Ein Beitrag von Karsten Krupna und Frank Bongers, Rechtsanwälte bei Esche Schümann Commichau.
Es vergeht kaum eine Woche, in der nicht über einen neuen Hackerangriff beziehungsweise eine Cyberattacke berichtet wird. Sicher ist offenbar nur, dass nichts sicher ist. Dies mussten in der Vergangenheit selbst die europäische Zentralbank und der Bundestag feststellen.
Dabei sind die Tätermotivationen und damit die betroffenen Unternehmen sehr unterschiedlich. Dies zeigen beispielhaft die dschihadistische Hackerattacke gegen den französischen Sender TV5Monde, der Hackerangriff auf die Singlebörse Lovoo und auf das Seitensprungportal Ashley Madison sowie der mit dem Datenklau verbundene Erpressungsversuch bei dem Hamburger Finanz-Startup Kreditech.
Jedes Startup ist potentiell betroffen, denn ein erfolgreicher Hackerangriff kann selbst durch die beste IT-Infrastruktur nicht 100-prozentig verhindert werden. Das drohende Schadenspotential eines Datenverlustes ist enorm und reicht von Vermögensschäden, dem Verlust von Geschäfts- und Betriebsgeheimnissen an die Konkurrenz, dem Ausfall oder der Beeinträchtigung von IT-Infrastrukturen und der Erpressung bis zu einem nachhaltigen Reputationsschaden des Unternehmens.
Problematik
Gelangen zum Beispiel Kundendaten in falsche Hände, mag ein erster Impuls des Unternehmers sein, alles dafür zu tun, dass niemand außerhalb des Unternehmens von dem Sachverhalt erfährt. Schließlich möchte man potentielle Investoren nicht verschrecken, eine Prüfung einer Aufsichtsbehörde vermeiden und natürlich sicherstellen, dass Kunden weiterhin auf die Sicherheit ihrer Daten vertrauen.
Unternehmen, die durch ein Schweigen über den Vorfall zumindest einen Reputationsschaden abwenden wollen, ist bei einem Hackerangriff die „Vogel-Strauß-Strategie“ allerdings keinesfalls zu empfehlen.
Zunächst ist nach dem Bundesdatenschutzgesetz die unberechtigte Kenntnisnahme von personenbezogenen Risikodaten (wie Bankdaten) durch Dritte unverzüglich gegenüber der Aufsichtsbehörde und den Betroffenen (Kunden) zu melden. Schweigen kann in diesem Fall mit einem Bußgeld bis zu 300.000 Euro geahndet werden. Darüber hinaus ist nicht ausgeschlossen, dass die Täter im Rahmen einer Erpressung gezielt mit der Veröffentlichung von Daten drohen und zur Verstärkung der Drucksituation einzelne Daten ins Netz stellen.
Weiterhin müssen die internen Schwachstellen berücksichtigt werden. Bereits ein frustrierter Mitarbeiter genügt und der Vorfall ist über Facebook und Co der gesamten Netzgemeinde zugänglich. Die Wahrscheinlichkeit, dass der Hackerangriff also öffentlich wird, ist relativ hoch. Wird schließlich bekannt, dass das Unternehmen den Datenvorfall bewusst verschweigen wollte, dürfte der Reputationsschaden – den es ursprünglich zu vermeiden galt – wesentlich höher sein.
Allerdings schützt auch der erforderliche offene Umgang mit dem Datenvorfall gegenüber den Betroffenen und der Aufsichtsbehörde nicht vor weiteren negativen Konsequenzen. Erfährt die Presse von einem Hackerangriff auf bekanntes Startup, sind die Schlagzeilen schnell geschrieben.
In der Folge muss das Unternehmen nicht nur diverse Berichterstattungen prüfen und gegebenenfalls Medienanfragen koordinieren, sondern aufgrund der Wirkungsweise und Reichweite einer medialen Berichterstattung auch mit einem Vertrauensverlust von Kunden und Investoren rechnen. Dies kann insbesondere das Image von Startups mit einem datenreichen Geschäftsmodell oder in einem sehr sensiblen Bereich wie Seitensprungportalen nachhaltig beschädigen.
Werden in diesem Zusammenhang noch weitere Datenschutzprobleme bei dem betroffenen Unternehmen bekannt, kann das gesamte Geschäftsmodell in Schieflage geraten. Zusätzlich bündelt der Datenschutzvorfall erhebliche interne Personalkräfte und erfordert meist die Unterstützung durch externe Sachverständige und Rechtsexperten.
Sehen betroffene Kunden noch Raum für Schmerzensgeldklagen, kommt es zu einem Kampf an unterschiedlichen Fronten. Zeit- und kostenintensive Auseinandersetzungen mit der Aufsichtsbehörde, den betroffenen Kunden und möglicherweise der Staatsanwaltschaft sind die Folge. Selbst ein vergleichsweiser kleiner Hackerangriff kann so zu einem erheblichen Schäden führen.
Risiko- und Schadensbegrenzung durch richtige Vorbereitung
Es ist daher wichtig, bereits präventiv Maßnahmen zu ergreifen, die die Risiken und Schäden für das Unternehmen begrenzen. Dazu zählen:
- die Durchführung der erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit gem. § 9 BDSG
- die Schulung und Anweisung der Mitarbeiter zum richtigen Umgang mit der IT und personenbezogenen Daten
- die Sorgfältige Gestaltung risikoerhöhender Sachverhalte im Personalbereich: zum Beispiel die Nutzung privater Geräte (Bring your own device) und die private Nutzung dienstlicher E-Mail- und Internetfunktionen
- die regelmäßige Überwachung der Einhaltung der Sicherheitsmaßnahmen
- die Aufstellung eines Notfallplans für effektives Krisenmanagement im Falle eines Cyberangriffs, einschließlich einer Planung für die Erfüllung der Meldepflichten und
- gegebenenfalls der Abschluss einer Versicherung gegen Cyber-Risiken
Fazit
Datenschutz ist Vertrauenssache. Wer das Vertrauen seiner Kunden und Geschäftspartner erhalten will, sollte alle erforderlichen Maßnahmen zur Verhinderung einer erfolgreichen Cyber-Attacke ergreifen. Im Ernstfall sollte ein etablierter Notfallplan greifen, der insbesondere die Erfüllung der gesetzlichen Informationspflichten umfasst. Zusätzlich sollten Startups die Erforderlichkeit einer Versicherungslösung prüfen, um das teils erhebliche Schadenspotential abzufedern.
Vertiefte Ratschläge rund ums Thema Datenschutz bekommen Teilnehmer des Workshops Datenschutz für Startups: Risiken vermeiden – Chancen nutzen von Esche Schümann Commichau am 26. Oktober 2015 beim Gründerszene Legal Day.
