Kontakt
Kontakt

Wer haftet bei Datenverlust?

Gehackt und Daten weg – Wer haftet?
STC
Stand: 
April 11, 2018
-
7 min
lesen

Für viele Unternehmer ist es ein Alptraum: Durch einen Hackerangriff oder ein IT-Problem gehen Daten verloren oder werden gestohlen. Datenklau kann zu herben Verlusten führen – je nach Gewerbe kann es zu Sach-, Vermögens- oder auch Vertrauensverlusten bei Kunden und Geschäftspartnern kommen. Wer im Schadensfall haftet und wie Sie sich als Verantwortliche*r schützen können, erklärt Ihnen STC.

1. Bei wem liegt die Verantwortung?

Grundsätzlich sind der Vorstand bzw. die Geschäftsführung eines Unternehmens dafür verantwortlich, dass IT-Risiken ausreichend abgesichert sind.

Achtung: Hierbei ist es möglich, dass Verantwortliche auch mit ihrem Privatvermögen haften müssen.

Unabhängig davon, ob es um IT- oder andere Gefahren geht, bieten sowohl die ständige Rechtsprechung als auch Gesetzestexte Grundlagen für eine mögliche Inanspruchnahme der Führungskräfte.

Bei Kapitalgesellschaften sind dies das GmbH-Gesetz und das Aktiengesetz.

GmbH-Gesetz

§ 43 Abs. 1 und 2 GmbHG, Haftung der Geschäftsführer

(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.

Aktiengesetz

§ 92 AktG, Vorstandspflichten bei Verlust, Überschuldung oder Zahlungsunfähigkeit

(1) Ergibt sich bei Aufstellung der Jahresbilanz oder einer Zwischenbilanz oder ist bei pflichtmäßigem Ermessen anzunehmen, daß ein Verlust in Höhe der Hälfte des Grundkapitals besteht, so hat der Vorstand unverzüglich die Hauptversammlung einzuberufen und ihr dies anzuzeigen.

(2) Nachdem die Zahlungsunfähigkeit der Gesellschaft eingetreten ist oder sich ihre Überschuldung ergeben hat, darf der Vorstand keine Zahlungen leisten. Dies gilt nicht von Zahlungen, die auch nach diesem Zeitpunkt mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters vereinbar sind. Die gleiche Verpflichtung trifft den Vorstand für Zahlungen an Aktionäre, soweit diese zur Zahlungsunfähigkeit der Gesellschaft führen mussten, es sei denn, dies war auch bei Beachtung der in § 93 Abs. 1 Satz 1 bezeichneten Sorgfalt nicht erkennbar."

Grundsätzlich gilt: Für eine haftungsrechtliche Inanspruchnahme ist nicht nur das eigene Verschulden relevant. Mitglieder der Geschäftsführung haften solidarisch. Das bedeutet, dass ein Mitglied der Geschäftsführung immer auch für die Fehler eines anderen Geschäftsführers einstehen muss.

Als Geschäftsführer gewertet wird zudem nicht nur der Personenkreis, der formal zum Geschäftsführer bestellt worden ist. Auch der Anschein führt zu einer entsprechenden Heranziehung, es kann sich um einen „faktischen Geschäftsführer“ handeln.

Bei Personengesellschaften finden die Regelungen des BGB bzw. des HGB Anwendung. Zwar findet sich hier keine spezielle Haftungsnorm, wie in den §§ 43 GmbhG und 92 AktG, der § 280 Abs. 1 BGB kann jedoch wegen der Verletzung des Gesellschaftsvertrags herangezogen werden.

Sowohl bei Kapital-, als auch bei Personengesellschaften können deliktische Ansprüche nach § 823 Abs. 2 BGB in der Verbindung mit der Verletzung eines Schutzgesetztes (z.B. Untreue), als auch eine sittenwidrige und vorsätzliche Schädigung nach § 826 BGB in Frage kommen.

Mehr Informationen zum Thema Managerhaftung finden Sie hier.

2. Was ändert sich in 2018?

Im Mai 2018 wird in der gesamten Europäischen Union die EU-DSGVO anwendbar. Was sich dadurch für Sie als Unternehmen oder auch als Nutzer*in ändert, erfahren Sie unter DSGVO. Die wichtigsten Änderungen, was die Geschäftsführerhaftung angeht, haben wir hier für Sie aufgeführt:

2.1 Natürliche Personen

Im Datenschutz-Anpassungs- und -Umsetzungsgesetz (DSAnpUG), das in Deutschland die Vorgaben der DSGVO umsetzen soll, ist festgelegt, dass nicht nur Unternehmen, sondern auch natürliche Personen – das heißt in diesem Fall z.B. Mitarbeiter*innen, Geschäftsführung und interne Datenschutzbeauftragte – für Datenschutzverletzungen zur Kasse gebeten werden können. Risiko und Strafen steigen also – womit Absicherung und regelmäßige Kontrollen noch wichtiger werden als zuvor.

2.2 Auch ohne Schaden ist Haftung möglich

Wenn in Ihrem Unternehmen Mängel in der Datensicherheit festgestellt werden, kann dies zu Bußgeldforderungen führen. Dies gilt nicht nur dann, wenn tatsächlich ein Schaden entsteht, sondern bereits mit dem Nichterfüllen der nötigen Sicherheitsstandards. Es ist also nicht genug, z.B. als kleines Unternehmen darauf zu hoffen, dass „schon nichts passieren“ wird.

3. Um diese Sicherheiten sollten Sie sich kümmern.

Inzwischen ist die Informationstechnologie vollständig in den Unternehmen angekommen – es gibt kaum noch einen Arbeitsbereich, der nicht zumindest am Rande mit Daten und deren Verarbeitung zu tun hat. Dabei verliert man auch als verantwortungsbewusste Führungskraft leicht den Überblick. Dies sind die Sicherheiten, die Sie als Geschäftsführer*in gewährleisten sollten:

.

3.1 Technische Sicherheit

Sorgen Sie dafür, dass Ihr Risiko, Daten zu verlieren, so gering wie möglich bleibt. Folgende Maßnahmen sollten Sie ergreifen:

Archivierung: Mit der EU-DSGVO ab Mai 2018 gilt für alle Betriebe, die Daten verarbeiten, Rechenschaftspflicht. Sie sollten also so schnell wie möglich ein effizientes und gegliedertes System zur Archivierung sämtlicher IT-Tätigkeiten und Sicherheitsmaßnahmen anlegen.

Backup: Alle Daten, die Sie als Unternehmen benötigen – seien es interne oder Kundendaten – sollten durch regelmäßige Backups gesichert werden. Diese Backups sollten automatisch erfolgen und ebenso wie alle anderen Sicherheitsmaßnahmen dokumentiert werden. Bei presonenbezogenen Daten sollten Sie hierbei auf die Löschungspflichten achten – mehr hierzu finden Sie unter DSGVO.

Firewalls und Virenschutz: Durch ein anerkanntes und vertrauenswürdiges Virenschutzprogramm – zu diesen gehört oft bereits eine Firewall – sind Sie bereits gegen viele Gefahren aus dem Internet gefeit. Wichtig ist hierbei, dass Updates regelmäßig vorgenommen und Mitarbeiter geschult werden und dass IT-Fachkräfte die Funktion der Programme überprüfen.

Verschlüsselung: Schon im täglichen E-Mail-Verkehr kann gehackt werden – stellen Sie daher sicher, dass alle Ihre geschäftlichen Korrespondenzen ausreichend verschlüsselt sind.

.

3.2 Organisatorische Umsetzung

Es reicht nicht, die technischen Möglichkeiten zur Datensicherung zu erfüllen – sie müssen auch kontinuierlich umgesetzt werden. Hierzu gehört es, verbindliche Standards für Mitarbeiter und Führungskräfte festzulegen und umfangreiche Konzepte zu Verantwortung und Berechtigungen zu erstellen.

Policies und Nutzungsrichtlinien: Sämtliche Mitarbeiter, die mit Daten arbeiten – ganz besonders mit personenbezogenen Daten – sollten über die Verhaltensweisen informiert werden, die zum Schutz derselben nötig sind. Hierzu sollten verbindliche Regeln gelten.

Kontrollen und Audits: Die Einhaltung der Regeln zur Datennutzung muss selbstverständlich überprüft werden – hierzu kann es sinnvoll sein, externe Auditer zu beauftragen.

Risiko-Management: Überprüfen Sie kontinuierlich, welche Programme und Daten Sie verwenden, wer darauf Zugriff hat und wie sensibel das Material ist. Je genauer Sie wissen, in welchen IT-Bereichen sich Ihr Unternehmen bewegt, umso genauer können Sie richtlinien und auch Versicherungspolicen anpassen.

Schulungen: Abgesehen von Policies sollten Ihre Mitarbeiter auch Schulungen erhalten, um den verantwortungsbewussten Umgang mit der unternehmensinternen IT zu erlernen. Hierbei sollten Sie auch darauf achten, welche Regelungen zum Gebrauch privater Geräten (z.B. Smartphones) in Betrieblichen Angelegenheiten bestehen.

Zertifizierung: Nutzen Sie externe Datenverarbeiter, macht es Sinn, auf Zertifizierung zu achten. So gibt es beispielsweise DSGVO-konforme Datenschutzzertifikate für Cloud-Dienste. Verfügt ein Anbieter über ein solches – beispielsweise das „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ (TCDP), so gilt dies als hinreichende Garantie für die Sicherheit eines Cloudanbieters. Mehr zur Auftragsdatenverarbeitung finden Sie unter ADV.

.

3.3 Rechtliche Absicherung

Als Geschäftsführung haften Sie für einen Großteil der Fehler, die in Ihrer betriebsinternen IT passieren. Damit Sie rechtlich abgesichert sind, sollten Sie sich um folgende Punkte besonders kümmern:

Vertragsgestaltung: bei Arbeits- und anderen Verträgen sollten Sie darauf achten, dass genau geklärt ist, welche Parteien welche Verantwortungen tragen und im Schadensfall haften.

AGB: Die Allgemeinen Geschäftsbedingungen spielen vor allem für IT-Unternehmen eine Rolle, die beispielsweise programmieren. Mit der DSGVO ändern sich auch hier die Standards – so müssen Die AGB genau wie die Datenschutzvereinbarung in Zukunft in verständlicherer Sprache abgefasst sein. Mehr Informationen zur DSGVO finden Sie hier.

Maßnahmen gegen Organisationsverschulden über Betriebsvereinbarung: Die Betriebsvereinbarung ist ein Vertrag zwischen Arbeitgeber und Betriebsrat, der verbindliche Normen für alle Arbeitnehmer eines Betriebes formuliert. Hier lassen sich Standards zur Datennutzung und -verarbeitung rechtskräftig festlegen.

.

3.4 Wirtschaftliche Sicherheit

Falls es trotz aller Sicherheitsvorkehrungen zu einem Schaden kommt, helfen spezielle Cyber-Policen von Versicherern. Mehr zu den entsprechenden Angeboten finden Sie unter Punkt 4.

cyber-haftung - Blogbeitrag
© STC Research

4. Externe Datenschutzbeauftragte können die Lösung sein

In bestimmten Fällen ist es in Zukunft für Unternehmen Pflicht, eine*n Datenschutzbeauftragte*n zu benennen. Dies gilt, wenn:

  • Sie besonders sensible Daten verarbeiten
  • Ihr Geschäft in der Übermittlung personenbezogener Daten liegt
  • Sie mindestens zehn Mitarbeiter haben, die Daten automatisiert verarbeiten.

Allerdings kann es auch für Unternehmen, die nicht in diese Kategorie fallen, sinnvoll sein, die Verantwortung für Datenschutz klar zu benennen.

Grundsätzlich haben Sie als Unternehmen die Möglichkeit, eine*n Ihrer Mitarbeiter*innen als Datenschutzbeauftragten zu benennen. Dies kann jedoch rechtlich kompliziert werden und zudem zu Kapazitätsproblemen und teuren Fortbildungen führen.

Eine andere Option ist es, einen externen Datenschutzbeauftragte*n in Anspruch zu nehmen. Dies bietet zum Beispiel der Verband der Internetwirtschaft eco. Eine externer Datenschutzbeauftragter erfüllt gleich mehrere Aufgabenfelder:

  • Fachkundiges Überprüfen und Anpassen der bestehenden Sicherheitsmaßnahmen
  • Ansprechpartner in allen Fragen zur Datensicherheit
  • Regelmäßige Audits, in denen die Vorkehrungen überprüft werden
  • Schulung der Mitarbeiter

Der vielleicht größte Vorteil eines externen Datenschutzbeauftragten ist die Auslagerung des Haftungsrisikos: die Verantwortung und das Risiko liegen bei der Person bzw. dem Unternehmen des Beauftragten.

5. Was tun im Schadensfall?

Falls es trotz aller Vorsicht zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist also das Rundumpaket aller benötigten Absicherungen für Cyberfälle.

Überblick Cyber
© STC Research

Weitere Informationen zu Cyber-Risiken und deren Absicherung sowie Ihr persönliches Versicherungsangebot finden Sie hier.

6. Kontakt

Haben Sie noch weitere Fragen, suchen genauere Informationen oder möchten wissen, wie Sie sich und Ihre Firma am besten gegen Datenverlust absichern? Melden Sie sich bei uns! Füllen Sie einfach das untenstehende Formular aus, wir melden uns bei Ihnen – einfach und unkompliziert.

STC Versicherungsmakler
Schreiben Sie uns Ihre Nachricht und Sie erhalten innerhalb von 24 Stunden eine Antwort von uns.
02663 97995-0
info@stc-makler.de
Kontakt aufnehmen

Ihr Ansprechpartner, vor allem im Schadenfall

Wir von STC wissen, dass Ihre Zeit ein wertvolles Gut ist und nicht in aufwendigen Diskussionen mit Versicherungsunternehmen verbraucht werden sollte. Als alleiniger Ansprechpartner übernehmen wir daher sämtliche Bearbeitungsschritte im Versicherungsmanagement und verhandeln Konditionen, Rahmenverträge sowie gesonderte Klauseln, sodass Sie sich auf die wichtigen Dinge konzentrieren können.
7.500 zufriedene Kunden
juristisches Know-How
ortsunabhängige Beratung

Wir unterstützen Sie in allen Lebenslagen

Sicher - Transparent - Clever
Zum Kontaktformular
© Alex from the Rock, stock.adobe.com
© 2014-2024 STC GmbH
magnifiercrossmenuCookie Consent mit Real Cookie Banner