Unternehmer haften bei Kundendatenklau!

670

Aufgrund aktueller Ereignisse, fürchten immer mehr Unternehmen „Opfer“ von Datenklau zu werden. Unternehmen kann durch den Verlust oder die unzulässige Veröffentlichung von Unternehmensdaten ein großer finanzieller Schaden entstehen.

Wer haftet dem Kunden, wenn dessen Daten beim Datenklau verloren gehen bzw. zum Nachteil des Kunden verwertet werden? Klare Antwort: das datenverarbeitende Unternehmen, wenn es schuldhaft gehandelt hat. Unternehmen sollten daher erhöhte Aufmerksamkeit auf Ihre Datensicherheitsmaßnahmen legen, denn mangelnde Sorgfalt beim Datenmanagement kann teuer werden.

Datenklau –„Diebstahl von Wissen“.
Der Einsatz von Informations- und Kommunikationstechnologischen (IKT-)Einrichtungen ermöglicht den Unternehmen ein schnelles, effizientes und standardisiertes Vorgehen bei betrieblichen Abläufen und insbesondere beim Kundenmanagement. Dementsprechend werden große Mengen von Informationen in elektronischer Form gespeichert, verarbeitet und in (globalen) Netzen zur Verfügung gestellt. Dabei sind sich jedoch viele Unternehmer nicht bewusst, dass es sich dabei nicht nur um Daten handelt, sondern um Informationen von oft unschätzbarem Wert. Die stetig wachsenden Gefährdungspotentiale – sei es durch Hacker, Wirtschaftskriminelle oder die eigenen Mitarbeiter – geben daher vermehrt Anlass, verstärkte Maßnahmen im Bereich des Datensicherheitsmanagements zu setzen.

Wo lauern die Gefahren?
Die Arten von Bedrohungen sind heutzutage vielfältig und können die Sicherheit einer Organisation und deren schützenswerten Informationen stark beeinträchtigen. Neben den derzeit gefürchteten Hackerangriffen, spielen auch die Industriespionage und die persönliche Bereicherung durch den Verkauf von personenbezogenen Daten eine große Rolle. Gerade Unternehmen, die ein großes Portefeuille an Kundendaten mit sensiblem Inhalt halten (z.B. Gesundheitsdaten, Bank- und Finanzdaten, etc.) bilden eine attraktive Zielscheibe für Angriffe, wobei die Motivation der „Täter“ eben sehr unterschiedlich sein kann. So führt die Mobilität von Daten auch vermehrt dazu, dass die eigenen Mitarbeiter unternehmenskritische Daten mangels entsprechender Sicherheitsvorkehrungen, einfach und rasch aus dem Unternehmen bringen (z.B. durch Smartphones, USB-Sticks, CDs, Social Networks, etc.) und verwerten können (z.B. durch Verkauf an Mitbewerber oder andere kriminelle Organisationen, wodurch sich ein geldwerter Vorteil ergibt). Das Unternehmen kann durch einen einzigen „Angriff“ daher nicht nur einen enormen Vermögensschaden, sondern zumeist auch einen starken Reputationsverlust erleiden.

Datensicherheit – was fordert das Gesetz?
Nach § 14 Datenschutzgesetz (DSG) hat der Unternehmer als Verantwortlicher für die Datenverarbeitung, angemessene Maßnahmen zur Datensicherheit zu treffen. Werden daher Kundendaten gespeichert, hat der Unternehmer sicherzustellen, dass diese Daten gegen Verlust, Diebstahl und Verfälschung geschützt werden. Dabei ist insbesondere auf den Stand der technischen Möglichkeiten Bedacht zu nehmen, sodass einmal eingeführte Maßnahmen ständig zu kontrollieren und allenfalls anzupassen sind. Häufig finden sich in Unternehmen nur isoliert umgesetzte Einzelmaßnahmen wie z.B. Firewall, Virenschutz, aber kein „Gesamtpaket“ an notwendigen Maßnahmen, um das Unternehmen vor Datenverlust oder -missbrauch zu schützen. Es ist daher die Aufgabe des Unternehmers eine entsprechende Risikoanalyse durchzuführen, um angemessene Vorkehrungen treffen zu können.
Auch bei der Auslagerung von Kundendaten an externe Dienstleister ist die Durchführung von technischen, organisatorischen und personellen Maßnahmen sicherzustellen. Der Unternehmer hat daher nicht nur eine erhöhte Sorgfaltspflicht bei der Auswahl eines zuverlässigen Dienstleisters, sondern hat er sich auch von den getroffenen Sicherheitsmaßnahmen zu überzeugen. Dies ist aber oftmals schwierig, wenn die Dienstleister die vom Unternehmer überlassenen Daten in dezentrale IT-Strukturen, vielleicht sogar über mehrere Länder verteilt speichern. In der Praxis werden diese Sorgfalts- und Kontrollpflichten häufig vernachlässigt, sodass das Risiko- und somit das Haftungspotenzial des Unternehmens steigt.

Der Unternehmer haftet.
Ein Unternehmer hat bereits nach allgemeinen Grundsätzen für die Sorgfalt eines „ordentlichen Unternehmers“ einzustehen. Im Klartext bedeutet dies, dass der Unternehmer dann gegenüber seinen Kunden haftet, wenn er es schuldhaft unterlässt, die gesetzlich geforderten Sicherheitsvorkehrungen zu treffen. Der Grad der Sorgfalt wird jedoch branchen-, größen- und situationsadäquat unterschiedlich sein. Sofern der Unternehmer aber die gebotene Sorgfaltspflicht aufgrund fehlender oder unzureichender IT-Sicherheitsmaßnahmen verletzt, kann dies zur Verhängung von Verwaltungsstrafen oder zu Schadenersatzansprüchen des Unternehmens führen.
So stellt die gröbliche Außerachtlassung von Datensicherheitsmaßnahmen nach DSG eine Verwaltungsübertretung dar, die mit bis zu EUR 10.000,- geahndet wird. Soweit ersichtlich, wurde allerdings bislang keine solche Verwaltungsstrafe verhängt. Dies hängt aber vermutlich auch damit zusammen, dass es eine hohe Dunkelziffer an „Datenlecks“ gibt.
Allerdings ist auch zu berücksichtigen, dass international tätige Unternehmen häufig auch ausländischen Regulativen, wie z.B. dem US-amerikanischen Sarbanes-Oxley Act (SOX) oder Basel III unterliegen. Deren Verletzung ist meist mit hohen Bußgeldern belegt. So hat beispielsweise die Britische Finanzmarktaufsicht (FSA) gegenüber einer internationalen Bankengruppe ein Bußgeld in Höhe von insgesamt EUR 3,7 Mio wegen mehrmaliger Verstöße im Zusammenhang mit der Sicherung von Kundendaten verhängt.

Hingegen wurde in Österreich, soweit ersichtlich, bislang kein Schadenersatz aufgrund mangelnder Datensicherheitsmaßnahmen im Zusammenhang mit Kundendaten zugesprochen. Es ist jedoch davon auszugehen, dass Kunden in Zukunft häufiger einen erlittenen Schaden einklagen werden, da seit Jänner diesen Jahres nach § 24 Abs 2a DSG die Verpflichtung besteht, die vom „Datenklau“ betroffenen Personen über den Vorfall zu informieren. So könnte nicht nur der Datendiebstahl haftungsbegründend sein, sondern auch die unterlassene oder verspätete Benachrichtigung an die Kunden. Unternehmen sind daher gut beraten, eine sorgfältige Prüfung der bestehenden Sicherheitsmaßnahmen in Bezug auf Kundendaten durchzuführen, um Risiken weitestgehend zu reduzieren.

Mag. Karin Peyerl, Rechtsanwältin bei CHSH Cerha Hempel Spiegelfeld
www.chsh.com

Foto: Karin Peyerl, © Walter J. Sieberer

Flower