Hackerangriffe, Datendiebstahl, Ransomware, Datenpannen und sonstige Cybersecurity Incidents werden immer mehr zu einem zentralen Unternehmensrisiko. Dabei wird oft übersehen, dass dieses Thema nicht nur in technischer, sondern auch in rechtlicher Hinsicht einige Herausforderungen birgt. Der vorliegende Überblick zeigt die wichtigsten Aspekte, die Rechtsabteilungen bei der Vorbereitung und der Reaktion auf Datenpannen kennen sollten.

  • Unternehmensjuristen müssen vor und nach Cybersecurity Incidents handeln
  • Datenpannen oder Angriffe auf die Daten eines Unternehmens führen rechtlich zu einem erheblichen Handlungsbedarf. Auch in rechtlicher Hinsicht ist daher einige Vorbereitung geboten. So gilt es etwa, Notfallpläne vorzubereiten, aber auch die Mitarbeiter zu Fragen des Datenschutzes und der Datensicherheit angemessen zu schulen.
  • Cybersecurity Incidents können erhebliche Rechtsrisiken nach sich ziehen
  • Datenpannen oder Hackerangriffe und ähnliche Vorgänge können beispielsweise in Bezug auf Bußgelder oder Schadensersatzforderungen erhebliche Konsequenzen nach sich ziehen. Entsprechende Risiken drohen etwa bei unzureichender Datensicherheit, verspäteten Datenpannenmeldungen oder Informationen an betroffene Personen oder auch der unvollständigen oder nicht rechtzeitigen Erfüllung von Auskunftsansprüchen.
  • Nicht selten verhängen europäische Datenschutzbehörden nach Cybersecurity Incidents hohe Bußgeler, teilweise sogar dreistellige Millionenbußgelder.
  • Aber auch deutsche Zivilgerichte haben Klägern bislang DSGVO-Schmerzensgelder in Höhe von bis zu 10.000 € pro Fall zugesprochen. Gerade bei einer hohen Anzahl betroffener Personen kommen auch hier erhebliche finanzielle Risiken zusammen.
  • Die Vorbereitung der Reaktion auf Datenpannen und ähnliche Cybersecurity Incicents umfasst auch juristische Fragestellungen. Vor allem müssen Unternehmen sicherstellen, dass auch die Unternehmensjuristen frühzeitig in die Reaktion auf derartige Vorfälle eingebunden werden. Jeder entsprechende Ablaufplan (Cybersecurity Incident Response Plan – CIRP) sollte dies abbilden.

Einen englischsprachigen Überblick über die zehn wichtigsten Punkte, die Unternehmensjuristen über Cybersecurity Incidents wissen sollten, können Sie hier abrufen.

Ein Interview mit unserem Partner Tim Wybitul aus dem Handelsblatt zu Cybersecurity Incidents finden Sie hier.