominenter Fälle in der jüngeren Vergangenheit von Unternehmen aber immer noch stark unterschätzt.

Fehlendes Wissen und die Scheu vor einem hohen finanziellen Aufwand sind zwei Aspekte, die hier ausschlaggebend sind. Letzteres ist allerdings eine Milchmädchenrechnung, denn im Ernstfall können betroffenen Unternehmen beträchtliche Imageschäden und hohe Bußgelder drohen.

Doch unter welchen Voraussetzungen wird ein Unternehmen meldepflichtig gegenüber Behörden, Kunden oder Mitarbeitern? Wann besteht Haftung auf Schadensersatz? Und können die Haftungsrisiken beispielsweise Geschäftspartnern gegenüber vertraglich eingeschränkt werden?

Was ist im Fall einer „Datenpanne“ zu beachten und welche Pflichten kommen auf das betroffene Unternehmen zu?

Um eine sogenannte „Datenpanne“ zu vermeiden, ist es unabdingbar, sich rechtzeitig mit der Gefährdungslage und den Möglichkeiten der Vorbeugung zu beschäftigen. Von einer Datenpanne ist die Rede, wenn man Opfer einer Cyberattacke geworden ist, bei der personenbezogene Daten durch unberechtigten Zugriff auf Datensammlungen betroffen sind.

Ergänzendes zum Thema
 
Aktuelle Bedrohungslage

Unberechtigt ist ein solcher Zugriff immer dann, wenn der Betroffene nicht zugestimmt hat und der Zugriff nicht durch das BDSG oder sonstige Rechtsvorschriften erlaubt ist. Besonderes Augenmerk ist diesbezüglich auf die Meldepflichten zu legen.

Welche Meldepflichten ergeben sich?

a) Grundvorschrift zur Meldepflicht nach dem BDSG

Aus § 42a BDSG (Bundesdatenschutzgesetz) ergibt sich für Unternehmen die Meldepflicht, im Fall eines begründeten Verdachtes über den Verlust und den Zugriff auf Daten die Datenschutz-Aufsichtsbehörde und die Betroffenen zu informieren. Eine solche Benachrichtigung hat dabei sofort zu erfolgen.

Beachten sollte man, dass im Rahmen des § 42a BDSG allein der Verlust von Daten der entsprechenden Datenkategorien noch nicht zu einer Meldepflicht führt. Vielmehr wurde vom Gesetzgeber – als Korrektiv – zusätzlich das Erfordernis einer drohenden schwerwiegenden Beeinträchtigung der Rechte des Betroffenen als Folge des Verlustes eingefügt.

b) Informationspflichten nach dem Telemediengesetz

Auch Telemedienanbietern obliegen einer Meldepflicht. Sie wird in § 15a TMG (Telemediengesetz) geregelt. Die Bezeichnung Telemedienanbieter ist nach der Rechtsprechung weit zu verstehen, sodass in der Praxis jeder Webseitenbetreiber als solcher angesehen werden kann. Die sich daraus ergebenden Meldepflichten bestehen neben denen des BDSG, was häufig übersehen wird.

Besonders zu beachten ist diesbezüglich, dass es sich insofern nicht um besonders sensible Daten (Gesundheitsdaten, Religionszugehörigkeit, etc.) handeln muss. Es reicht bereits, wenn Bestands- oder Nutzungsdaten (Passwort, IP-Adresse, etc.) betroffen sind, sofern § 42a BDSG im Wege der Verweisung des Telemediengesetzes zur Anwendung kommt.

c) Meldepflicht nach der EU-DSGVO

Auch die kürzlich beschlossene DSGVO (Datenschutzgrundverordnung), welche mit einer Übergangszeit von zwei Jahren Ende Mai 2018 Anwendung finden wird, verpflichtet Unternehmen in Fällen von Datenschutzverletzungen zu einer Benachrichtigung der Behörden und Betroffenen. Hervorzuheben sind diesbezüglich die verschärften Bußgeldvorschriften.

Diese Bußgelder ergeben sich aus Art. 79 EU-DSGVO und können im Extremfall insbesondere für kleinere Unternehmen existenzgefährdend sein. So können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes verhängen, wobei das Bußgeld „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein soll. Die Übergangszeit sollten Unternehmen nutzen, um sich mit den neuen Regelungen der Datenschutzgrundverordnung intensiv auseinander zu setzen und das Sicherheitsmanagement gegebenenfalls anzupassen.

Weitere Meldepflichten ergeben sich außerdem für Unternehmen aus dem Bereich der Telekommunikation aus dem Telekommunikationsgesetz (TKG).

Ob eine Meldepflicht nach dem BDSG, dem TMG oder der Datenschutzgrundverordnung vorliegt, ist allerdings stets im Einzelfall zu prüfen. Zudem sollte festgestellt werden, ob eine Informationspflicht der Betroffenen erforderlich ist. Da die Prüfung des Vorliegens einer Meldepflicht in Einzelfällen sehr komplex sein kann, sollte stets der Rat eines Juristen hinzugezogen werden. Denn bei Versäumnis von Meldepflichten bei deren Vorliegen kann es in den genannten Punkten zu hohen Bußgeldern der Datenschutzbehörden kommen.

Schadensersatzanspruch der Betroffenen und Haftung

Sofern sie schuldhaft, also vorsätzlich oder fahrlässig erfolgt, kann eine Datenpanne, also ein Verlust oder eine Offenbarung von Daten, einen Schadensersatzanspruch des Betroffenen nach §§ 7 f. BDSG und §§ 823 ff. BGB auslösen. Dieser ist – neben den bereits zuvor dargestellten bußgeldbewehrten Meldepflichtverletzungen – der zweite „schmerzhafte“ finanzielle Aspekt, der im Rahmen einer möglichen Datenpanne zu beachten ist.

Wenn das Unternehmen nun von einer Cyber-Attacke betroffen ist, gilt es mit allen Möglichkeiten den Vorwurf des Vorsatzes und der Fahrlässigkeit auszuräumen. Da das Unternehmen unter einer sog. Sorgfaltspflicht steht, hat es durch rechtskonformes Verhalten diese Sorgfalt nachzuweisen.

Nur so kann ein schuldhaftes Verhalten ausgeschlossen werden. Im Einzelnen bedeutet dies, dass das Unternehmen im konkreten Fall darlegen muss, dass die erforderlichen Maßnahmen getroffen wurden, um eine datenschutzkonforme Verarbeitung personenbezogener Daten zu ermöglichen.

Möglichkeit der Haftungsbeschränkung

Damit Unternehmen im Falle einer Datenpanne ihre eigene Haftung beschränken können, müssen sie die benannte Sorgfaltspflicht nachweisen. Das Unternehmen muss darlegen können, dass es trotz gesetzmäßigem und sorgfältigem Handeln den Verlust der Daten nicht hätte verhindern können.

Die getroffene Sorgfaltspflicht kann auch durch sog. ISO-Zertifizierungen sowie Audits nachgewiesen werden. Für die Frage, wie hoch der Aufwand hier sein sollte, ist darauf zu verweisen, dass für die notwendigen Sicherheitsvorkehrungen der IT-Systeme eine Investition von ca. zehn Prozent des Jahresumsatzes als angemessen verstanden wird.

Fazit

Die Digitalisierung bringt neben neuen IT-Entwicklungen auch immer neue und vielseitigere Gefahren der Netzkriminalität mit sich: Daher muss und kann nur eine größtmögliche IT-Sicherheit das Ziel sein, um dieser Bedrohung entgegen zu treten.

Der erste Schritt ist es dabei für Unternehmen, dieses Risiko zu erkennen und sich diesem zu stellen. Komplett auszuschließen ist die Gefahr, Opfer einer Cyberattacke zu werden, leider nicht. Daher sollte man sich rechtzeitig mit ihren Gefahren, den Wegen der Vorbeugung sowie der Dringlichkeit einer Auseinandersetzung mit den notwendigen Meldepflichten für den Ernstfall befassen.

IT-Unternehmen sollten daher eine qualifizierte Beratung in Erwägung ziehen. So kann schon im Vorfeld die größtmögliche IT- und Datensicherheit gewährleistet werden, damit das Unternehmen auf den Fall der Fälle vorbereitet ist und den Möglichkeiten der Haftung, hohen Bußgeldern und drohenden Imageschäden entgehen kann.

* Über die Autorin

Simone Rosenthal
Simone Rosenthal (Bild: ISiCO Datenschutz GmbH)

Simone Rosenthal ist Partnerin bei Schürmann Wolschendorf Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts.

Neben ihrer anwaltlichen Tätigkeit ist sie als Geschäftsführerin der ISiCO Datenschutz GmbH tätig, einem Unternehmen, das Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Darüber hinaus arbeitet sie als Dozentin an der deutschen Presseakademie und der Hochschule für Technik und Wirtschaft Berlin.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44184268 / Compliance und Datenschutz )