Zum Inhalt Zum Hauptmenü

Suchformular

Datenklau und Schadenersatzklagen: Doppelter Schaden gehackter Unternehmen

Autor: Dr. Axel Anderl, LL.M.

In den letzten Monaten konnte man in den Medien wiederholt von diversen Hackerangriffen und geraubten Daten lesen. Reflexartig wurde dabei die Frage der – bestehenden – strafrechtlichen Verantwortlichkeit der Hacker aufgegriffen. Allerdings ist die Verfolgung der zumeist professionell agierenden und sich weder an Grenzen noch an Zuständigkeiten von Rechtsstaaten haltenden Hacker in der Regel aussichtslos. Für jene, die von Datenklau unmittelbar betroffen sind, stellt sich daher eher die Frage, ob das gehackte Unternehmen zur Verantwortung gezogen werden kann.

So haben die jüngsten Angriffe ja auch schonungslos offen gelegt, dass in Österreich Datenschutz und Sicherheitsmaßnahmen immer noch stiefmütterlich behandelt werden. Damit rücken Ansprüche gegen Unternehmen, die für keine ausreichende Datensicherheit sorgen, in den Brennpunkt, und in den Unternehmen selbst der Regress gegenüber ihren dafür verantwortlichen Führungskräften.

Maßnahmen zum Schutz der Datensicherheit
Das österreichische Datenschutzgesetz sieht in § 14 DSG schon seit jeher die Pflicht des Datenverarbeiters vor, Mechanismen gegen zufällige oder unrechtmäßige Zerstörung und Verlust von Daten zu treffen, für deren ordnungsgemäße Verwendung ebenso zu sorgen wie für die Unzugänglichkeit der Daten für Unbefugte. Hinsichtlich der zu ergreifenden Maßnahmen gibt es keine einheitlichen Vorgaben, sondern es ist zu differenzieren: Werden sensible Daten, wie z.B. im Gesundheitsbereich, verarbeitet, ist ein höherer Sicherheitsstandard anzuwenden.

Gleiches gilt für Finanzdaten, bei denen eine höhere Schadensgeneigtheit besteht. Der Gesetzgeber hat es vermieden, konkret Mechanismen oder gar Programme anzuführen, die eingesetzt werden müssen. In § 14 Abs 2 DSG gibt allerdings eine demonstrative Aufzählung zumindest gewisse organisatorische Rahmenbedingungen vor, die umzusetzen sind. Letztlich ist es aber Sache des Datenverarbeiters, die im Sinne des Gesetzes erforderlichen und angemessenen Maßnahmen zu setzen. Dies hat im Zuge des generellen Sicherheitskonzepts zu erfolgen. Liest man nun aber in den Medien, dass etwa Kontodaten unverschlüsselt auf einem Internetserver abgelegt und nach Übertrag in die Unternehmensdatenbank nicht gelöscht wurden, kann die Einhaltung des notwendigen Sicherheitsstandards sehr wohl hinterfragt werden.

Mögliche Ansprüche der Betroffenen

Verletzt ein Unternehmen die gebotenen Sicherheitsmaßnahmen und kommt es zu einem Hackerangriff, kann dies Schadenersatzansprüche der Betroffenen zur Folge haben. In der Praxis ist aber der Vermögensschaden, der durch den Sicherheitsmangel entstanden ist, oft nur schwer zu beweisen. Wurde z.B. durch einen Hackerangriff eine schwere Erkrankung des Betroffenen oder seine politische Gesinnung offenbart und er danach von seinem Arbeitgeber gekündigt, wird der Betroffene in der Regel den Zusammenhang nicht belegen können. In der Praxis wird ein Arbeitsvertrag meist nicht unter Offenlegung des (verpönten) Motivs beendet. Leichter nachweisbar ist die Kausalität zwischen Preisgabe von Finanzdaten und unberechtigten Vermögenstransaktionen.

Beim Thema Hacking muss auch die relativ neue Data Breach Notification Duty, mit der der Gehackte den Betroffenen über einen systematischen und schwerwiegenden Missbrauch informieren muss, berücksichtigt werden (§ 24 Abs 2a DSG). Selbst wenn das Unternehmen ausreichende Sicherheitsmaßnahmen ergriffen hat, kommt es zu einer Haftung für den verursachten Schaden, wenn das Unternehmen es unterlassen hat, den Betroffenen über den (möglichen) Datenzugriff aufzuklären. Auch hier stellt sich aber das Problem, die tatsächliche vermögensrechtliche Beeinträchtigung nachzuweisen.

Werden nach einem Hackingangriff sensible, strafrechtlich relevante oder die Kreditwürdigkeit betreffende Daten unrechtmäßig und bloßstellend durch Dritte veröffentlicht, etwa auch durch berichtende Medien, kann der Betroffene ausnahmsweise den Verbreiter wegen eines ideellen Schadens belangen, der von der konkreten Schädigung unabhängig ist (§ 33 DSG).

In jedem Fall muss aber auch der Betroffene ab Kenntnis des Eingriffs Maßnahmen zur Schadensminimierung ergreifen, wie z.B. ab Kenntnis des Hackerangriffs sein Konto auf verdächtige Bewegungen überprüfen und gegebenenfalls einen Einspruch gegen Abbuchungen einlegen.

Daneben drohen Hackern auch Verwaltungsstrafen von bis zu EUR 10.000 für Sicherheitsverstöße.

Verantwortung im Unternehmen

Die wichtige Frage der Datensicherheit und Schutzmaßnahmen ist in Unternehmen oft beim IT-Verantwortlichen ausgelagert. Eine interne Kontrolle und Überwachung findet selten statt. Das kann freilich unangenehme Haftungsfolgen für die Geschäftsleitung haben: So handelt es sich beim internen Kontrollsystem und damit auch bei der IT-Security um eine Kernkompetenz des Unternehmens. Damit ist hier die Geschäftsführung als Kollegialorgan verantwortlich. Weder reicht es aus, bloß durch Ressort-Zuteilung einen verantwortlichen Geschäftsführer zu nominieren oder einen unüberwachten IT-Leiter zu installieren. Vielmehr ist die Geschäftsführung als Kollegialorgan dazu verpflichtet, den Ressort zuständigen Geschäftsführer zu überwachen. Diesem wiederum obliegt die sorgfältige Auswahl, Anleitung und Kontrolle des zuständigen IT-Managers.

Damit ist die gelebte Praxis für die Vermeidung einer persönlichen Haftung jedes einzelnen Mitglieds der Geschäftsleitung nicht ausreichend. Es ist richtig, dass in der Praxis bislang die Haftung der Geschäftsführung für Compliance-Verstöße kaum verfolgt wurde. Dies kann sich angesichts des steigenden wirtschaftlichen Drucks sowie der Häufung von medial ausgeweideten Sicherheitsverstößen und öffentlich bekannten Anlassfällen rasch ändern.

Resümee

IT-Security und Datensicherung sind äußerst unternehmenskritische und relevante Bereiche. Wie gerade die jüngsten Anlassfälle zeigen, besteht hier in den österreichischen Unternehmen ein enormer Handlungsbedarf. Wird dieser verschlafen, droht nicht nur den Unternehmen Ungemach, sondern auch der jeweiligen Geschäftsführung.

Weitere Newsletter-Artikel:

Investitionen in China: Neuer Lenkungskatalog
"Green Building" - die grüne Zukunft des Bauens
Gerichtsgebühren erneut auf dem Prüfstand
Auf dem Weg zur Europäischen Schiedsgerichtsbarkeit
Neuer Corporate Governance Kodex
Gleich zwei der renommierten ILO Client Choice Awards
Neue Anwälte bei DORDA BRUGGER JORDIS