Wer haftet beim Hacker-Angriff auf den Online-Shop?
Bei Cyberkriminalität winken viele ab und lächeln verlegen. Das kann mir nicht passieren, mein Shop ist gut abgesichert. Wüten Hacker dennoch und stehlen Daten, ist die Not groß. Denn wer kommt für den entstandenen Schaden auf?
Phishing, Formjacking, Hacking – spektakuläre Fälle von Datenklau, wie bei der britischen Fluggesellschaft British Airways oder dem Schweizer Telekommunikationsunternehmen Swisscom, sorgten in der Vergangenheit für Aufsehen. Die britische Datenschutzbehörde verhängte im Oktober 2020 gegen British Airways wegen eines ausgenutzten Datenlecks ein Bußgeld von rund 22 Millionen Euro. Der Grund: Etwa zwei Monate lang klaffte im Jahr 2018 bei der Airline ein Datenleck, das Hackern Zugriff auf Kundendaten, Kreditkartennummern sowie CVC-Codes gewährte. Fast eine halbe Million Fluggäste waren von dem Angriff betroffen. Anstatt die sensiblen Daten hinreichend zu sichern, ging die britische Fluggesellschaft offensichtlich recht leichtfertig mit der Absicherung um. Die britische Datenschutzbehörde wertete dies als Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) und verhängte ein Strafgeld. Ursprünglich betrug es 220 Millionen Euro.
Wegen der Corona-Krise und der schlechten wirtschaftlichen Situation der Fluglinie wurde es jedoch gemindert.
Cyberkriminalität geht alle an
Die Gefahr, in den Fokus von Cyberkriminellen zu geraten, besteht nicht nur für Großunternehmen. Auch kleine, mittelständische Unternehmen und OnlineHändler plagen Hacker-Angriffe. Laut einer Untersuchung des Bitkom sind fast 75 Prozent der Unternehmen mit einer Größe von 100 bis 500 Mitarbeitern von digitaler Spionage, Sabotage oder Datendiebstahl betroffen.
Schutz personenbezogener Daten
Cyberkriminalität kann nicht nur zu einem nachhaltigen Imageschaden für Unternehmen führen, sondern bringt in rechtlicher Hinsicht erhebliche Haftungsrisiken
mit sich. Sie ergeben sich vor allem aus der 2018 in Kraft getretenen DSGVO. Um Haftungsfällen vorzubeugen, ist es für jeden Gewerbetreibenden notwendig, sich mit den rechtlichen Anforderungen der DSGVO auseinanderzusetzen. Im Zentrum der Verordnung steht der Schutz personenbezogener Daten. Dazu zählen auch Kreditkartenund andere Zahlungsinformationen, die im Online-Handel für den Kaufvorgang unerlässlich sind.
Was tun bei Datenklau?
Cyberkriminelle agieren meist aus dem Ausland und sind professionell. Kommt es zu einem Datenklau muss im Einzelfall das weitere Vorgehen geprüft werden. Unternehmen sind dabei verpflichtet, mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten. Sie muss innerhalb von 72 Stunden nach Bekanntwerden eines Angriffs auf personenbezogene Daten informiert werden.
Das sieht die DSGVO so vor. Eine Ausnahme besteht nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Eine unverzügliche Benachrichtigung aller betroffenen Kunden kann jedoch im Einzelfall erforderlich sein.
Konsequenzen durch Datendiebstahl
Gerade Unternehmen, die Online-Shops betreiben oder digitale Zahlungsoptionen bieten, stehen besonders im Fadenkreuz Cyberkrimineller. Und nicht nur das. Kommt es zum Datendiebstahl steigt das Risiko, von geschädigten Kunden auf Schadenersatz verklagt zu werden. Nutzen Kriminelle die gestohlenen Kreditkartenoder sonstigen Zahlungsinformationen für Abbuchungen, Überweisungen oder Käufe, kann es für die betroffenen E-Commerce-Kunden schnell teuer werden.
Unter bestimmten Umständen sind die verursachten Schäden vom OnlineShop-Betreiber zu ersetzen. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen Datenschutzverstößen ein Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen das verantwortliche Unternehmen. Die Haftung trifft ein Unternehmen als Verantwortlicher im Sinne der DSGVO, wenn es an der Verarbeitung von personenbezogenen Daten beteiligt war. Es reicht bereits aus, wenn es Daten übernommen oder entgegengenommen hat. Entscheidend für eine mögliche Schadensersatzpflicht des Unternehmers ist die Frage, ob für ausreichende Sicherheit personenbezogener Daten gesorgt wurde – wie in Art. 32 DSGVO gefordert. Die DSVGO schreibt genau vor, welche Vorkehrungen dabei zu treffen sind. Demnach muss ein verantwortliches Unternehmen technische und organisatorische Maßnahmen umsetzen, die im Einzelfall ein angemessenes Schutzniveau für verarbeitete personenbezogene Daten gewährleisten. Dazu gehören die Pseudonymisierung und Übertragungsverschlüsselung sowie regelmäßige Überprüfungen und Bewertungen der Wirksamkeit der bisher getroffenen Maßnahmen.
Haftung bei Verstoß – wer ist verantwortlich?
Wird seitens des Händlers gegen die Vorgaben der DSGVO verstoßen, kann eine Haftung nur unter strengen Voraussetzungen entfallen. Unternehmen können sich nicht durch vertragliche Vereinbarungen mit den Nutzern ihrer Onlineshops der Haftung entziehen. Auch ein unberechtigter Zugriff durch eigene Mitarbeiter schützt Unternehmer nicht vor der Haftung. Ebenso stellen Zertifizierungen, genehmigte Verhaltensregeln und Datenschutzfolgeabschätzungen von der Haftung nicht frei. Sie können aber im Falle einer rechtlichen Auseinandersetzung zum Nachweis einer vorhandenen ausreichenden DatenschutzCompliance herangezogen werden.
Neben Schadensersatzklagen drohen Unternehmen bei einer Pflichtverletzung behördliche Bußgelder. Das zeigt das Beispiel von British Airways deutlich. Sie können empfindlich hoch sein und bis zu zwei Prozent des gesamten, weltweit erzielten, Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Um diese unangenehmen Folgen zu vermeiden, kann jedem OnlineHändler nur geraten werden, vor dem Thema Cybersecurity nicht die Augen zu verschließen. Wichtig ist, aktiv zu werden, bevor es zu spät ist und auf technisches wie rechtliches Know-how zu vertrauen. ║
ÜBER ...
Mathis Breuer ist Rechtsanwalt bei der Kanzlei Hoyng Rokh Monegier in Düsseldorf. Er berät und vertritt Mandaten in allen rechtlichen Fragen rund um IP, Wettbewerb und Datenschutz. Bildquelle:Hoyng Rokh Monegier