203 Mrd. Schaden durch Cyberattacken in 2022: Die Haftung des Verantwortlichen für Datenschutz und IT-Sicherheit

HMDATA Datenschutz-Newsletter 09/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Nach dem Verband BitKOM entstand der deutschen Wirtschaft im Jahr 2022 ein Schaden von 203 Mrd. Euro durch Cyber-Angriffe, IT-Verlust und -Diebstahl, Spionage und Sabotage. Das ist viel Geld. 84% der befragten Unternehmen gaben an, im Jahr 2022 durch eine Cyber-Attacke bedroht worden zu sein. Das ist eine Menge.
Es gibt keine verlässlichen Zahlen, was davon auf Grund von Prävention vermieden hätte werden können, aber es wird nicht wenig sein. Und irgendwann muss auch dem letzten IT-Skeptiker klar werden, dass letztlich der Punkt kommen muss, ab dem "Nichts-tun" unweigerlich teurer wird als Prävention. Und unangenehmer. Und stressiger. Und ggf. auch mit juristischem Nachspiel. Und mit Bußgeld. Und mit Vertrauens- und Reputationsverlust gegenüber den Kunden.
Betriebswirtschaftlich gesehen ist also eine Investition in die IT-Sicherheit und sensibilisierte und geschulte Mitarbeiter ein echter Gewinn.
Nur leider ist das nicht nur im eigenen Interesse - was die beste Motivation wäre - sondern weder optional noch diskutierbar. Es ist gesetzlich geregelt.

Die gesetzlichen Grundlagen

Ja, die DSGVO regelt ein gewisses Maß an IT-Sicherheit. Es gibt aber keine Checkliste oder ein konkretes Maßnahmenpaket, das liegt alleine schon an der technologieneutralen Ausgestaltung des Verordnungstextes. Die DSGVO verfolgt einen risikomanagementbasierten Ansatz: sensible Daten viel Schutz, unwichtige Daten wenig Schutz. Es kommt also darauf an, was man mit welchen Daten wie umfangreich macht.

Maßgebende Stellen in der DSGVO:

• Art 5 Abs. 1 lit f:

  "... in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)"
  iVV.m. Art 5. Abs 2: "Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)."

  Fazit: Risikobetrachtung der Verarbeitung und der Schutzwürdigkeit der Daten und diese nachweisbar dokumentieren

• Art. 24 Abs. 1:

  "Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert"

  Fazit: Risikobetrachtung der Verarbeitung und der Schutzwürdigkeit der Daten und diese nachweisbar dokumentieren

• Art. 25 Abs. 1

  "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen."
  

  Fazit: Risikobetrachtung der Verarbeitung und der Schutzwürdigkeit der Daten
  (Anmrkg.: hier auch durchaus im betriebswirtschaftlichen Kontext!)

• Art 32 Abs. 1

  "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;"

  Fazit: Risikobetrachtung der Verarbeitung und der Schutzwürdigkeit der Daten
  (Anmrkg.: hier auch durchaus im betriebswirtschaftlichen Kontext!)

Die einzigen technischen Vorgaben aus der DSGVO bestehen in der Evaluierung von : Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme (auch auf Dauer), Wiederherstellbarkeit, Sensibilisierung der Mitarbeiter und Verfahren zur Bewertung und regelmäßigen Evaluierung zum Zwecke des Erreichens einer Sicherheit nach "Stand der Technik".

Gesamtfazit: es bleibt der risikobasierten Einschätzung des Verantwortlichen überlassen, mit welchen konkreten Mitteln der Schutz der Verarbeitung personenbezogener Daten vollzogen wird. Insofern unterliegt man keinen konkreten technischen Regeln oder Investitionen, das Gesamtsicherheitskonzept muss halt dauerhaft funktionieren. Der Nachweis hierfür muss jederzeit gewährleistet werden und durchführbar sein.

Soweit zu den Anforderungen der DSGVO, die - vorweg genommen - allerdings die harmlosesten sind, denen der Verantwortliche gesetzesmäßig unterliegt.

Weitere Gesetzgebungen

Die DSGVO regelt nur den Umgang mit personenbezogenen Daten. Kein Personenbezug, keine DSGVO.
Also geht es nur um eine Teilmenge sensibler Daten im Unternehmen: Betriebsdaten, Unternehmenstaten, Geschäftszahlen, Auswertungen, Bilanzen, Geschäftsgeheimnisse, vertragliche Verpflichtungen / NDA, Verträge, Planungsdaten, Konstruktionsdaten, Marketing- und Vertriebskonzepte, Rezepturen, Lieferantenkonditionen, Patente, ... all das ist der DSGVO mehr oder weniger herzlich egal.

Insofern rentiert sich also ein Blick über den Datenschutz-Tellerrand um als Verantwortlicher die weiteren gesetzlichen Verpflichtungen zur IT-Sicherheit zu kennen:

1. GeschGehG: das Geschäftsgeheimnis-Gesetz

Es dient nach §1 Abs. 1 "... dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung"
Und das wird in der Regel durch IT-Sicherheitsmaßnahmen erlangt. Sind diese nach §2 Abs. 1 lit. b "... Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ..." zu schützen. Hat man diese nicht, wird man sich bei Offenlegung schwertun, die jeweilige Information als Geschäftsgeheimnis einzustufen und verliert damit womöglich die rechtlichen Ansprüche.
Fazit: ein Geschäftsgeheimnis, das nicht entsprechend geschützt wird, ist keines.

2. StaRUG

Das Unternehmensstabilisierungs- und -restrukturierungsgesetz regelt im Rahmen einer allgemeinen Risikobetrachtung unternehmerischen Handelns natürlich auch (s. oben BitKOM-Studie) die Cyber- und IT-Risiken. Die Verpflichtung lautet: "Die Mitglieder des zur Geschäftsführung berufenen Organs einer juristischen Person (Geschäftsleiter) wachen fortlaufend über Entwicklungen, welche den Fortbestand der juristischen Person gefährden können. Erkennen sie solche Entwicklungen, ergreifen sie geeignete Gegenmaßnahmen und erstatten den zur Überwachung der Geschäftsleitung berufenen Organen (Überwachungsorganen) unverzüglich Bericht."
Mit anderen Worten: unabhängig vom Geschäftsmodell, Betriebsgröße, Umsatz, Mitarbeiteranzahl, Produkt usw. hat die Geschäftsführung Risikomanagement zu betreiben, kritische Unternehmensstruktur zu monitoren und bei den evaluierten Prozessen Notfallmanagement zu betreiben. Das betrifft natürlich heutzutage besonders die durch das Unternehmen betrieben IT-Infrastruktur.
Fazit: Risikomanagement und Notfallpläne als gesetzlich vorgeschriebenes Managementinstrument

3. DORA i.V.m. NIS 2

Kurz zusammengefasst: im Rahmen des Digital Operating Resiliance Act (DORA), unter der die gesamte digitale Lieferkette der Finanzdienstleistungsindustrie inkl. Versicherung- und Finanzvertrieb fallen wird, werden wohl die technischen Kriterien eines sicheren Betrieb nach der NIS-2-Richtlinie fallen.
Damit wären vermutlich auch im Gegensatz zur DSGVO bestimmte konkrete technische Vorgaben zu erfüllen sein.
Ziel ist die Inkraftsetzung bis spätestens zu, 17. Oktober 2024.
Anmerkung: hierzu werden dann weitere Newsletter und Informationen folgen, sobald es konkrete Handlungsempfehlungen gibt.
Fazit: wer den Schutz der Daten nach DSGVO ernst nimmt, hat die größten Hürden für DORA und NIS-2 bereits erfüllt.

4. Lieferanten- und Dienstleisterverträge, Nutzungs- und Lizenzbedingungen

Was genau geregelt wird, bleibt natürlich den beiden Vertragsparteien frei überlassen. In der Regel wird man aber immer - insb. bei der Nutzung oder Überlassung digitaler vernetzter Dienstleistungen von Dritten - eine ähnliche Formulierung wie: "Der Auftragnehmer bestätigt, dass er die gesetzlichen Vorschriften zur sicheren Nutzung der IT-Dienstleistungen kennt und umgesetzt hat."
Fazit: Bitte machen Sie sich schlau, was Sie bei den häufig genutzten digitalen Dienstleistungen unterschrieben haben - Sie haben sich vertraglich zur Einhaltung verpflichtet.

Was heißt das für's Unternehmen?

Keiner lässt sich gerne Vorschriften machen, insb. wenn deren Umsetzung Geld kostet. Leider ist die IT-Sicherheit kein Wunschkonzert, insb. nicht das Vernachlässigen adäquater Schutzeinrichtungen.
Interessant dabei: am wenigsten "Probleme" oder Vorgaben macht hierbei der Datenschutz bzw. die DSGVO. Keine konkreten Vorgaben und immer skalierend in Bezug auf Umfang der Verarbeitung und Schutzwürdigkeit der Daten, vor allem nur die Teilmenge der verarbeiteten personenbezogenen Daten und das unter einem betriebswirtschaftlichen Aspekt.

Wer mehr in's Thema einsteigen will

• findet hilfreiche Informationen vom BSI (Bundesamt für Sicherheit und Informationstechnik)
• nutzt Informationen der Landesdatenschutzbehörden
• betreibt Risikomanagement für IT-Sicherheit und kritische Unternehmensabläufe
• bereitet Notfallpläne vor
• Sensibilisiert und schult seine Mitarbeiter

Zukünftig wird man - gerade was die aktuelle Attraktivität des deutschen Mittelstandes für Cyber-Attacken angeht (viel zu holen, schlecht geschützt) - wohl mit mehr gesetzlichen technischen Vorgaben rechnen müssen um den Wirtschaftsstandort Deutschland zu schützen und einen stabilen resilienten wirtschaftlichen und behördlichen Datenaustausch zu gewährleisten. So, wie's aktuell hierzulande in der IT-Sicherheit läuft, gerät man auf exponentieller Kurve in die Katastrophe.

Die beste Motivation für den Betrieb einer adäquat sicheren IT sollte aber nicht eine Gesetzgebung sein sein, sondern das vom Kunden entgegengebrachte Vertrauen nicht durch Datenpannen zu enttäuschen.