Hier finden Sie uns

IPSILON Consulting Group

 

Deutschland:

D-61420 Oberursel (Frankfurt)

 

Österreich:

A-3500 Krems/Donau

 

Bulgarien:

BG-1197 Sofia

 

 

 

 

 

Diese Seite wird überprüft von der Initiative-S

Meldepflicht und Haftungsrisiken 

Bisher war es für Unternehmen verlockend, Datenpannen zu verschweigen. Doch schon aktuell gibt es allerlei Meldepflichten, die sich aus den Datenschutzgesetzen und anderen Regelungen ergeben. Doch wie kommt ein Unternehmen am besten seiner Verantwortung nach?

Cyber Security ist für Unternehmen in Zeiten der Digitalisierung unerlässlich. Jedoch werden die Anforderungen, die daran gestellt werden, zunehmend komplexer, da Cyber-Angriffe immer professioneller und zielgerichteter werden. Die wachsende Bedrohung durch Angriffe gegen die IT-Infrastruktur und auch die Daten bei Unternehmen selbst wird trotz prominenter Fälle in der jüngeren Vergangenheit von Unternehmen aber immer noch stark unterschätzt.

Fehlendes Wissen und die Scheu vor einem hohen finanziellen Aufwand sind hier die wesentlichen ausschlaggebenden Gründe. Gerade aber der finanzielle Aufwand ist eine Milchmädchenrechnung, denn im Ernstfall können betroffenen Unternehmen beträchtliche Imageschäden und hohe Bußgelder drohen.

Doch unter welchen Voraussetzungen wird ein Unternehmen meldepflichtig gegenüber Behörden, Kunden oder Mitarbeitern? Wann besteht Haftung oder gar Schadensersatz? Und können die Haftungsrisiken gegenüber Dritten wie zum Beispiel Geschäftspartnern vertraglich eingeschränkt werden?

Was ist im Fall einer „Datenpanne“ zu beachten und welche Pflichten kommen auf das betroffene Unternehmen zu?

Um eine sogenannte „Datenpanne“ zu vermeiden, ist es unabdingbar, sich rechtzeitig mit der Gefährdungslage und den Möglichkeiten der Vorbeugung zu beschäftigen. Von einer Datenpanne ist die Rede, wenn man Opfer einer Cyberattacke geworden ist, bei der personenbezogene Daten durch unberechtigten Zugriff auf Datensammlungen betroffen sind.

Unberechtigt ist ein solcher Zugriff immer dann, wenn der Betroffene nicht zugestimmt hat und der Zugriff nicht durch das Bundesdatenschutzgesetz (BDSG) oder sonstige Rechtsvorschriften erlaubt ist. Besonderes Augenmerk ist diesbezüglich auf die Meldepflichten zu legen.

Welche Meldepflichten ergeben sich?

1.      Grundvorschrift zur Meldepflicht nach dem BDSG

Aus § 42a BDSG ergibt sich für Unternehmen die Meldepflicht, im Fall eines begründeten Verdachtes über den Verlust oder den Zugriff auf Daten die jeweilige Datenschutz-Aufsichtsbehörde (in der Regel den Datenschutzbeauftragten des jeweiligen Bundeslandes) und die Betroffenen selbst nachweislich zu informieren. Eine solche Benachrichtigung hat dabei sofort zu erfolgen.

Beachten sollte man, dass im Rahmen des § 42a BDSG allein der Verlust von Daten der entsprechenden Datenkategorien noch nicht zu einer Meldepflicht führt. Vielmehr wurde vom Gesetzgeber – als Korrektiv – zusätzlich das Erfordernis einer drohenden schwerwiegenden Beeinträchtigung der Rechte des Betroffenen als Folge des Verlustes eingefügt.

Verstößt ein Benachrichtigungsverpflichteter gegen seine Pflicht aus § 42a BDSG, dann begeht er eine Ordnungswidrigkeit (§ 43 Abs. 2 Nr. 6 BDSG) und unter Umständen auch eine Straftat (§ 44 Abs. 1 BDSG). Der strafprozessuale Grundsatz, dass niemand sich selbst zu bezichtigen hat, führt hier zu einer Kollision für den Informationspflichtigen. Gemäß § 42a Satz 6 BDSG sieht der Gesetzgeber vor, dass die Benachrichtigung bzw. die darin enthaltenen Informationen in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten nicht ohne den Willen des Benachrichtigungspflichtigen verwendet werden dürfen. Gemäß § 43 Abs. 2 Nr. 7, Abs. 3 BDSG droht ein Bußgeld von bis zu 300.000 Euro für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt.

2.      Informationspflichten nach dem Telemediengesetz

Auch Telemedienanbietern obliegen einer Meldepflicht gemäß dem Telemediengesetz (TMG). Die Meldepflicht wird insbesondere im § 15a TMG geregelt. Die Bezeichnung Telemedienanbieter ist nach der Rechtsprechung weit zu verstehen, sodass in der Praxis jeder Anbieter einer Webseite oder eines Internetshops als solcher angesehen werden kann. Sehr oft wird übersehen, dass dadurch Meldepflichten zusätzlich zu denen des BDSG (und in Zukunft der EU-DSGGVO) ergeben.

Besonders zu beachten ist diesbezüglich, dass es sich insofern nicht um besonders sensible Daten (Gesundheitsdaten, Religionszugehörigkeit, etc.) handeln muss. Es reicht bereits, wenn Bestands- oder Nutzungsdaten (Passwort, IP-Adresse, etc.) betroffen sind, sofern § 42a BDSG im Wege der Verweisung des Telemediengesetzes zur Anwendung kommt.

3.      Meldepflicht nach der EU-DSGVO

Auch die im April 2016  beschlossene EU-Datenschutzgrundverordnung (EU-DSGVO), die mit einer Übergangsfrist von zwei Jahren am 25. Mai 2018 zur Anwendung gelangen wird, verpflichtet Unternehmen in Fällen von Datenschutzverletzungen zu einer Benachrichtigung der Behörden und der jeweils Betroffenen. Hervorzuheben sind diesbezüglich die extrem verschärften Bußgeldvorschriften sowie der nicht delegierbaren Haftung durch die Unternehmensleitung/Geschäftsführung.

Diese Bußgelder ergeben sich aus Art. 79 EU-DSGVO und können im Extremfall insbesondere für kleinere Unternehmen existenzgefährdend sein. So können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes verhängen, wobei das Bußgeld „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein soll. Die Übergangszeit sollten Unternehmen nutzen, um sich mit den neuen Regelungen der EU-DSGVO intensiv auseinander zu setzen und das Sicherheitsmanagement gegebenenfalls anzupassen.

Weitere Meldepflichten ergeben sich außerdem für Unternehmen aus dem Bereich der Telekommunikation aus dem Telekommunikationsgesetz (TKG).

Ob eine Meldepflicht nach dem BDSG, dem TMG oder der EU-DSGVO vorliegt, ist allerdings stets im Einzelfall zu prüfen. Zudem sollte festgestellt werden, ob eine Informationspflicht der Betroffenen erforderlich ist. Da die Prüfung des Vorliegens einer Meldepflicht in Einzelfällen sehr komplex sein kann, sollte stets der Rat eines Fachjuristen hinzugezogen werden. Denn bei Versäumnis von Meldepflichten bei deren Vorliegen kann es in den genannten Punkten zu hohen Bußgeldern der Datenschutzbehörden kommen.

Schadensersatzanspruch der Betroffenen und Haftung

Sofern eine Datenpanne bzw. ein Datenverlust schuldhaft, also vorsätzlich oder fahrlässig erfolgt, kann sich dadurch ein Schadensersatzanspruch des Betroffenen nach §§ 7 f. BDSG und §§ 823 ff. BGB ergeben. Dieser ist – neben den bereits zuvor dargestellten bußgeldbewehrten Meldepflichtverletzungen – der zweite „schmerzhafte“ finanzielle Aspekt, der im Rahmen einer möglichen Datenpanne zu beachten ist.

Wenn das Unternehmen nun von einer Cyber-Attacke betroffen ist, gilt es mit allen Möglichkeiten den Vorwurf des Vorsatzes und der Fahrlässigkeit auszuräumen. Da das Unternehmen unter einer sog. Sorgfaltspflicht steht, hat es durch rechtskonformes Verhalten diese Sorgfalt nachzuweisen.

Nur so kann ein schuldhaftes Verhalten ausgeschlossen werden. Im Einzelnen bedeutet dies, dass das betroffene Unternehmen im konkreten Fall darlegen muss, dass die erforderlichen Maßnahmen getroffen wurden, um eine datenschutzkonforme Verarbeitung personenbezogener Daten zu ermöglichen und das ein Schutz gemäß dem Stand der Technik implementiert ist.

Möglichkeit der Haftungsbeschränkung

Damit Unternehmen im Falle einer Datenpanne ihre eigene Haftung beschränken können, müssen sie die benannte Sorgfaltspflicht nachweisen. Das Unternehmen muss darlegen können, dass es trotz gesetzmäßigem und sorgfältigem Handeln den Verlust der Daten nicht hätte verhindern können.

Die getroffene Sorgfaltspflicht kann auch durch sog. ISO-Zertifizierungen sowie Audits nachgewiesen werden. Für die Frage, wie hoch der Aufwand hier sein sollte, ist darauf zu verweisen, dass für die notwendigen Sicherheitsvorkehrungen der IT-Systeme eine Investition von ca. zehn Prozent des Jahresumsatzes als angemessen verstanden wird.

Zusammenfassung

Die fortschreitende Digitalisierung bringt neben neuen Entwicklungen in der Informationstechnologie auch immer neue und vielseitigere Gefahren der Cyberkriminalität mit sich. Daher muss und kann nur eine größtmögliche Cyber Security das Ziel sein, um dieser Bedrohung konsequent entgegen zu treten.

Der erste Schritt ist es dabei für jedes Unternehmen, sich dem Thema Cyber Security zu stellen, die Risiken zu erkennen und diese in regelmäßigen Intervallen zu untersuchen. Auszuschließen ist die Gefahr, Opfer einer Cyberattacke zu werden, leider nie. Daher sollte man sich rechtzeitig mit ihren Gefahren, den Wegen der Vorbeugung sowie der Dringlichkeit einer Auseinandersetzung mit den notwendigen Meldepflichten für den Ernstfall befassen. Auf Grund der zeitkritischen Informationspflichten sollten auch diese Prozesse entsprechend vorbereitet werden um im Bedarfsfall nicht unnötig Zeit zu verlieren.

Unternehmen sollten daher eine qualifizierte Beratung in Erwägung ziehen. So kann schon im Vorfeld die größtmögliche IT- und Datensicherheit gewährleistet werden, damit das Unternehmen auf den Fall der Fälle vorbereitet ist und den Möglichkeiten der Haftung, hohen Bußgeldern oder gar Strafverfahren sowie drohenden Imageschäden vermeiden kann.