Mit den sich rasch entwickelnden Technologien nehmen auch Cyberangriffe an Raffinesse zu. Jahr für Jahr geraten mehr Unternehmen ins Visier – Tendenz steigend. Idealerweise sind präventive Maßnahmen im Unternehmen längst etabliert. Doch findet der Angreifer eine Sicherheitslücke im System, ist ein Schaden kaum vermeidbar. Was also tun, wenn der Ernstfall eintritt? [...]
In einem solchen Fall sind vordefinierte Handlungspläne, kurze Entscheidungswege, schnelle Reaktion, sowie gegebenenfalls ein Experte auf »Speed-Dial« entscheidend. Betroffene Unternehmen sollten sämtliche Schäden, Abwehr- und Wiederherstellungskosten sorgfältigst dokumentieren, um diese für den Fall der Geltendmachung ihrer Ansprüche beziffern zu können. Der Schaden kann – so wie eine Cyberattacke auch – vielfältig sein: von Lösegeldzahlungen über Betriebsunterbrechungen infolge von Lahmlegung der Unternehmensinfrastruktur und Umsatzverlusten bis hin zu langwieriger Wiederherstellung der Systeme. Besonders schwer wiegen Reputationsverluste, die das Unternehmensimage nachhaltig schädigen können.
Auch rechtlich gesehen ergeben sich mehrere Haftungsebenen. In erster Linie wäre der Täter zur Verantwortung zu ziehen, doch bleibt dieser oft anonym, was die Durchsetzung erheblich erschwert. Geschäftspartner können Ansprüche wegen Vertragsverletzung geltend machen: Dazu zählen Vertragsstrafen sowie Ansprüche wegen Verzug der Leistung, insbesondere Rücktritt vom Vertrag oder sogar Schadenersatzforderungen. Die konkrete Geltendmachung hängt davon ab, ob, bzw. inwiefern dem Geschäftspartner der Vorfall vorwerfbar ist. Die Auswahl der externen IT-Dienstleister ist nicht zuletzt deshalb von besonderer Bedeutung.
Oft werden hier auch vertragliche Haftungsbeschränkungen greifen, die es daher bereits vor dem Vertragsabschluss gründlich zu prüfen gilt. Geht es bei dem Vorfall um personenbezogenen Daten, gilt es die datenschutzrechtliche Rollenverteilung zu klären, um Klarheit über allfällige Ansprüche zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach der DSGVO zu schaffen. Hinzu kommen Ansprüche der betroffenen Personen nach der DSGVO, einschließlich des immateriellen Schadens. Für Letzteren reicht bereits die bloße Befürchtung eines Missbrauchs der Daten. Auch eigene Mitarbeitende können ins Visier geraten – je nach individueller Rolle und Grad der Verantwortung, wobei das Dienstnehmerhaftungsprivileg zu beachten ist. Nicht auszuschließen und im Einzelfall zu beurteilen sind auch allfällige Ansprüche der Gesellschaft gegenüber der Geschäftsführung.
Wenn es passiert ist, gilt: Ruhe bewahren, Krisenplan aktivieren, Schaden begrenzen und konsequent aufarbeiten. Die Einbindung externer Fachleute kann dabei nicht nur bei der Bewältigung, sondern auch zum Schutz der Unternehmensreputation entscheidend sein.
*Mag. Andreas Schütz und Tereza Grünvaldska sind Juristen der Kanzlei Taylor-Wessing.
Be the first to comment