Haftung bei Cyberangiffen für Datenschutzverletzungen.

 Die Geschäftsleitung steht in der Verantwortung.

Dr. Alexander Krol, Rechtsanwalt der Kanzlei Buse Heberer Fromm
Dr. Alexander Krol
Rechtsanwalt, Fachanwalt für Arbeitsrecht

Haftung bei Cyberangiffen für Datenschutzverletzungen.

Blog: Arbeitsrecht - Beitrag vom 16.05.2023
Cyberattacken werden immer häufiger zum Haftungsrisiko für die Geschäftsleitung von Unternehmen, v.a. auch im Hinblick auf Datenschutz. Denn: Die Geschäftsleitungsorgane haften im Zweifel persönlich.

Mehr Cyberattacken und die Frage nach der Verantwortung

Die Zahl der Cyberattacken auf Unternehmen steigt seit Jahren stetig an. Die drohenden Schäden sind immens und können für Unternehmen existenzbedrohend werden. Kommt es zu einer Cyberattacke, steht deswegen schnell die Frage im Raum: Hätte man das verhindern können? Und: Wer ist rechtlich verantwortlich?

Cyberattacken: auch ein Datenschutz-Risiko

Risiken, die mit Cyberattacken verbunden sind, beschränken sich nicht auf bestimmte Branchen. Schlagzeilen machte beispielsweise die Insolvenz eines Fahrradherstellers, den u.a. der Produktionsausfall nach einer Cyberattacke finanziell in die Knie zwang.

Neben Schäden wie Umsatzeinbußen, Kosten für die Wiederherstellung der Systeme, Schadensersatzforderungen von Kunden wegen Lieferverzögerungen etc. bestehen vor allem im Bereich Datenschutz zusätzliche Haftungsrisiken. Denn im Falle einer Cyberattacke, bei der personenbezogene Daten betroffen sind, steht zusätzlich die Haftung wegen einer Verletzung der Datenschutzgrundverordnung (DSGVO) im Raum: Nach Art. 5 Abs. 1 f) DSGVO muss die Datenverarbeitung in Unternehmen so gestaltet sein, dass unberechtigter Zugriff, Datenverlust und eineZerstörung von Daten möglichst verhindert wird bzw. ein angemessenes Schutzniveau besteht.

Außerdem enthält die DSGVO im Hinblick auf Cyberattacken spezifische Regelungen. Unternehmen sind u.a. verpflichtet,

  • nach einer Cyberattacke rasch die Verfügbarkeit von betroffenen personenbezogenen Daten wiederherzustellen (Art. 32 Abs. 1 c) DSGVO)
  • die Cyberattacke an Datenschutzbehörden und betroffene Personen zu melden (Art. 33, Art. 34 DSGVO)
  • Datenschutzverletzungen, deren Folgen und durchgeführte Abhilfemaßnahmen zu dokumentieren (Art. 33 Abs. 5 DSGVO)

Die Folgen von Verletzungen derartiger DSGVO- Vorschriften: Es drohen neben zusätzlichen Schadensersatzforderungen der Verletzten auch empfindliche Bußgelder.

Überwachung und Organisation: Verantwortung der Geschäftsführung

Das Beispiel des Fahrradherstellers zeigt: Schäden, die eine Cyberattacke verursachen kann, können für Unternehmen existenzbedrohend sein. Deshalb sind IT-Sicherheit und Datenschutz Aufgaben der Geschäftsleitung.

Als rechtliche Grundlage hierfür werden die § 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG i.V.m. § 91 Abs. 2 AktG (ggf. analog) herangezogen: Die Geschäftsleitung ist verpflichtet, das Unternehmen so zu organisieren und zu überwachen, dass schwerwiegende, den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt und passende Gegenmaßnahmen ergriffen werden. Das betrifft laut LG München (LG München I, Urteil v. 10.12.2013, Az.: 5 HKO 1387/10) auch eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation.

Schlussendlich können Vorstände und Aufsichtsräte einer AG für Schäden durch Cyberattacken nach § 93 AktG bzw. § 116 Satz 1 i.V.m. § 93 AktG persönlich, Geschäftsführer einer GmbH nach § 43 Abs. 2 GmbHG ebenfalls persönlich haften. Dabei steht grundsätzlich die gesamte Geschäftsführung in der Verantwortung, auch wenn ggf. spezielle IT-Verantwortlichkeiten existieren. Der Verweis, intern nicht „zuständig“ zu sein, verfängt im Hinblick auf Haftungsfragen nicht per se.

Prävention: effiziente IT-Compliance & exakte Dokumentation unverzichtbar

Um unternehmerische Risiken und persönliche Haftungsrisiken zu reduzieren, ist Prävention der erste Schritt. Dafür muss die Geschäftsleitung auf Basis eines individuellen Risikoprofils angemessene Compliance-Management-Systeme (CMS) so im Unternehmen etablieren, dass eine effektive Risikokontrolle und Schadensprävention stattfinden kann. Entlang eines individuellen Risikoprofils gilt es dann, effiziente Prozesse zu implementieren und die IT-Infrastruktur u.a. mit Schwachstellenscannern und regelmäßigen Penetrationstests zu testen.

Geht es um die Implementierung eines CMS, können ISO-zertifizierte IT-Compliance-Systeme sinnvoll sein, genauso aber auch die Umsetzung entsprechender BSI-Standards. Denn gerade diese Handlungsempfehlung des Bundesamtes für IT-Sicherheit („BSI“) gelten als sehr gute Hilfestellung für den Aufbau eines angemessenen, effizienten CMS.

In rechtlicher Hinsicht ist das von großer Bedeutung: Durfte die Geschäftsleitung vernünftigerweise annehmen, auf Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln (§ 93 Abs. 1 S. 2 AktG), reduziert das persönliche Haftungsrisiken auch im Falle von Cyberattacken erheblich.

Zusätzlich sollten Mitglieder der Geschäftsleitung auf eine genaue Dokumentation von Analyse- und Überwachungsmaßnahmen im Zusammenhang mit der Entwicklung und Etablierung von CMS achten. Denn stehen Haftungsfragen im Raum, ermöglicht eine exakte Dokumentation eine haftungsrechtliche Entlastung. Die Dokumentation sollte den gesetzlichen Anforderungen an ein entsprechendes Risikomanagementsystem genügen.

Reaktion: Notfallplan im Fall von Cyberangriffen

Last but no least sollte die Geschäftsleitung auf den Ernstfall einer Cyberattacke vorbereitet sein. Ein umfassender „Notfallplan“ ist hier nahezu unabdingbar. Hier können Unternehmen auf Vorgaben aus einem Notfallkonzept des BSI zurückgreifen. Die Beachtung der BSI-Standards bzw. Leitlinien für das Erstellen und Durchführen eines Notfallplanes kann die Geschäftsleitung im „Falle eines Falles“ rechtlich entlasten.

Versicherungen & Outsourcing als Lösung?

Stellt sich zuletzt die Frage: Können passende Cyber- oder D&O-Versicherungen oder ein Outsourcing des Themas IT-Sicherheit Haftungsrisiken im Zusammenhang mit Cyberattacken lösen?

Outsourcing kann Haftungsrisiken verschieben. Es bleibt allerdings die Frage, ob auf die Liquidität eines Dienstleisters vertraut werden kann bzw. sollte.

Genauso können Cyberpolicen finanzielle Risiken für das Unternehmen und D&O-Versicherungen persönliche Risiken für die Geschäftsleitung abfedern. Sich allein darauf zu verlassen, ist allerdings keine tragfähige Lösung – zu klar ist der Auftrag an die Geschäftsleitung, sich um (Daten-)Sicherheit im Unternehmen zu kümmern und zu nah liegt der Einwand eines Ausschlusses des Deckungsschutzes wegen einer vermeintlichen wissentlichen Pflichtverletzung.

Cyberattacken sind eine erhebliche Gefahr für Unternehmen und gleichzeitig ein enormes persönliches Haftungsrisiko für die Geschäftsleitung. Insofern gilt es für die Geschäftsleitung in Unternehmen jeder Größe, sich professionell präventiv gegen Cyberattacken aufzustellen, die Systeme laufend zu testen und mit einem Notfallplan für den Fall einer Attacke gewappnet zu sein, um (persönliche) Haftungsrisiken zu minimieren.

Newsletter

Bleiben Sie auf dem Laufenden!
Sie möchten informiert werden, wenn ein neuer Blogbeitrag erschienen ist und erfahren, über welches Thema wir als nächstes berichten? Dann melden Sie sich hier zu unseren Newsletter an:

Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.

Blog: Arbeitsrecht
Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.
02.06.2020

Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht?

Blog: Arbeitsrecht
Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht? Unternehmen gewähren Mitarbeiter*innen mehr Flexibilität – Fünf Dos and Don´ts für HR.
21.06.2022
Tanja Radoux

With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.

Blog: Arbeitsrecht
With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.
30.11.2021
Jan Tibor Lelley, Tobias Vößing

Wie umgehen mit politischem Extremismus am Arbeitsplatz?

Blog: Arbeitsrecht
Wie umgehen mit politischem Extremismus am Arbeitsplatz? Welche Möglichkeiten das Arbeitsrecht im Umgang mit politischen Extremisten am Arbeitsplatz bietet.
09.01.2024
Tobias Grambow

Wenn der Geschäftsführer nichts kann.

Blog: Arbeitsrecht
Wenn der Geschäftsführer nichts kann. Über persönliche Haftung von Geschäftsführern für eigenes Unvermögen und Überwachungsverschulden.
19.12.2023
Peter Fissenewert

Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich.

Blog: Arbeitsrecht
Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich. Keine Übergangsfrist – Bearbeitung anonymer Meldungen wird Pflicht.
17.01.2023
Jan Tibor Lelley
Let’s connect

Möchten Sie Informationen zu aktuellen Rechtsentwicklungen, Einladungen zu Veranstaltungen und Seminaren von uns erhalten? Dann bitten wir Sie um Ihre ausdrückliche Einwilligung.

…zur Einwilligungserklärung

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB