SBS Firmengruppe Logos

| Datenschutzrecht

Rechtliche Risiken nach einer Cyberattacke für Verantwortliche


Was muss ich tun, wenn ich Opfer von einer Cyberattacke war?

Cyberattacken und damit verbundene Datenschutzverletzungen stellen Unternehmen vor große Herausforderungen. Wie steht es um die Cybersicherheit von Unternehmen? Neben unternehmensinternen Schäden durch Reputationsschäden, finanziellen Verlusten und der Unterbrechung des Betriebsablaufs drohen Unternehmen auch hohe Schadensersatzzahlungen und Bußgelder. Natürlich ist es erstmal verlockend Cyberangriffe Unternehmensintern zu klären und vor der Öffentlichkeit zu vereiteln, um das Image zu schützen. Von solch einem Verhalten sollten Unternehmen jedoch zwingend absehen und stattdessen schnell reagieren, um die schädigenden Auswirkungen möglichst gering zu halten.

Das kann teuer werden: Wer beim Thema Datenschutz fahrlässig handelt, schadet sich selbst und Andere

Verantwortlichen drohen rechtliche Risiken! Handeln Geschäftsführung und IT-Verantwortliche beim Thema Datenschutz fahrlässig oder grob unvorsichtig und erleiden Dritte dadurch einen Schaden kann es für das Unternehmen teuer werden. Neben der Meldung des Vorfalls sind die Verantwortlichen verpflichtet die Hintergründe des Cyberangriffs darzulegen. Kann ein betroffenes Unternehmen darlegen, dass angemessene Sicherheitstechniken eingesetzt werden und diese zum Zeitpunkt des Vorfalls auch auf dem neuesten Stand waren und auch nicht auf andere Weise grob fahrlässig gehandelt wurde, indem zum Beispiel bekannte Sicherheitslücken nicht rechtzeitig geschlossen wurden, kann es so seine Unschuld beweisen und sich aus der Haftung exkulpieren.


Cybersicherheit: Die richtige Vorgehensweise bei einem Cyberangriff

1. Meldung bei der zuständigen Behörde

Teil der 2018 eingeführten Datenschutzgrundverordnung (DSGVO) ist die Pflicht, Datensicherheitsverletzungen der zuständigen Behörde zu melden.

Unternehmen müssen bei einer Verletzung des Datenschutzes von personenbezogenen Daten innerhalb von 72 Stunden nach Bekanntwerden der Sicherheitsverletzung die zuständigen Behörden informieren. Bei der Meldung müssen die Unternehmen möglichst präzise beschreiben, welche Art von Cyberangriff bzw. Datenschutzverletzung vorliegt und wie viele Datensätze betroffen sind. Außerdem muss eingeschätzt werden, mit welchen Folgen durch die Verletzung zu rechnen ist. Bei Untätig werden droht bereits ein Bußgeld wegen Datenschutzverstoß. Aus diesem Grund sollten bei einem Cyberangriff die IT- Beauftragten und die Rechtsabteilung im Unternehmen umgehend informiert werden.

2. Kunden informieren

Das Unternehmen hat nach einem Angriff umgehend zu prüfen, ob durch den Angriff ein hohes Risiko für die persönlichen Rechte und Freiheiten der Kunden entstanden ist. Ist dies der Fall, so muss das Unternehmen neben der Datenschutzaufsichtsbehörde auch die betroffenen Kunden unverzüglich informieren. Diese Pflicht ergibt sich aus Art. 34, DSGVO.

Eine Verletzung des Schutzes personenbezogener Daten meint die Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang von personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden.

Es ist die Pflicht eines jeden Unternehmens personenbezogene Daten so zu verarbeiten, dass  deren Sicherheit und Vertraulichkeit hinreichend gewährleistet ist. Dazu gehört auch, dass Unbefugten der Zugang zu den Daten verwehrt wird und Geräte, mit denen diese verarbeitet werden, nicht unberechtigt benutzt werden können. Bereits aufgrund einer solchen Benachrichtigung können Ansprüche gegen das Unternehmen geltend gemacht werden, denn eine solche Benachrichtigung weist bereits darauf hin, dass das Unternehmen möglicherweise datenschutzmaßnahmen nicht nachgekommen sind und es zu einem Datenschutzverstoß gekommen ist. Ist der Aufwand für die persönliche Information der Kunden unverhältnismäßig groß, dann ist alternativ eine öffentliche Bekanntmachung der Datenschutzverletzung unter Angabe des betroffenen Personenkreises ausreichend.

3. Schadensersatzforderungen abwehren und Versuch der außergerichtlichen Einigung

Nach einem Datenleck können Kunden Schadensersatzansprüche gegen die Unternehmen geltend machen. Insbesondere Masseklagen können für die Unternehmen teuer werden. Die Höhe des Schadensersatzanspruchs ist dabei vom Einzelfall abhängig. Nicht nur internationale Unternehmen sind betroffen sondern eigentlich jedes Unternehmen das eine größere Anzahl an Kundendaten verarbeitet

Art. 82 DSGVO regelt den Anspruch auf Ersatz eines immateriellen Schadens wie folgt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“


Erforderlich ist also ein Verstoß gegen die Vorschriften der DSGVO und ein daraus resultierender Schaden. Schadensersatzklagen wegen Datenschutzverstößen wurden in den letzten Jahren vielfach vor den deutschen Gerichten erhoben.  Kleine Datenschutzverstöße können schon hohe Schadenssummen begründen. Auf der anderen Seite wurden Klagen abgewiesen, weil ein Schaden nicht ausreichend dargelegt werden konnte. Art. 82 DSGVO bereitet vielen Gerichten jedoch enorme Auslegungsprobleme, weshalb viele Gerichtsverfahren ausgesetzt wurden und vielfach der Europäische Gerichtshof angerufen wurde, wie der Art. 82 DSGVO auszulegen ist.


Maßnahmen zum Schutz personenbezogener Daten frühzeitig umsetzen

Um solche meldepflichtigen Sicherheitsvorfälle zu vermeiden, sollte zwingend auf die Einhaltung von Maßnahmen zur Datensicherheit geachtet werden. Art. 5 Abs. 2 DSGVO verpflichtet die Verantwortlichen aktiv Maßnahmen zu ergreifen, und diese für die Verarbeitung personenbezogener Daten in seinen Datenverarbeitungsvorgängen umzusetzen. Zu diesen Grundsätzen gehört, dass Daten so verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist. Darunter fällt auch der Schutz vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der Daten. Dazu hat der Verpflichtete geeignete technische und organisatorische Maßnahmen einzusetzen, um eine unbefugte oder unrechtmäßige Verarbeitung der personenbezogenen Daten zu verhindern. Dass diese Maßnahmen eingehalten werden, ist das Unternehmen verpflichtet den Betroffenen nachzuweisen. Eine gute Vorbereitung auf den Ernstfall und die konsequente Umsetzung von Maßnahmen zum Schutz personenbezogener Daten kann in einem eingetroffenen Ernstfall entlastend vor Gericht sein und haftungsmindernd oder sogar haftungsbefreiend wirken.

► Verstöße gegen diese Maßnahmen können teuer werden!

Es gibt immer mehr Anwälte, die sich genau auf solche Schadensersatzforderungen nach einem Datenschutzvorfall spezialisieren. Aus diesem Grund steigt natürlich auch bei den Kunden die Bereitschaft mit Schadensersatzforderungen gegen die Unternehmen vorzugehen. Neben den hohen Schadensersatzforderungen ist insbesondere auch an die mögliche Haftung der Geschäftsführer und Vorstände zu bedenken.

Wie sollten Unternehmen sich verhalten

Unternehmen sollten schon vorweg Maßnahmen ergreifen, um einen Cyberangriff zu verhindern und diese Maßnahmen auch zwingend dokumentieren. Kann ein Unternehmen vor Gericht nachweisen, dass diese Maßnahmen nur durch erheblich kriminelles Verhalten ausgehebelt werden können, kann mit einer verminderten Haftung gerechnet werden.

Sollte es trotz vorsorglicher Maßnahmen zu einem Cyberangriff kommen, ist schnelle Reaktion und Handlung gefordert. Für die Reaktion auf den Angriff (sog. Cyber incident response) sollten IT-Spezialisten, Experten für Krisenkommunikation und spezialisierte Anwälte für das Datenschutzrecht bereitstehen.

Auf die richtige Vorbereitung kommt es an - Cybersicherheit im Auge behalten!

Die schlechte Nachricht zuerst: Cyberangriffe lassen sich leider nicht komplett vermeiden. Die gute Nachricht ist jedoch, dass sich Schäden mithilfe von Cybersicherheit mit geeigneten IT- Schutzprodukten vorbeugen lassen und so hohe Kosten für Anwälte und Schadensersatzzahlungen vermieden werden können. Ein professional organisierter Angriff in Form eines Penetrations Testing kann zu Trainingszwecken sinnvoll sein, um im Ernstfall eines echten Cyberangriffs richtig vorbereitet zu sein.

Durch die vielen umzusetzenden Maßnahmen im Falle eines Cyberangriffs, hat die DSGVO bei vielen Unternehmen für Nervosität gesorgt. Gerade die hohen Bußgelder sollten Unternehmen abschrecken mit dem Thema leichtsinnig umzugehen. Besonders besorgniserregend sind diese Maßnahmen für kleinere und mittlere Unternehmen, welche nicht selten weniger professionelle IT-Abteilungen besitzen.

► Erfahren Sie mehr zum Datenschutzrecht


SBS LEGAL - Anwalt für Datenschutzrecht & Datenschutzbeauftragte

Haben Sie weitere Fragen zur DSGVO oder sind Sie sich nicht sicher, ob Sie die notwendigen Voraussetzungen als Unternehmen erfüllen? Dann sind Sie bei SBS LEGAL - Kanzlei für Datenschutzrecht genau richtig.

Als Kanzlei für Datenschutzrecht betreut SBS LEGAL seit Jahren Unternehmen kompetent in allen Belangen des Datenschutzes – sowohl innerhalb als auch außerhalb der EU. Unser Team aus erfahrenen Rechtsanwälten sorgt dafür, dass auch Sie den hohen Anforderungen des Datenschutzrechts in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen.

Haben Sie noch Fragen zum Thema Datenschutz oder Cybersicherheit?

Wir stehen auch Ihnen gern als Partner zur Seite. Sie brauchen Hilfe im Datenschutzrecht? Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.

Ihr SBS LEGAL Team

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Zurück zur Blog-Übersicht