Blog

19.01.2024 | Von: Rechtsanwalt Michael Hannig

Cybersecurity und Haftung: Rechtliche Aspekte bei Datenverlusten und Sicherheitsverletzungen

In einer zunehmend digitalisierten Welt sehen sich Unternehmen und Organisationen aller Art mit der Herausforderung konfrontiert, ihre Daten vor Cyberangriffen zu schützen, wobei diese nicht nur als klassischer Angriff von außen erfolgen können, z.B. mit Malware, sondern auch mittels Datenabzug von innerhalb. Neben den technologischen Aspekten spielen auch rechtliche Fragen eine entscheidende Rolle, insbesondere wenn es um die Haftung bei Datenverlusten und Sicherheitsverletzungen geht. Die IT-Sicherheit ist dabei letztlich Chefsache, denn die Verantwortung für etwaige Vorfälle trägt in erster Linie die Geschäftsleitung.

1. Grundsätzliche Haftung: 

Die Haftung im Zusammenhang mit Datenverlusten und Sicherheitsverletzungen kann verschiedene rechtliche Aspekte umfassen, darunter Vertragsrecht, Datenschutzgesetze, und in einigen Fällen auch strafrechtliche Verantwortlichkeit. Unternehmen stehen in der Pflicht, angemessene Sicherheitsmaßnahmen zu ergreifen, um persönliche und geschäftskritische Daten zu schützen. Als weiteres Risiko kommt bei Cyberangriffen hinzu, dass in der Folge nicht selten der Betrieb stillsteht, weil Daten verloren gegangen oder verschlüsselt worden sind oder weil die Infrastruktur nicht mehr funktioniert, und dadurch weitere erhebliche finanzielle Nachteile drohen.

2. Datenschutzgrundverordnung (DSGVO):

Die DSGVO hat die Art und Weise, wie Unternehmen mit personenbezogenen Daten umgehen, revolutioniert. Im Falle von Datenschutzverletzungen sind Unternehmen im Regelfall verpflichtet, dies unverzüglich den Datenschutzbehörden und ggf. auch den betroffenen Personen zu melden. Verstöße gegen die DSGVO können zu erheblichen Geldbußen führen, was die finanzielle Haftung bei Datenverlusten betont.

3. Vertragsrechtliche Aspekte:

Unternehmen müssen sicherstellen, dass ihre Verträge und Service-Level-Agreements (SLAs) klare Bestimmungen zur Cybersicherheit und den Konsequenzen bei Verletzungen enthalten. Haftungsklauseln sollten die potenziellen finanziellen Konsequenzen für den Fall eines Sicherheitsvorfalls genau definieren.

4. Versicherungen:

Cybersecurity-Versicherungen werden immer verbreiteter. Unternehmen sollten jedoch darauf achten, dass sie die Bedingungen ihrer Policen verstehen, um sicherzustellen, dass sie ausreichend abgedeckt sind. Nicht alle Policen decken alle Arten von Sicherheitsverletzungen ab.

5. Fallbeispiele:

Die Analyse von aktuellen Fällen von Datenverlusten und Sicherheitsverletzungen bietet wertvolle Einblicke in die rechtlichen Konsequenzen. Erst kürzlich fand ein Ransomware-Angriff auf die Südwestfalen-IT (SIT) statt. Dadurch wurden dutzende Kommunen ihrer IT-Infrastruktur beraubt und dies nicht nur vorübergehend, sondern wochenlang.

Bei einem Angriff auf die Rheinische-Post-Gruppe konnte nicht ausgeschlossen werden, dass auch Kundendaten, u.a. Bankdaten, erbeutet wurden. Hierdurch ergab sich dann für den gesamten Kundenstamm ein erhebliches Risiko von finanziellen Schäden.

6. Best Practices zur Haftungsminimierung:

Unerlässlich für die Haftungsminimierung sind einerseits klare und sinnvolle vertragliche Regelungen sowie andererseits eine bestmögliche Absicherung gegen Angriffe und Schäden, indem ein kompetentes Cyber-Risikomanagement erfolgt, das von entsprechenden technischen und organisatorischen Maßnahmen getragen wird. Abgerundet wird dies durch den Abschluss von entsprechenden Versicherungen, um für den Fall der Fälle vorzusorgen.

Fazit:

Die Haftung bei Datenverlusten und Sicherheitsverletzungen ist ein komplexes und sich ständig weiterentwickelndes Thema. Unternehmen sollten nicht nur in ihre technologische Sicherheitsinfrastruktur investieren, sondern auch die rechtlichen Aspekte verstehen und entsprechende Vorkehrungen treffen. Ein proaktiver Ansatz in Bezug auf Cybersicherheit kann nicht nur vor finanziellen Konsequenzen schützen, sondern auch das Vertrauen der Kunden und Stakeholder stärken.

(Bildquelle: pixabay.com)