Schadenersatzansprüche, Haftungsfragen und Meldepflichten bei Cyberangriffen werden von fast jedem zweiten Unternehmen in Deutschland falsch eingeschätzt. Das ergab eine aktuelle Umfrage der internationalen Anwaltssozietät Bird & Bird in Zusammenarbeit mit Marktforscher YouGov Deutschland im Februar 2018 unter 250 Unternehmensentscheidern.
Wenn es um grundsätzliche Pflichten des Datenschutzes geht, ist die Sensibilität in deutschen Unternehmen hoch. 93 Prozent der Befragten geben an, dass in ihrem Unternehmen personenbezogene Daten gespeichert sind, die sie auf jeden Fall vor unbefugtem Zugriff schützen müssen. 85 Prozent der Befragten sind sich sicher, tatsächlich alle Vorgaben zum Schutz personenbezogener Daten zu befolgen.
Rechtliche Implikationen von Cyberattacken sind unzulänglich bekannt
Während das Bewusstsein für die allgemeinen Pflichten des Datenschutzes recht hoch ist, unterschätzen Unternehmen die Gefahren von Cyberangriffen: Nur 42 Prozent der Befragten sehen ein hohes (34 Prozent) oder sehr hohes (8 Prozent) Risiko, Opfer einer Cyberattacke zu werden – und wiegen sich obendrein durch Falschannahmen und Halbwissen in vermeintlicher Sicherheit. So geben 60 Prozent der Unternehmensvertreter an, vollständig über die rechtlichen Konsequenzen eines Hackerangriffs im Bilde zu sein. Doch bei genauerer Nachfrage ergeben sich jedoch gravierende Wissenslücken, die rechtliche und wirtschaftliche Konsequenzen nach sich ziehen können.
So glauben 57 Prozent der Umfrageteilnehmer, ihr Unternehmen habe nur dann rechtliche Konsequenzen als Folge eines Cyberangriffs zu befürchten, wenn es fahrlässig gehandelt hat, also etwa Abwehr-Systeme nicht aktualisiert oder Sicherheitslücken ignoriert hat. Tatsächlich können in den meisten Fällen Schadensersatzforderungen nur geltend gemacht werden, wenn das Unternehmen schuldhaft, also fahrlässig oder vorsätzlich, gehandelt hat. Andere Pflichten für Unternehmen bestehen dagegen unabhängig vom Verschulden. Dazu gehören zum Beispiel Meldepflichten, Unterlassungspflichten oder unter bestimmten Umständen auch die Pflicht zur Beseitigung der Störung, dies kann etwa ein Datenleck sein. Meldepflichten bestehen vor allem bei Datenpannen, wenn dadurch die Rechte der betroffenen Personen gefährdet sind.
Haftungsfragen bei Verlust personenbezogener Daten unklar
44 Prozent der Befragten meinen, dass ihr Unternehmen nicht dafür belangt werden kann, wenn personenbezogene Daten gestohlen werden, sofern es denn unverschuldet Opfer einer Attacke wurde. 52 Prozent der Unternehmen halten sich hingegen in jedem Fall für haftbar, wenn ihnen personenbezogene Daten durch einen Hackerangriff oder ähnliches gestohlen werden. Tatsächlich kann ein Unternehmen nur haftbar gemacht werden, wenn es schuldhaft gehandelt hat. Allerdings müssen Unternehmen gemäss der EU-Datenschutzgrundverordnung seit Ende Mai beweisen, dass sie kein Verschulden trifft. Das wird nur in seltenen Fällen möglich sein. Denn Massstab ist die im Verkehr erforderliche und nicht etwa die übliche Sorgfalt. Da es zum Datenverstoss gekommen ist, gibt es bereits ein deutliches Indiz dafür, dass die erforderliche Sorgfalt nicht eingehalten wurde. Nur wenn es gelingt darzulegen, dass die Datenpanne mit allen verfügbaren Informationen nicht verhindert werden konnte, kann der Entlastungsbeweis geführt werden - erklären die Experten bei Bird & Bird.
Mangelndes Wissen um Schadenersatzansprüche Dritter und gegen Softwarehersteller
Ähnliche Verunsicherung herrscht in Sachen Schadenersatzansprüche: 40 Prozent glauben, dass ihr Unternehmen von Kunden nicht auf Schadenersatz verklagt werden kann, wenn es aufgrund einer Cyberattacke seine Aufträge nicht erfüllen kann – denn das sei höhere Gewalt. Höhere Gewalt liegt jedoch nur dann vor, wenn es dem Unternehmen unmöglich ist, seine Aufträge zu erfüllen oder eine zugesagte Leistung zu erbringen. Zusätzlich müssen dieser Leistungspflicht unüberwindliche Hindernisse entgegenstehen. Eine Cyberattacke kann in der Regel aber nicht als unüberwindliches Hindernis gesehen werden.
Ein Drittel (32 Prozent) der Befragten geht davon aus, dass sie die Softwarefirma (etwa Firewall-Hersteller, Viren-Scan-Software etc.) verklagen beziehungsweise in Regress nehmen können, wenn ihr Unternehmen Schaden durch einen Hackerangriff erleidet. 35 Prozent glauben hingegen, dass das nicht möglich ist. Rund ein Drittel (34 Prozent) hat dazu keine Meinung oder weiss es schlichtweg nicht.
Ein Anspruch gegen die Softwarefirma besteht in der Tat dann, wenn diese ihr Leistungsversprechen nicht erfüllt hat. Doch die betreffenden Unternehmen versprechen meist keine absolute Sicherheit, sondern knüpfen Leistungsversprechen an bestimmte Voraussetzungen.
Unsicherheiten in Sachen Meldepflicht
Cyberangriffe können zudem Meldepflichten unterliegen. Rund die Hälfte (52 Prozent) der befragten Unternehmen ist sich sicher, das eine Cyberattacke auf ihr Unternehmen in jedem Fall gegenüber den Behörden meldepflichtig ist. Jeder Fünfte (22 Prozent) glaubt das nicht und jeder Vierte (26 Prozent) kann dazu keine Aussage machen oder weiss es nicht. 64 Prozent der Umfrageteilnehmer meinen, ihr Unternehmen könne schnell selbst erkennen, ob ein Hackerangriff dazu führt, dass ein Datenverlust an die zuständigen Behörden gemeldet werden muss. Meldepflichten bestehen dann, wenn personenbezogene Daten gestohlen wurden oder unberechtigte Dritte in sonstiger Weise Zugang zu den Daten erhielten – und damit eine Gefährdung für die Betroffenen einhergeht. Auch ein Angriff auf kritische Infrastrukturen ist nach dem IT-Sicherheitsgesetz meldepflichtig.
Neben Meldepflichten gegenüber Behörden steht aber auch die Frage nach der Informationspflicht gegenüber betroffenen Kunden oder Mitarbeitern im Raum. Auch hier herrscht Aufklärungsbedarf. So geben drei von vier Befragten (73 Prozent) an, dass sie, sollten in ihrem Unternehmen personenbezogene Daten gestohlen werden, die davon betroffenen Kunden oder Mitarbeiter in jedem Fall darüber informieren müssten. Jeder Zehnte glaubt, das sei nicht nötig, 17 Prozent wissen es nicht oder machen dazu keinen Angaben. Tatsächlich besteht nicht in allen Fällen eine Meldepflicht. Vielmehr muss nach der EU-Datenschutzgrundverordnung ein hohes Risiko bestehen, dass die Rechte der Betroffenen verletzt werden. Was genau ein „hohes Risiko“ bedeutet, ist jedoch noch nicht geklärt. Keine Zweifel an einem hohen Risiko bestehen, wenn es sich beispielsweise um Kreditkartendaten handelt. Dann müssen die Betroffenen unverzüglich informiert werden.
Bedarf an Rechtsbeistand und Versicherungsschutz werden unterschätzt
Im Angriffsfall können neben dem Imageschaden, IT-Kosten im Rahmen der Abwehr und Schadensbehebung, finanzielle Einbussen durch Downtime des Betriebs sowie wirtschaftliche Schäden durch Schadenersatzansprüche Dritter entstehen. Die Kosten durch Cyberattacken können beachtlich werden. Dennoch geben nur 44 Prozent der befragten Unternehmen an, mittels einer Cyberversicherung gegen Schäden durch Angriffe versichert zu sein. Jeder Vierte (24 Prozent) hat eine solche Versicherung nicht, ein Drittel der Befragten (31 Prozent) kann nicht sagen, ob sein Unternehmen einen solchen Versicherungsschutz geniesst.
Trotz der rechtlichen Unsicherheiten und der möglichen finanziellen Schäden durch Cyberattacken glauben nur 60 Prozent der Befragten, dass ihr Unternehmen etwa im Falle eines Datendiebstahls juristische Beratung in Anspruch nehmen müsste. 19 Prozent halten das für unnötig, 21 Prozent sind sich nicht sicher oder können dazu nichts sagen.
Über die Umfrage
Die Online-Befragung wurde im Februar 2018 zusammen mit dem Marktforschungsunternehmen YouGov durchgeführt. Befragt wurden 250 Unternehmensentscheider aus dem oberen und mittleren Management in Deutschland ab einer Mitarbeiterzahl von 50 Personen.
