Die Bedeutung von IT-Sicherheit und Haftungsrisiken für Unternehmen

Datenschutzrecht-Blog

it sicherheitIn der heutigen digitalen Welt stellen Cyberangriffe eine erhebliche Bedrohung für Unternehmen dar. Diese Angriffe können nicht nur die IT-Systeme lahmlegen, sondern auch existenzbedrohende finanzielle Schäden verursachen. Viele Organisationen investieren daher nicht nur in ihre IT-Sicherheit, sondern versichern sich auch gegen entsprechende Risiken.

Aktuelles EuGH-Urteil zur Haftung bei Datenschutzverstößen

Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023 (C-340/21) bietet Anlass, die eigenen IT-Sicherheitsmaßnahmen und den Versicherungsschutz noch einmal detailierter zu überprüfen. Der EuGH beschäftigte sich in diesem Fall mit der Haftungsfrage bei Datenschutzverstößen und erhöht dadurch das Haftungsrisiko für Unternehmen.

Worum ging es?

Im Juli 2019 kam es bei der Nationalen Agentur für Einnahmen (NAP) in Bulgarien zu einem unbefugten Zugriff auf das IT-System, wobei personenbezogene Daten von über sechs Millionen Betroffenen im Internet veröffentlicht wurden. Einige Betroffene reichten daraufhin Schadensersatzklagen ein. Die Klägerin in dem nun konkret vor dem EuGH verhandelten Fall behauptet, durch die Veröffentlichung ihrer Daten einen immateriellen Schaden erlitten zu haben, da sie befürchtet, dass ihre Daten zukünftig missbräuchlich verwendet werden könnten.

Die NAP verteidigte sich, indem sie angab, angemessene technische und organisatorische Maßnahmen (TOM) ergriffen zu haben und der Abfluss der Daten allein auf einem nicht vorhersehbaren Angriff von externen Dritten beruht. Das zuständige bulgarische Gericht wies die Klage ab, woraufhin die Klägerin Berufung einlegte. Das damit befasste bulgarische Berufungsgericht legte dem EuGH im Zuge des Verfahrens mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) vor.

Was sagt der EuGH hierzu?

  1. Keine automatische Haftung bei „erfolgreichem“ Hackerangriff: Der EuGH verneinte den Rückschluss, dass ein erfolgreicher Hackerangriff automatisch die Ungeeignetheit der getroffenen TOM bedeutet. TOM müssen zwar immer aus der zukünftigen Sicht festgelegt werden, dies bedeutet aber nicht, dass Sie zwangsweise immer auch alle Fälle berücksichtigen müssen. Ein gänzlicher Ausschluss aller Risiken ist nämlich nach Ansicht des EuGHs weder verhältnismäßig noch praktisch umsetzbar.
  2. Beweislast für die Geeignetheit der TOMs: Der datenschutzrechtlich Verantwortliche trägt nach Ansicht des EuGHs allerdings in allen Fällen die Beweislast für die Geeignetheit der TOM gemäß Art. 32 DSGVO. Dies begründet der Gerichtshof mit dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 und Art. 24 DSGVO.
  3. Nachweis des immateriellen Schadens: Der EuGH stellte fest, dass ein immaterieller Schaden keine bestimmte Erheblichkeitsschwelle überschreiten muss. Es obliegt jedoch der betroffenen Person, den immateriellen Schaden nachzuweisen.
  4. Keine Gefährdungshaftung für Verantwortliche: Der EuGH begründet keine Gefährdungshaftung für die Verantwortlichen, was bedeutet, dass nicht jede Datenschutzverletzung automatisch zu einer Haftung führt.

Konsequenzen und Empfehlungen für Unternehmen

Dieses Urteil verdeutlicht die Notwendigkeit einer fortlaufenden Überprüfung und Anpassung der Sicherheitsmaßnahmen in Unternehmen:

  • Verbesserung der IT-Infrastruktur: Regelmäßige Updates und Verbesserungen der IT-Sicherheitsmaßnahmen sind unerlässlich. Dies betrifft kritische Systeme wie Firewalls, Spam-Filter, Virenschutzprogramme, VPN Verbindungen aber auch weitere Aspekte der IT-Sicherheit wie Mitarbeitersensibilisierung, Mitarbeiterschulung und die Konfiguration der Systeme sollten nicht vernachlässigt werden.
  • Dokumentation der TOMs: Eine sorgfältige Dokumentation der ergriffenen Maßnahmen kann im Haftungsfall entscheidend sein. Idealerweise werden diese bereits mit den für die jeweilige Wahl verbundenen Kriterien hinterlegt, damit im Haftungsfall schnell reagiert werden kann und eine Begründung für das getroffene Schutzniveau vorgelegt werden kann.
  • Überprüfung des Versicherungsschutzes: Der Versicherungsschutz sollte regelmäßig überprüft und gegebenenfalls angepasst werden, um auch im Falle von Schadensersatzklagen ausreichend abgesichert zu sein.

Fazit

Insgesamt zeigt das Urteil des EuGH, dass Verantwortliche in Unternehmen ihre Sicherheitsmaßnahmen ständig überprüfen und anpassen müssen, um den wachsenden Herausforderungen im Bereich der IT-Sicherheit gerecht zu werden und Haftungsrisiken zu minimieren.

 

Autor
Benjamin Schmidt
Benjamin Schmidt
Counsel - Dipl. Jur. - Externer Datenschutzbeauftragter (TÜV)
Herr Schmidt gehört der DURY GRUPPE bereits seit Juni 2015 an und ist seit Januar 2016 Mitarbeiter bei DURY LEGAL. Neben seiner juristischen Ausbildung ist Herr Schmidt auch zertifizierter externer Datenschutzbeauftragter (TÜV). In dieser Funktion betreut er unsere Mandanten im Bereich E-Commerce, Datenschutz und IT-Recht.