Bei Hackerangriffen gelten bald strengere Pflichten
Cyberattacken treffen Unternehmen auch jetzt schon hart. In einem Jahr kommen dann durch die EU-Verordnung zum Datenschutz auch deutlich verschärfte Meldepflichten hinzu. Bei Verstößen drohen hohe Geldbußen.
Wien – Die weltweite Cyberattacke vor kurzem zeigte einmal mehr, wie hart Angriffe à la Wannacry Unternehmen treffen können: Ein Reputationsverlust ist unvermeidlich, daneben drohen Schadenersatzansprüche der Kunden. Ab 25. Mai 2018 verschärft auch noch die EU-weit geltende DatenschutzGrundverordnung (DSGVO) die Meldepflichten bei Hackerangriffen und Datenpannen erheblich.
Bereits nach aktueller österreichischer Rechtslage sind Unternehmer und Private grundsätzlich verpflichtet, Betroffene von Datenpannen zu informieren (§ 24 Abs 2a DSG 2000). Die Datenschutzbehörde muss nicht eingebunden werden. Ebenso wenig bestehen besondere Dokumentationspflichten. Für die Verletzung der Informationspflicht droht eine Verwaltungsstrafe von „nur“10.000 Euro (zum Vergleich: Wer online nicht über seine Cookie-Setzung informiert, riskiert das knapp Vierfache). Ersatzansprüche bestehen in der Regel nur für materielle (Vermögens-)Schäden.
Diese „Idylle“verändern die EUweit geltende Datenschutz-Grundverordnung und das begleitende, kürzlich als Entwurf veröffentlichte österreichische DatenschutzAnpassungsgesetz 2018 (siehe unten) tiefgreifend. Gerade Unternehmer werden gezwungen sein, sich dem „Alltagsrisiko Hackerangriff“zu stellen.
Sobald ein Unternehmer oder Privater von der Verletzung des Schutzes der von ihm verarbeiteten (Kunden-)Daten erfährt, muss er zukünftig unverzüglich han- deln (Artikel 33, 34 DSGVO). Umfasst ist jede Datenpanne (Vernichtung, Verlust, Offenlegung, Zugriff oder auch – wie bei Wannacry – Veränderung von Daten), und zwar unabhängig von deren Verursachung etwa durch strafbare Hackerangriffe oder bloß durch ein technisches Gebrechen. DSGVO drohen bei unzureichender Informationserteilung ebenso wie bei mangelnder Datensicherheit – Wannacry betraf primär veraltete Windows-XP-Rechner – Geldbußen von bis zu zehn Millionen Euro oder zwei Prozent des Konzernjahresumsatzes. Daneben wird zusätzlich für materielle (z. B. Vermögensverluste) und immaterielle Schäden gehaftet (Rufschädigung, Diskriminierung).
Je detaillierter IT-Sicherheitsmaßnahmen dokumentiert sind, desto leichter lassen sich Sanktionen und Haftungsfälle vermeiden. Diese – in der Beratungspraxis alltägliche – Empfehlung ist hier Pflicht: Der Verantwortliche muss die Datenpannen selbst sowie alle damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen dokumentieren. Unternehmen wird daher dringend empfohlen, Notfallpläne und Richtlinien zu erstellen, die Details und Zuständigkeiten für zumindest folgende Abläufe umfassen:
Evaluierung des Datenabflusses: Q Art der Datenpanne, Art / ungefähre Anzahl der betroffenen Daten und Personen.
Abhilfemaßnahmen treffen Q (samt Dokumentation!).
Evaluierung des Risikos für die Q Betroffenen: Entscheidend sind Eintrittswahrscheinlichkeit und Schwere der Schäden (Erwägungsgrund 75 DSGVO) – kurzum, wie „heikel“die gehackten Daten sind.
Ergebnis „hohes Risiko“– SofortQ information an Betroffene; Ergebnis „gewöhnliches Risiko“– Information an Datenschutzbehörde binnen 72 Stunden, jeweils basie- rend auf vorab ausgearbeiteter Musterbenachrichtigung.
Schadensminimierung und Q Datensicherheitsanalyse.
Ziel ist es, eine unverzügliche Meldung aller Datenpannen inklusive möglicher Verdachtsfälle bei der Unternehmensleitung und/oder dem Datenschutzbeauftragten sicherzustellen.
Wie so viele der DSGVO-Compliance-Anforderungen kann man die neuen Meldepflichten als Chance sehen, um Datenanwendungen und -sicherheit auf Vordermann zu bringen. Exakt ein Jahr bleibt dafür noch Zeit.
DR. STEPHAN WINKLBAUERistPartner von Aringer Herbst Winklbauer Rechtsanwälte.winklbauer@ahwlaw.at
MAG. JAKOB GEYER ist Rechtsanwaltsanwärter im dortigen IT-Rechtsteam.