Mindestens 68 erfolgreiche Ransomware-Angriffe auf Kanzleien hat es im Jahr 2023 in Deutschland gegeben, wie einem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit zu entnehmen ist. Oft waren diese Angriffe mit schweren Folgen für die betroffenen Kanzleien verbunden.
Hamburg, 27.03.2024 – Unterbrechung des Kanzleibetriebes, Verlust von Betriebsgeheimnissen oder Lösegeldforderungen - die Folgen von Cyber-Angriffen wiegen schwer und sind vielfältig. Zusätzlich drohen erhebliche datenschutzrechtliche Risiken.
Ein wegweisendes Urteil des Gerichtshofs der Europäischen Union (EuGH) vom 14. Dezember 2023 (C-340/21) gibt wichtige Antworten zu den Rahmenbedingungen und dem datenschutzrechtlichen Risiko bei Cyber-Angriffen. Dabei sind die Ausführungen des EuGH zur Verantwortlichkeit für datenschutzrechtliche Verstöße sowie zum immateriellen Schaden besonders relevant. Wir haben die Kernaussagen des Urteils für Sie zusammengefasst.
Der EuGH stellt fest, dass es nicht automatisch auf unzureichende Datensicherheitsmaßnahmen hinweist, wenn es bei einem Cyber-Angriff zu einer Datenpanne kommt. Auch umfangreiche Maßnahmen könnten im Einzelfall durch die Angreifer überwunden werden. Der Art. 24 DS-GVO gewährt dabei sogar explizit die Möglichkeit, die Rechtskonformität ergriffener Maßnahmen nachzuweisen. Dafür ist eine sorgfältige Dokumentation aller Datensicherheitsmaßnahmen, die vorgenommen werden, zwingend erforderlich. (Eine hilfreiche Orientierung bieten die Empfehlungen des BSI zur Standardisierung und Zertifizierung im Bereich Informationssicherheit).
Die Beweislast dafür, dass die technischen und organisatorischen Maßnahmen den gestzlichen Anforderungen entsprechen, trägt die Kanzlei als Verantwortliche für die Datenverarbeitung. Diese Regelung gilt ebenfalls im Rahmen von Schadenersatzansprüchen.
Erfolgt ein Cyber-Angriff, so bedeutet dies nicht automatisch die Enthaftung der betroffenen und verantwortlichen Kanzlei von ihrer datenschutzrechtlichen Haftung. Auch wenn hierbei der Verstoß gegen die DSGVO durch einen Dritten maßgeblich verursacht wurde, reicht dies für die Exkulpation nicht aus. Vielmehr leitet der EuGH aus Art. 82 Abs. 2, 3 DSGVO ab, dass der Verantwortliche den Nachweis erbringen muss, dass er in keiner Hinsicht für die Umstände des Schadeneintritts verantwortlich ist.
Im Gegensatz zu einem ersten Urteil vom Mai 2023 hat der EuGH nun festgelegt, dass bereits die bloße Befürchtung eines Missbrauchs personenbezogener Daten einen immateriellen Schadenersatzanspruch begründen kann, auch wenn die Daten tatsächlich nicht missbräuchlich verwendet wurden. Allerdings muss der Anspruchsteller nachweisen, dass ihm ein Schaden entstanden ist. Diesbezüglich wird es künftig deutlich auf die Schadensdarlegung im Einzelfall ankommen.
Fazit: Das aktuelle Urteil bringt ein gewisses Risiko mit sich, dass es vermehrt zu Klagen bezüglich der "Befürchtungen eines Datenmissbrauchs" kommt, um einen immateriellen Schadenersatz zu erwirken. Dem stehen die entwickelten Maßstäbe für eine sorgfältige Prüfung im Einzelfall entgegen. In jedem Fall aber sollten Kanzleien gründlich prüfen, ob intern angemessene Datensicherheitsmaßnahmen getroffen und diese auch ausreichend dokumentiert wurden.
GGW bietet eine speziell auf die Bedürfnisse von Kanzleien zugeschnittene Cyber-Versicherung an, die Ihnen als Baustein zur Risikoabwälzung dienen kann. Gern stehen wir Ihnen zur Verfügung, um weitere Informationen zu diesem wichtigen Schutz für Ihre Kanzlei darzulegen oder Fragen zu Ihrem individuellen Versicherungsbedarf sowie zu den rechtlichen Aspekten von Cyber-Angriffen zu beantworten.
Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.