Thought Leadership
Schadenersatzansprüche, Haftungsfragen und Meldepflichten bei Cyberangriffen werden von fast jedem zweiten Unternehmen in Deutschland falsch eingeschätzt. Sollten bei einem Hackerangriff sogar personenbezogene Daten gestohlen werden, müssen Unternehmen gemäß EU-Datenschutzgrundverordnung seit Mai beweisen, dass sie kein Verschulden trifft.
Eine aktuelle Umfrage der internationalen Anwaltssozietät Bird & Bird unter Unternehmensentscheidern in Deutschland hat gezeigt: Unternehmen unterschätzen die Gefahren von Cyberangriffen. Nicht einmal jeder zweite Befragte (42 Prozent) sieht ein hohes oder sehr hohes Risiko, überhaupt Opfer einer Hackerattacke zu werden. Doch laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden knapp 70 Prozent der Unternehmen und Institutionen in Deutschland in den Jahren 2016 und 2017 Opfer von Cyberangriffen. Oft wird vor diesem Hintergrund auch das bekannte Zitat verschiedener Sicherheitsexperten bemüht: „Es gibt zwei Gruppen Internetnutzer – die Gehackten und jene, die es noch nicht wissen.“ Eines ist zumindest sicher: die Gefahr, als Unternehmen in der Ära der Digitalisierung Opfer einer Attacke zu werden, steigt.
Unternehmen müssen Meldepflichten beachten
Gleichzeitig herrschen aber auch Unsicherheit und Unwissen, welche rechtlichen Konsequenzen ein Hackerangriff nach sich ziehen kann. So glauben 57 Prozent der Befragten, ihr Unternehmen habe nur dann rechtliche Konsequenzen als Folge eines Cyberangriffs zu befürchten, wenn es fahrlässig gehandelt hat, also etwa Abwehrsysteme nicht aktualisiert oder Sicherheitslücken ignoriert hat. Zwar können in den meisten Fällen Schadensersatzforderungen in der Tat nur geltend gemacht werden, wenn das Unternehmen schuldhaft, also fahrlässig oder vorsätzlich, gehandelt hat. Doch ganz unabhängig vom Verschulden bestehen zumindest bestimmte Pflichten für Unternehmen. Dazu gehören zum Beispiel Meldepflichten, Unterlassungspflichten, aber auch die Pflicht zur Beseitigung der im Fachjargon genannten „Störung“, dies kann etwa ein Datenleck sein. Meldepflichten gegenüber Behörden bestehen vor allem bei Datenpannen, wenn dadurch die Rechte von betroffenen Personen, also etwa Kunden des Unternehmens, gefährdet sind.
Rund die Hälfte (52 Prozent) der befragten Unternehmen ist sich daher sicher, das eine Cyberattacke auf ihr Unternehmen in jedem Fall gegenüber den Behörden meldepflichtig ist. 64 Prozent der Umfrageteilnehmer meinen, ihr Unternehmen könne zudem schnell selbst erkennen, ob ein Hackerangriff dazu führt, dass ein Datenverlust an die zuständigen Behörden gemeldet werden muss. Meldepflichten bestehen in der Tat dann, wenn personenbezogene Daten gestohlen wurden oder unberechtigte Dritte in sonstiger Weise Zugang zu den Daten erhielten – und damit eine Gefährdung für die Betroffenen einhergeht. Auch ein Angriff auf kritische Infrastrukturen ist nach dem IT-Sicherheitsgesetz meldepflichtig.
Neben Meldepflichten gegenüber Behörden steht aber auch die Frage nach der Informationspflicht gegenüber betroffenen Kunden oder Mitarbeitern im Raum. Auch hier herrscht Aufklärungsbedarf. So geben drei von vier Befragten (73 Prozent) an, dass sie, sollten in ihrem Unternehmen personenbezogene Daten gestohlen werden, die davon betroffenen Kunden oder Mitarbeiter in jedem Fall darüber informieren müssten. Jeder Zehnte glaubt, das sei nicht nötig. Tatsächlich besteht nicht in allen Fällen eine Meldepflicht. Vielmehr muss nach der EU-Datenschutzgrundverordnung ein hohes Risiko bestehen, dass die Rechte der Betroffenen verletzt werden. Was genau ein „hohes Risiko“ bedeutet, ist jedoch noch nicht geklärt. Verwaltungspraxis und Rechtsprechung müssen sich erst noch entwickeln. Keine Zweifel an einem hohen Risiko bestehen, wenn es sich beispielsweise um Kreditkartendaten handelt. Dann müssen die Betroffenen unverzüglich informiert werden.
Abwehrfähigkeit von Unternehmen ist verbesserungswürdig
Geht es um die technische Abwehrfähigkeit, lässt die Sorgfalt bei Unternehmen noch zu wünschen übrig: Nur 70 Prozent führen regelmäßig umfassende Sicherheitstests, etwa Penetrationstests, für ihre IT-Systeme durch. Lediglich 60 Prozent der Befragten halten einen vorgefertigten Ablaufplan (Incident Response Plan) im Falle eines erfolgreichen Hackerangriffes für richtig, der die relevanten Unternehmensbereiche zur Risikoabschätzung für interne und externe Daten einbezieht, Konsequenzen erkennt und notwendige Maßnahmen veranlasst. Und nur 63 Prozent der befragten Unternehmen setzen ein System zur Erkennung von Cyberangriffen, beispielsweise ein Intrusion-Detection-System (IDS), ein.
Ohne Datenzugriff steht der Betrieb häufig still
Vor dem Hintergrund der massiven Ransomware-Angriffe im letzten Jahr, herrscht auch bei der Verlässlichkeit der Datenwiederherstellung Luft nach oben. Nur drei von vier Befragte (74 Prozent) sind sich sicher, dass sich in ihrer Firma alle unternehmensrelevanten Daten im Falle eines Verlustes problemlos und zeitnah wiederherstellen lassen. Doch ein reibungsloser Datenzugriff ist heute bei vielen Unternehmen in Deutschland Grundbedingung, um ihren Betrieb aufrecht zu erhalten. 83 Prozent der in der Bird & Bird-Studie Befragten können nicht oder nur kurze Zeit ihren Betrieb aufrechterhalten, wenn sie durch einen systembedingten IT-Ausfall oder einen Cyberangriff lahmgelegt werden. Bei deutlich mehr als jedem Zweiten (63 Prozent) steht der Betrieb ohne funktionierende IT-Systeme tatsächlich still. Jeder Fünfte könnte zumindest eine kurze Zeit ohne Datenzugang überbrücken, müsste dann aber auch wieder auf seine IT zugreifen können, um produktiv zu bleiben. Nur 14 Prozent der Unternehmen sind in ihrer Arbeit nicht von IT abhängig.
Eine Cyberattacke ist keine höhere Gewalt
Ein Stillstand der IT kann im schlimmsten Fall dazu führen, dass das Unternehmen seinen Verpflichtungen nicht mehr nachkommen kann. Dennoch glauben 40 Prozent, dass ihr Unternehmen von Kunden nicht auf Schadenersatz verklagt werden kann, wenn es aufgrund einer Cyberattacke seine Aufträge nicht erfüllen kann – denn das sei höhere Gewalt. Doch höhere Gewalt liegt nur dann vor, wenn es dem Unternehmen ohne eigenes Verschulden unmöglich ist, seine Aufträge zu erfüllen oder eine zugesagte Leistung zu erbringen. Für eine Cyberattacke ist der Unternehmer selbstverständlich nicht verantwortlich. Dafür, dass die Attacke erfolgreich ist, aber schon, wenn seine Sicherheit nicht dem Stand der Technik entspricht. Es wird nur wenige Fälle geben, in denen der Erfolg einer Cyberattacke durch IT-Sicherheitsvorkehrungen, die dem Risiko angemessen sind, nicht hätte verhindert werden können.
Haftung beim Verlust personenbezogener Daten
Neben dem Stillstand von Systemen können Hackerangriffe weitere gravierende Folge haben, wie etwa den Abfluss von sensiblen Daten. 44 Prozent der Befragten meinen, dass ihr Unternehmen nicht dafür belangt werden kann, wenn personenbezogene Daten gestohlen werden, sofern es denn unverschuldet Opfer einer Attacke wurde. Tatsächlich kann ein Unternehmen nur haftbar gemacht werden, wenn es schuldhaft gehandelt hat. Allerdings müssen Unternehmen gemäß der EU-Datenschutzgrundverordnung seit Ende Mai beweisen, dass sie kein Verschulden trifft. Das wird wohl nur in seltenen Fällen möglich sein. Denn Maßstab ist die im Verkehr erforderliche und nicht etwa die übliche Sorgfalt. Da es zum Datenverstoß gekommen ist, gibt es bereits ein deutliches Indiz dafür, dass die erforderliche Sorgfalt nicht eingehalten wurde. Nur wenn es gelingt darzulegen, dass die Datenpanne mit allen verfügbaren Informationen nicht verhindert werden konnte, kann der Entlastungsbeweis für das betroffene Unternehmen geführt werden.
Bedarf an Rechtsbeistand und Versicherungsschutz werden unterschätzt
Im Angriffsfall können neben dem Imageschaden, IT-Kosten im Rahmen der Abwehr und Schadensbehebung, finanzielle Einbußen durch Downtime des Betriebs sowie wirtschaftliche Schäden durch Schadenersatzansprüche Dritter entstehen. Die Kosten durch Cyberattacken können beachtlich werden. Ein Drittel der Befragten geht daher davon aus, dass sie die Softwarefirma, etwa Firewall-Hersteller, in Regress nehmen können, wenn ihr Unternehmen Schaden durch einen Hackerangriff erleidet. Ein Anspruch gegen die Softwarefirma besteht in der Tat dann, wenn diese ihr Leistungsversprechen nicht erfüllt hat. Doch die meisten Security-Anbieter versprechen keine absolute Sicherheit, sondern knüpfen Leistungsversprechen an bestimmte Voraussetzungen. Trotz der rechtlichen Unsicherheiten und der möglichen finanziellen Schäden durch Cyberattacken glauben zudem nur 60 Prozent der Befragten, dass ihr Unternehmen etwa im Falle eines Datendiebstahls juristische Beratung in Anspruch nehmen müsste.
Über die Umfrage
Die Online-Befragung wurde im Februar 2018 zusammen mit dem Marktforschungsunternehmen YouGov durchgeführt. Befragt wurden 250 Entscheider aus dem oberen und mittleren Management von Unternehmen in Deutschland ab einer Mitarbeiterzahl von 50 Personen.
Eine Infografik sollte hier zum Download stehen.
Jörg-Alexander Paul ist Rechtsanwalt und Partner bei Bird & Bird. Er berät Banken, Finanzdienstleister, IT-Unternehmen und andere Unternehmen in vielschichtigen Software-, Datenbank- und E-Commerce-Projekten. Ein weiterer Schwerpunkt seiner Tätigkeit besteht in der Beratung zu Datenschutz, IT-bezogenem Urheberrecht und zu Fragen des internationalen Rechts. Ein besonderer Fokus liegt hierbei in der Strukturierung und Ausgestaltung von Softwarevertriebsmodellen.
www.twobirds.com/de
