30. März 2023 News
Data Breach – Meldeverpflichtungen und Konsequenzen
Was ist damit gemeint und was sind die Folgen für das Unternehmen bzw. das Management?
Mehr Informationen +
Oft liest man im Zusammenhang mit Cybervorfällen von einem Data Breach – was ist jedoch damit gemeint und was sind die Folgen für das Unternehmen bzw. das Management, wenn es zu einem solchen kommt? In diesem Artikel möchten wir dieses Thema etwas näher beleuchten.
Data Breach – Definition
Ein Data Breach (Datenpanne) tritt auf, wenn unautorisierte Personen auf sensible, vertrauliche oder geschützte Daten zugreifen, diese kopieren, stehlen oder die Daten anderweitig offengelegt werden. Ein Data Breach kann auf verschiedene Weise erfolgen, z.B. durch den Diebstahl von Geräten, die Malware-Infektion von Systemen, Phishing-Angriffe, Schwachstellen in der IT-Infrastruktur oder auch schlicht und einfach menschliches Versagen.
Data Breach – Die Folgen
Data Breaches können erhebliche Auswirkungen auf Unternehmen und Einzelpersonen haben, da sie dazu führen können, dass vertrauliche Informationen, wie personenbezogene Daten, geistiges Eigentum oder Geschäftsgeheimnisse, in die falschen Hände fallen.
1. Verlust von Vertrauen: Wenn ein Unternehmen Opfer eines Data Breach wird, kann dies das Vertrauen seiner Kunden und Partner beeinträchtigen. Viele Menschen sind zu Recht besorgt über den Schutz ihrer persönlichen Daten, und ein Data Breach kann dazu führen, dass sie das Vertrauen in das betroffene Unternehmen verlieren.
2. Rufschädigung: Ein Data Breach kann auch zu einer Rufschädigung des betroffenen Unternehmens führen. Wenn die Medien Wind von dem Vorfall bekommen, was aufgrund der umfassenden Melde- und Benachrichtigungspflichten meist der Fall sein wird, kann dies zu einer negativen Berichterstattung führen, die das Image des Unternehmens nachhaltig beeinträchtigen kann.
3. Finanzielle Schäden: Ein Data Breach kann auch erhebliche finanzielle Schäden verursachen. Das Unternehmen kann mit hohen Kosten für die Behebung des Vorfalls, wie z.B. das Engagement von IT-Sicherheitsexperten, die Aufrüstung der IT-Infrastruktur und die Durchführung von Ermittlungen und Rechtsstreitigkeiten, konfrontiert sein. Darüber hinaus können Bußgelder, Strafen und Schadenersatzforderungen von Betroffenen oder Behörden entstehen.
4. Identitätsdiebstahl: Wenn personenbezogene Daten gestohlen werden, können Kriminelle diese nutzen, um Identitätsdiebstahl zu begehen. Die entsprechenden Folgen können für die betroffenen Personen im besten Fall lästig sein, aber auch teils erhebliche finanzielle und persönliche Schäden verursachen. Lässt sich der Schaden dem Data Breach zuordnen, können entsprechende Schadenersatzforderungen an das Unternehmen gestellt werden.
Melde- und Benachrichtigungspflichten
Data Breaches stehen sehr oft im Zusammenhang mit personenbezogenen Daten, auch aus dem Grund, da der Gesetzgeber diese Daten als besonders schützenswert erachtet. Die DSGVO sieht die Verpflichtung der oder des Verantwortlichen zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (in Österreich ist dies die Datenschutzbehörde) vor (Artikel 33).
Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen diese Verletzung bekannt wurde. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen.
Eine Meldung ist jedenfalls zu erstatten, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Folgenabschätzung hat durch den Verantwortlichen zu erfolgen und birgt, wenn auch ein Haftungsrisiko.
Eine Mustermeldung gem. Art 33 DSGVO kann von der Datenschutzbehörde bezogen werden.
Eine Benachrichtigung an die betroffenen Personen hat zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Es gibt jedoch auch Ausnahmen von der Verpflichtung zur Benachrichtigung – so kann die Benachrichtigung unterbleiben, wenn:
- der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung (wenn beispielsweise eine Kundendatenbank nur verschlüsselt in falsche Hände gekommen ist)
- der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht (wenn die öffentliche Zugangsmöglichkeit beispielsweise temporär bestanden hat, dies behoben wurde und durch Zugriffsprotokolle nachgewiesen werden kann, dass keine missbräuchliche Verwendung stattgefunden hat)
- dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden (hierauf dürfte sich mutmaßlich die GIS im Zusammenhang mit dem Datenleck berufen).
Mögliche Schäden für ein Unternehmen durch einen Data Breach
Die konkreten Folgen für ein Unternehmen können vielfältig sein. Unmittelbare Kosten durch die Datenpanne können folgendermaßen entstehen:
- Beratung durch Rechtsbeistand
- Benachrichtigung der betroffenen Kunden und Personen
- Schadensersatzforderungen durch betroffene Personen
- Kosten für die forensischen Untersuchungen des Data Breaches
Es gibt jedoch auch langfristige Probleme, die durch einen Data Breach entstehen können:
- Kunden bzw. Lieferanten kündigen ihre Zusammenarbeit – Verlust von Aufträgen
- Erhöhung der Prämie oder Verlust des Versicherungsschutzes der Cyber-Versicherung
- langfristige Imageschäden
Es ist durchaus möglich, dass ein Data Breach ein Unternehmen bis hin zur Insolvenz begleitet, wenn im Vorfeld die falschen Entscheidungen getroffen werden. Aufgrund der recht jungen Rechtsmaterie gibt es noch kaum tragfähige höchstgerichtliche Entscheidungen dazu. Einschlägige Vergleiche von Unternehmen mit Betroffenen lassen aber vermuten, dass man Ansprüche aufgrund DSGVO-Verletzungen nicht auf die leichte Schulter nehmen darf, insbesondere, wenn sich Betroffene in Sammelklagen zusammenschließen – die Gleichartigkeit der Ansprüche im Falle eines Data Breach erleichtert diese Vorgehensweise und minimiert für die einzelnen Betroffenen das Kostenrisiko.
Entscheidungen durch die Unternehmensleitung
Für die Unternehmensleitung stehen im Falle eines Data Breach schwerwiegende Entscheidungen an – vorab muss festgestellt werden, welchen Umfang der Data Breach hat. Dies klingt trivial, ist jedoch meist nicht so einfach festzustellen und erfordert oft die Hinzuziehung von forensischen Experten. Im Zuge der Analyse wird dann festgestellt, welche Daten wie lange zugänglich waren und ob bzw. wie viele Zugriffe darauf stattgefunden haben.
In weiterer Folge muss durch das Management eine Folgenabschätzung getroffen werden, um daraus etwaige Melde- und Benachrichtigungspflichten ableiten zu können.
Ist der Fall bereits über die Medien publik geworden, muss man auch entscheiden, wie medial damit umgegangen wird und welche Maßnahmen getroffen werden können, um die Folgen dadurch möglichst gering zu halten.
Es sind hier viele Entscheidungen zu treffen, welche den unternehmerischen Erfolg zukünftig beeinflussen werden.
TEILEN SIE DEN ARTIKEL
Unsere Produkte
D&O
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
CYBER
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
SPEZIAL STRAF-RECHTSSCHUTZ
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
CRIME
Finanzinstitutionen,
Kommerzielle Kunden
VERMÖGENSSCHADEN-HAFTPFLICHT
Finanzinstitute, Private Equity, Werbung & Medien etc.
Lesen Sie hier weiter
News
Ein perfekter Angriff: Wie ich fast mein GMail-Konto verloren hätte
Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.
WEITERLESEN
News
Der EU AI Act: Regulierung für Künstliche Intelligenz
Am 1. August 2024 trat der "AI Act" der Europäischen Union in Kraft.
WEITERLESEN
News
Fehleinschätzungen zu NIS2: Wie Unternehmen die Richtlinie unterschätzen!
Über die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Sie stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung.
WEITERLESEN← ZURÜCK ZUR ÜBERSICHT
INFINCO FINANCIAL
LINES BROKERS
