Zu den rechtlichen Ansprüchen, wenn ein Unternehmen Opfer eines Hackerangriffs wird
Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Wer von Angriffen auf Unternehmen hört, denkt schnell an internationale Großkonzerne die von Wirtschaftsspionage betroffen sind – ein grundlegender Fehler: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr sondern wirtschaftlicher Alltag.
Der Wert von Kundendaten ist inzwischen längst erkannt und es kann jeden treffen. Webshop-Betreiber, deren Server gehackt werden etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird um Daten zu stehlen. Wir haben inzwischen alle Fälle erlebt, in denen Bezahlterminals infiltriert wurden um Daten zu stehlen oder wo aus dem Krankenhaus Daten aus dem PC auf einen USB-Stick kopiert wurden. Eines haben alle Fälle gemeinsam: Einen spürbaren wirtschaftlichen und Image-Schaden für das Unternehmen.
Vorsorge vor einem Hack-Angriff
Das Unternehmen ist als Teilnehmer im öffentlichen Handel dazu verpflihctet, angemessene, handelsgebräuchliche und zumutbare Maßnahmen zu treffen, damit der Handelsverkehr nicht durch einen Hackeranriff gestärt wird. Kommt z.B. bei einem Logistikunternehmen wegen eines Hackerangriffs die Zustellung zum Erliegen, werden auf das Unternehmen Schadenersatzforderungen der Kunden zukommen, die ihre Ware zu spät erhalten haben, Das Unternehmen wird deshalb Vorsorge tragen, dass derartige Schendensersatzanspruche versichert sind. sodann gilt es, um die eigene Haftung auszuschließen,, oder sich nicht gegebnüber der #versicherung Reresspflichtig zu machen, die notwendigen Standards zur Verhinderung eines Hackerangriffs einzuhalten.
Zu den Verkehrssicherungspflichten des Unternehmers zählt es auch, dass dieser die zur Verfügung stehenden Möglichkeiten, einen Hackerangriff zu verhindern, nutzen muss. Einzelheiten regelt das IT-Sicherheitsgesetz.
Grundanforderungen sind: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.
Sofortmaßnahmen bei einem Hackerangriff
Wenn ein Unternehmen von einem Angriff betroffen ist und ein „Datenleck“ aufgetreten ist, kollidieren im ersten Moment drei rechtlich relevante Aufgaben, die später Probleme bereiten können:
- Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist die Strafanzeige schnell ins Auge gefasst. Eine Srafanzeige ist häufig nach den Versicherungsbedingugen Voraussetzung für die Zahlung der Versicherungsleistung.
- Die Versicherung braucht schnell eine Schadensmitteilung, wenn man hier zu lange wartet begeht man eine Obliegenheitsverletzung nach VVG
- Die Informationspflicht der Betroffenen nach §42a BDSG muss eingehalten werden.
Ansatzpunkte für Compliance Beratung
Für das Unternehmen stellt sich dann die Aufgabe herauszufinden, ob auf Seiten des Unternehmens – z.B. durch einen Mitarbeiter, ein Mitglied der Geschäftsleitung, eines Zulieferers, usw. – schuldhafte Verhalten, insbesondere durch pflichtwidriges Unterlassen der gebotenen Schutzmaßnahmen,
In dieser Situation sind sänmtliche Verdachtsfälle in einem rechtlichen Compliance Check zu überprüfen.
Rechtsanwalt Dr. Dietmar Höffner hat auf dem Gebiet der rechtlichen Compliance Systeme beträchtliche berufliche Erfahrung gesammelt. Er war auch für verschiedene internationale – indinsche, britische, us-amerikanische – Unternehmen rechtliche Compliance Systeme entwickelt, Checklisten entworfen, und Compliance Systeme begutachtet.
Für eine unverbindliche Beratung stehe ich jederzeit zur Verfügung. Nutzen Sie die Kotanktdaten auf dieser Webseite oder kopieren Sie:
Dr. Dietmar Höffner Rechtsanwalt und Liquidator Straße 229 Nr. 2D D-12109 Berlin |
E-Mail: e-post@kanzlei-hoeffner.de Internet: www.kanzlei-hoeffner.de |