• Blog

DSGVO-Schadenersatzklagen nach einem Cyberangriff

Nach einer aktuellen Studie des Branchenverbandes der deutschen Informations- und Telekommunikationsbranche (Bitkom) entstehen deutschen Unternehmen durch Cyberangriffe Schäden von ca. 203 Milliarden Euro – pro Jahr. Nach dem Ergebnis der Umfrage des Verbandes waren 84% der befragten Unternehmen bereits von einem Cyberangriff direkt betroffen. Weitere 9% gehen davon aus, dass auch sie bereits Opfer eines solchen Angriffs waren. Interessant ist, dass es die Angreifer in den meisten Fällen auf Kommunikationsdaten (wie z.B. E-Mail) oder Kundendaten abgesehen haben. Damit geht es für Unternehmen um viel mehr als nur um die unmittelbaren Folgen – etwa Fehlfunktionen von internen und externen Software-Anwendungen, wie aktuell bei den Industrie- und Handelskammern (IHK) – einer Cyberattacke. Sind nämlich personenbezogene Daten betroffen, droht Unternehmen erstens ein enormer Reputationsverlust. Unternehmen müssen zweitens mit dem Sanktionssystem der Datenschutzgrundverordnung (DSGVO) rechnen. Darauf sollten sie vorbereitet sein und einen Maßnahmenplan haben. Hier ein Überblick.

Erste Maßnahme: Meldung an die Behörden

Deutet die Vorgehensweise der Hacker auf einen Angriff zum Zwecke der Spionage bzw. der Beschaffung von personenbezogenen Daten hin, muss ein Unternehmen schnell reagieren, um ein empfindliches Bußgeld zu vermeiden. Artikel 33 DSGVO verpflichtet Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten, den Vorfall unverzüglich und möglichst binnen 72 Stunden nach Kenntnis der Verletzung, der zuständigen Datenschutzaufsichtsbehörde zu melden. Kommt das betroffene Unternehmen dieser Pflicht nicht oder nicht innerhalb der gesetzlichen Frist nach, stellt dies bereits einen bußgeldbewehrten (weiteren) Datenschutzverstoß dar. Wer also einen Cyberangriff in seinen Systemen feststellt, sollte nicht nur sofort seine IT-Abteilung einschalten, sondern auch seinen Datenschutzbeauftragten (sofern ein solche für das Unternehmen bestellt ist) und spezialisierte Juristen.

Zweite Maßnahme: Benachrichtigung von Kunden – die Büchse der Pandora öffnen?

„Wir haben den Angriff sofort identifiziert und isoliert, um die Auswirkungen zu begrenzen, und die betroffenen Kunden kontaktiert“.

Nach einem Cyberangriff muss das betroffene Unternehmen schnellstmöglich eine Frage prüfen: Haben die Attacke und deren Folgen voraussichtlich ein hohes Risiko u.a. für die persönlichen Rechte von Kunden zur Folge? Das Unternehmen muss entscheiden, ob es neben der Datenschutzaufsichtsbehörde auch die von dem Datenabfluss betroffenen Kunden benachrichtigen muss. Diese Pflicht ergibt sich wiederum aus Art. 34 DSGVO.  Durch diese Pflicht wird das Unternehmen – zu Ende gedacht – gezwungen, die berühmte Büchse der Pandora zu öffnen. Denn mittlerweile hat sich nicht nur in Anwaltskreisen herumgesprochen, dass Unternehmen nach einem Cyberangriffs zur Zahlung eines individuellen Schadenersatzes an die Betroffenen verpflichtet sein können. Spezialisierte Anbieter und Kanzleien werben in Deutschland – teilweise im Stil von U.S. class action lawyers – damit, mit einem geringen Risiko bei den Unternehmen Schadenersatz einzufordern und notfalls einzuklagen. Dabei werden zwar (noch) keine Summen wie in den USA erzielt (siehe zum Beispiel den Fall Robinhood: „$20 million class action settlement“). Ist die Büchse der Pandora jedoch geöffnet, bringt das regelmäßig Schadenersatzforderungen mit sich. Ein prominentes Beispiel in Deutschland ist der Finanzdienstleister Scalable Capitel, der ebenfalls Opfer eines Cyberangriffes war. Zahlreiche Kundendaten wurden dabei von Kriminellen abgegriffen und im Internet zum Verkauf angeboten. In mittlerweile zwei bekannt gewordenen Entscheidungen wurde Scalable Capital zur Zahlung eines immateriellen Schadens in Höhe von 1.200,00 EUR (Landgericht Köln, Urteil vom 18. Mai 2022 – 28 O 328/21) und in Höhe von 2.000,00 EUR (Landgericht München, Urteil vom 9. Dezember 2021 – 31 O 16606/20) verurteilt. Diese Summen sind freilich für viele Unternehmen noch Koppersche Peanuts. Die Klagen sind eher noch Testballons. In Zukunft wird es um viel mehr gehen. Massenklagen. Klagevehikel. Der Journalist Marcus Jung bringt es in der FAZ auf den Punkt: „Sollten sich enttäuschte Kunden, wie es in Großbritannien längst möglich ist, zu Massenklagen zusammenschließen, wird es auch für deutsche Unternehmen existenzbedrohend – Beträge wie 2500 Euro werden dann längst nicht mehr ausreichen.

Weitere Beispiele, bei denen Kunden nach einem Datenleck Schadenersatzansprüche gegen Unternehmen geltend machen, sind Mastercard, Buchbinder, SIXT und Facebook – Facebook wurde jüngst zur Zahlung von Schadenersatz wegen eines Datenlecks verurteilt, Landgericht Zwickau, Versäumnisurteil vom 14. September 2022, 7 O 334/22.

Das Risiko von Schadenersatzforderungen, die einzeln oder durch den Einsatz eines Klagevehikels – nach einer Abtretung von Ansprüchen an das Klagevehikel – in Form einer Massenklage gebündelt geltend gemacht werden, ist erheblich. Dieses Risiko betrifft nicht nur international tätigen Konzerne, sondern jedes Unternehmen, dass eine größere Anzahl an Kundendaten verarbeitet. Kurzum, überall dort, wo ein Unternehmen Kundendaten verarbeitet, bringt ein Cyberangriff das Risiko von zahlreichen Schadenersatzforderungen mit sich.

Dritte Maßnahme: Entscheidung über eine Verteidigung gegen DSGVO-Schadenersatzforderungen oder außergerichtliche Einigung

Art. 82 DSGVO regelt den Anspruch auf Ersatz eines immateriellen Schadens wie folgt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Es braucht also „lediglich“ einen Verstoß gegen die Vorschriften der DSGVO und einen daraus resultierenden Schaden. In den letzten zwei Jahren mussten sich bereits zahlreiche deutsche Gerichte mit Schadenersatzforderungen nach einem Datenschutzverstoß befassen. Teils wurden für kleinere Verstöße vergleichsweise hohe Schadenersatzsummen zugesprochen. Einige Gerichte haben Klagen abgewiesen, weil nach Ansicht der Richter ein Schaden nicht dargelegt werden konnte. Andere Gerichte haben ihre Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union Fragen gestellt, wie Art. 82 DSGVO auszulegen ist.

Festzustellen ist jedenfalls, dass Gerichte nach einem Datenabfluss aufgrund eines Cyberangriffes zunehmend Schadenersatzansprüche bejahen. Die zu erwartende zunehmende Initiierung von Klagevehikeln in Deutschland steigert das damit einhergehende Risiko für Unternehmen nach einer Cyberattacke weiter.

Was macht die Verteidigung gegen Schadenersatzansprüche rechtlich herausfordernd? Hierzu ein paar rechtliche Details:

→ Nach Art. 34 DSGVO besteht die bereits erwähnte Pflicht zur Benachrichtigung von Betroffenen, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. Unter einer Verletzung des Schutzes personenbezogener Daten versteht der Gesetzgeber (Art. 4 Nr. 12 DSGVO) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang von personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden. Bereits aufgrund einer Benachrichtigung über einen Cyberangriff (Stichwort: Büchse der Pandora) können informierte Betroffenen also annehmen, dass ein Unternehmen seinen datenschutzrechtlichen Pflichten (Art. 32 DSGVO) zur Implementierung ausreichender technischer und organisatorischer Maßnahmen nicht hinreichend nachgekommen sein könnte. Nach Erwägungsgrund 39 (Satz 12) sollen personenbezogene Daten so verarbeitet werden, dass deren Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. Benachrichtigt also ein Unternehmen nach einem Cyberangriff die betroffenen Kunden, kann dies aus Sicht der Kunden die Vermutung begründen, dass es zu einem Datenschutzverstoß gekommen ist. Das kann Anlass genug sein, Ansprüche gegen das Unternehmen geltend zu machen, insbesondere wenn für solche Klagen auch noch öffentlichkeitswirksam geworben wird.

→ Nach Art. 5 Abs. 2 DSGVO sind die Unternehmen den Betroffenen zum Nachweis darüber verpflichtet, dass die personenbezogenen Daten gemäß Art. 5 Abs. 1 f) DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, und zwar durch geeignete technische und organisatorische Maßnahmen (Bundesverwaltungsgericht, Urteil vom 2. März 2022 – 6 C 7/20; EuGH, Urteil vom 24. Februar 2022 – C-175/20). Setzt sich diese strenge Auslegung von Art. 5 Abs. 2 DSGVO durch, führt dies dazu, dass Kunden lediglich darlegen müssen, dass es zu einem Datenschutzvorfall gekommen ist. Dieser Vortrag ist für Kunden, die von Unternehmen über einen Angriff informiert wurden, denkbar einfach. Der Kunde schreibt das Unternehmen an und das betroffene Unternehmen muss darlegen und in einem etwaigen Gerichtsverfahren beweisen, dass es die personenbezogenen Daten datenschutzkonform verarbeitet hat. Dieser Nachweis ist oftmals schwierig, aber nicht ausgeschlossen. Absehbare Schwierigkeiten des Nachweises können im Einzelfall Grund genug sein, dass sich Unternehmen schnellstmöglich mit Kunden außergerichtlich auf die Zahlung einer Pauschalsumme einigen und Kunden sich im Gegenzug zur Verschwiegenheit und zum Verzicht auf Auskunftsansprüche verzichten.

→ Die Nichteinhaltung der Pflichten aus Art. 32 Abs. 1, 5 Abs. 1 f) DSGVO stellt auch einen Datenschutzverstoß dar, der zum Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO verpflichtet (Landgericht München I, Urteil vom 9. Dezember 2021 – 31 O 16606/20; Landgericht Köln, Urteil vom 18. Mai 2022 – 28 O 328/21). Der Schaden, der den Betroffenen dadurch entstanden ist, liegt nach dieser Rechtsprechung dann in dem eingetretenen Verlust der Kontrolle über deren Daten. Ein solcher Kontrollverlust stellt einen anerkannten immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar (Landgericht München, 31 O 16606/20; Landgericht Köln, 28 O 328/21). Dieser Kontrollverlust beruht auch unmittelbar auf dem von Ihnen zu verantwortenden Datenschutzverstoß.

Praxistipp: Be prepared. Ready to defend. 

Cyberangriffe lassen sich nicht ausschließen. Auch erfolgreiche Angriffe gegen Unternehmen lassen sich mit vertretbarem Aufwand derzeit nicht völlig ausschließen. Denn Menschen sind fehlbar und auch vermeintlich gut geschützte Systeme sind verwundbar. Die gute Nachricht: Zumindest lässt sich mit vertretbarem Aufwand für Unternehmen ein ausreichendes Schutzniveau einrichten, das gegen die „klassischen“ Cyberangriffe hilft. Mit Angeboten wie „Vulnerability Management“, „Security Information and Event Management“, „Security Awareness Services“ werben Anbieter für mehr Sicherheit. Fragen Sie einen IT-Experten, der sich damit auskennt. Wer rechtzeitig vorsorgt, in IT, Schutzprodukte und Dienstleistungen investiert, um das IT-Sicherheitsniveau seines Unternehmens zu erhöhen, kann sich enorme Kosten für IT-Spezialisten, Anwälte und Schadenersatzzahlungen im Falle eines Cyberangriffs möglicherweise sparen. Unternehmen, die einmal ein Penetration Testing – einen organisierten, professionellen Angriff – auf ihr Unternehmen veranlasst haben, wissen besser, wo sie stehen (wobei ein solcher Test für Unternehmen ohne IT-Sicherheitsprozesse freilich selten sinnvoll ist, weil die primären Risiken in solchen Unternehmen regelmäßig an anderer Stelle liegen bzw. sitzen).  

Nach einem erfolgreichen Cyberangriff stecken Unternehmen rechtlich in einem Dilemma. Sie sind einerseits Opfer eines kriminellen Angriffs und müssen andererseits ihre Kunden informieren und die Büchse der Pandora öffnen, indem sie sich als Ziel potentieller Schadenersatzklagen zu erkennen geben. Ob und in welcher Höhe ein Anspruch auf Schadenersatz besteht, ist freilich eine Frage des Einzelfalles. Nicht jeder Cyberangriff ist gleich. Es bestehen Optionen, Schadenersatzzahlungen für das eigene Unternehmen so gering wie möglich zu halten. Wer nach einem Cyberangriff in Stockstarre verharrt und pflichtwidrig weder die Datenschutzaufsichtsbehörde noch die Betroffenen informiert, muss damit rechnen, dass der Vorfall ein sehr teures Ende nehmen wird. Die mögliche Haftung der Geschäftsführer und Vorstände in solchen Fällen sei hier nur am Rande erwähnt.

Fest steht nach unseren Erfahrungen in der Praxis, dass die Bereitschaft, Schadenersatzforderungen nach einem Datenschutzvorfall geltend zu machen, stetig zunimmt – zumal Anwälte dafür immer häufiger gezielt werben. Darauf sollten sich Unternehmen einstellen. Sie sollten – erstens – nicht nur Vorsorge treffen, um einen erfolgreichen Cyberangriff bestmöglich zu verhindern. Sie sollten –  zweitens – die getroffenen Maßnahmen sodann auch nachweisbar dokumentieren. Wer nachweisen kann, dass diese Maßnahmen nur durch ein erhebliches Maß an krimineller Energie umgangen werden konnten, kann bei einem Gericht hinsichtlich der Schadenshöhe eher auf Milde hoffen. Ist das Kind jedoch in den Brunnen gefallen, müssen – drittens – sofort Experten und Strategien vorhanden sein, um eine übermannende Klagewelle nach Möglichkeit zu verhindern: Unternehmen, die von einem erfolgreichen Cyberangriff betroffenen sind, benötigen für die so genannte  „Cyber Incident Response„, also die Reaktion auf den Angriff und die damit einhergehenden Maßnahmen, neben IT-Experten u.a. Experten für die Krisenkommunikation und spezialisierte Rechtsanwälte für das Datenschutzrecht und die Abwehr von drohenden Schadenersatzklagen, und zwar schnell. Denn die Folgen eines Cyberangriffs zu bewältigen kann so schwierig sein, wie die Eiger-Nordwand über die Heckmair-Route zu bewälten. Schwiedrigkeitsgrad AS – äußerst schwierig. Expertise, Schnelligkeit und gutes Sicherungsmanagement sind gefragt. Bitte sprechen Sie unseren Experten für Datenschutzrecht und die Abwehr von datenschutzrechtlichen Schadenersatzklagen an, wenn Sie als Unternehmen oder Unternehmer Fragen haben.

Vielen Dank an Markus Drenger für hilfreiche Anmerkungen und Tipps zu diesem Beitrag.

Beitrag ergänzt am 4. Oktober 2022 / Bild: Eiger-Nordwand am 2. Oktober 2022