06.08.2016 von

Wozu Sie bei Datendiebstahl verpflichtet sind

Die Angst vor Datendiebstahl beschäftigt Unternehmen in der ganzen Welt. Die konkreten Maßnahmen vor, aber vor allem nach einem erfolgten Datendiebstahl bedeuten eine weitreichende Verantwortung für Unternehmensjuristen.

Im Jahr 2020 wird die weltweit verarbeitete Datenmenge bei etwa 40 Zettabytes liegen. Dies entspricht der 57-fachen Menge an Sandkörnern an allen Stränden der Welt zusammengerechnet. Ein Gutteil dieser Daten hat dabei einen unternehmensbezogenen Hintergrund, enthält personenbezogene Informationen oder Geschäftsgeheimnisse. Das Thema Datendiebstahl fordert daher nicht nur die IT-Verantwortlichen, sondern auch die Rechtsabteilungen.

Präventive Maßnahmen gegen Datendiebstahl

Der österreichische Gesetzgeber hat im Datenschutzgesetz festgehalten, dass Unternehmen zur Implementierung risikoadäquater und kosteneffizienter Sicherheitsmaßnahmen verpflichtet sind, die die Vertraulichkeit, die Verfügbarkeit und die Integrität personenbezogener Daten gewährleisten sollen.

Auch nach der ab Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) besteht die Pflicht, risikoangemessene technische und organisatorische Sicherheitsmaßnahmen zu implementieren. Als eine der Maßnahmen, deren Implementierung jedenfalls zu erwägen ist, nennt die DSGVO die Fähigkeit, auf Sicherheitsvorfälle rasch reagieren zu können.

Welche rechtlichen Notfallmaßnahmen sind im Ernstfall umzusetzen?

Technische Maßnahmen werden jedoch nicht immer ausreichen, um einen Datendiebstahl zu verhindern. Dies gilt insbesondere, wenn ein großer ausländischer Konzern oder gar ein Geheimdienst (sog. „Advanced Persistent Threats“ oder „APTs“) es auf ein Unternehmen abgesehen haben sollte, aber auch bei einem Datendiebstahl durch Mitarbeiter helfen technisch-organisatorische Maßnahmen nicht immer.

Der Unternehmer hat, sobald er vom Datendiebstahl erfährt, die Betroffenen vom Datendiebstahl grundsätzlich zu informieren. Diese als Data-Breach-Notification bezeichnete Informationspflicht dient insbesondere dazu, den Betroffenen die Möglichkeit zu geben, auf die Sicherheitsverletzung entsprechend zu reagieren: Wurde ein Passwort gestohlen, das nicht nur auf der Website des Unternehmens, sondern auch auf anderen Websites verwendet wurde, muss der Betroffene es rasch ändern können.

Eine Notifikationspflicht besteht nach geltendem Recht dann nicht, wenn der Datendiebstahl „keine systematisch und schwerwiegend unrechtmäßige Datenverwendung“ darstellt. Weder das Gesetz noch die Rechtsprechung liefern nähere Anhaltspunkte, was darunter zu verstehen ist.

Einer Notifikationspflicht entgeht der Unternehmer außerdem dann, wenn mit der Verständigung ein unverhältnismäßiger Aufwand verbunden wäre (indem der Aufwand für die Verständigung den drohenden Schaden übersteigt) oder den Betroffenen überhaupt kein Schaden droht (z.B. da die kompromittierten Daten nach dem Stand der Technik verschlüsselt waren).

Wer ist bei Datendiebstahl zu informieren?

Unternehmen müssen beachten, dass sie oft nicht nur Daten ihrer eigenen Mitarbeiter, sondern auch von Kunden, Geschäftspartnern und Dritten verarbeiten und daher auch diese durch einen Datendiebstahl kompromittiert werden können. Wie die Data-Breach-Notification der Betroffenen zu erfolgen hat, ist gesetzlich nicht vorgeschrieben. Eine Information per Email oder Brief, aber auch, so die Kontaktdaten nicht vorhanden sein sollten, ein Inserat in einer Zeitung oder ein Hinweis auf der Homepage des Unternehmens können daher als Warnung vor dem erfolgten Datendiebstahl dienen. Es liegt dem Grunde nach beim Unternehmen sicherzustellen, dass auch tatsächlich jeder Betroffene die Information erhält. Jedoch ist der notwendigerweise zu betreibende Aufwand im Rahmen einer Zumutbarkeitsprüfung von der Höhe des drohenden Schadens abhängig.

Den Betroffenen sind grundsätzlich all jene Informationen mitzuteilen, um das bestehende Risiko beurteilen sowie Schäden effektiv vermeiden zu können. Welche Informationen das aber genau sind, ist in den gesetzlichen Regelungen nicht definiert.

Unter welchen Umständen haftet das Unternehmen für Datendiebstahl?

Ist das betroffene Unternehmen seinen Informationspflichten nicht oder nicht ordnungsgemäß nachgekommen, so kann es für den eingetretenen Schaden haftbar gemacht werden. Dies ist nur konsequent, ist doch der Zweck der als Schutzgesetze ausgestatteten Regelungen zur Data-Breach-Notification, Vermögensschäden von Betroffenen zu vermeiden. Das Unternehmen haftet für jene Vermögensschäden, die bei ordnungsgemäßer Information nicht eingetreten wären. Diesen Schaden zu beweisen, liegt zwar beim Betroffenen selbst, hinsichtlich der Kausalität kommt es jedoch zu einer Beweiserleichterung, sodass kein strikter Kausalzusammenhang nachzuweisen ist. Vielmehr muss grundsätzlich das Unternehmen beweisen, dass der Schaden auch bei ordnungsgemäßem Verhalten eingetreten wäre.

In einzelnen Fällen kann es zusätzlich zu einem Anspruch auf immateriellen Schadenersatz kommen. Dies ist dann der Fall, wenn schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt werden, die einer Bloßstellung gleichkommt. Je nach Art und Weise der Erörterung oder Darstellung der Informationen aus dem Datendiebstahl in der Öffentlichkeit liegt eine solche Bloßstellung (z.B. Veröffentlichung einer Krankheitsgeschichte oder der sexuellen Orientierung) unter Umständen vor, wenn dem Betroffenen die Selbstbestimmung über sein der Umwelt eröffnetes Persönlichkeitsbild genommen wird.

Unabhängig von Schadenersatzforderungen droht bei Verletzung der Informationspflicht derzeit eine Verwaltungsstrafe von bis zu 10.000 Euro.

Datenschutz-Grundverordnung bringt Verschärfungen bei Datendiebstahl

Die Datenschutz-Grundverordnung (DSGVO) wird erhebliche Änderungen für die Notifikationspflichten nach einem Datendiebstahl bringen.

Denn nach der ab 25. Mai 2018 geltenden DSGVO wird grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde zu melden sein. Die einzige Ausnahme ist, wenn es voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen gibt (z.B. weil die personenbezogenen Daten auf sichere Weise verschlüsselt waren). Die Meldung hat unverzüglich und möglichst innerhalb von 72 Stunden zu erfolgen. Besteht ein hohes Risiko für die Rechte und Freiheiten der Betroffenen, so sind auch diese nach der DSGVO sogar unverzüglich zu informieren.

Verletzungen dieser Notifikationspflichten nach der DSGVO werden mit bis zu 10 Millionen Euro oder zwei Prozent des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu bestrafen sein, je nachdem, welcher der Beträge höher ist. Es liegt auf der Hand, dass eine derartige Strafe existenzbedrohend sein kann.

Conclusio

Die zunehmende Auslagerung von Daten, die Vernetzung zwischen Unternehmen, Mitarbeitern und Kunden, sowie das rasante Wachstum der Datenbestände sorgen für eine exponentiell steigende Gefährdung durch Datendiebstahl. Die rechtlichen Risiken können nur dadurch minimiert werden, dass risikoangemessene Sicherheitsmaßnahmen implementiert werden. Sollte es dennoch zu einem Datendiebstahl kommen, sind die geltenden Pflichten zur Data-Breach-Notifikation unbedingt zu beachten und sind die Betroffenen unverzüglich zu informieren.

Compliance-Checkliste "Digitale Transformation" herunterladen

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.