Gefahr Datendiebstahl: Welche Risiken drohen? Welche Handlungspflichten gibt es? (Teil 2)

0

Der erste Teil dieser Reihe zum Datendiebstahl berichtete über den Datendiebstahl bei Kreditech und widmete sich anlässlich dieses Vorfalls der Frage, welche Pflichten ein Unternehmen treffen, das von einem Datendiebstahl betroffen ist. Dabei wurde die Meldepflicht des § 42a BDSG ausführlich vorgestellt. Wie bereits im ersten Teil angekündigt, soll sich dieser zweite und letzte Teil folgenden beiden Fragen widmen:

  1. Welche Haftungsrisiken drohen betroffenen Unternehmen und wie kann man diese vermeiden?
  2. Welche Möglichkeiten hat ein betroffenes Unternehmen einen Datendieb in Anspruch zu nehmen?

Zur 1. Frage: Welche Haftungsrisiken drohen betroffenen Unternehmen und wie können diese vermieden werden?

In Fällen eines Datendiebstahls ist häufig der Datendieb nicht zu fassen. Daher werden die betroffenen Kunden bemüht sein, sich beim „bestohlenen“ Unternehmen schadlos zu halten.

Eine Schadenersatzpflicht des Unternehmens kann sich aus vorvertraglichem Schuldverhältnis, aus Vertrag oder aus Delikt ergeben. Ohne auf die einzelnen Anspruchsgrundlagen im Einzelnen einzugehen, setzen Schadenersatzansprüche neben einem Schaden stets mindestens eine Pflichtverletzung voraus. Eine solche Pflichtverletzung kann dann angenommen werden, wenn das Unternehmen zum Tatzeitpunkt nicht diejenigen Schutzmaßnahmen getroffen hat, „die im jeweiligen Wirtschaftszweig üblich sind und vernünftiger Weise erwartet werden dürfen“ (Haller/Lutz, BB 2014, 1993 (1996)). Welche konkreten Schutzmaßnamen ein Unternehmen treffen muss, ist somit einzelfallabhängig. Relevant sind die drohenden Schäden und die Wahrscheinlichkeit der Gefahrverwirklichung in der jeweiligen Branche. FinTechs, die Bank- und Kreditkartendaten speichern, haben daher gesteigerte Sicherheitsanforderungen zu beachten. Hilfestellung bei der Bestimmung der notwendigen Schutzmaßnahmen können die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der Payment Card Industry Data Security Standard (PCI DSS) geben.

Wichtig ist es, Sicherheitsvorkehrungen zu treffen, die dem Stand der Technik entsprechen. Daher sind die Sicherheitsmaßnahmen in regelmäßigen Abständen zu überprüfen.

Zum Schutz vor Haftung kann eine Versicherung gegen Cyber-Risiken in Erwägung gezogen werden. Wie der Beitrag von Choudhry im Versicherungsboten zeigt, bieten immer mehr Versicherungen entsprechende Policen an.

Zur 2. Frage: Welche Möglichkeiten hat ein betroffenes Unternehmen den Datendieb in Anspruch zu nehmen?

Oben wurde bereits ausgeführt, dass Datendiebe oftmals nicht greifbar sind. Ist der Datendieb ausnahmsweise einmal bekannt, stellt sich die Frage, welche Möglichkeiten der Inanspruchnahme es gibt.

Handelt es sich bei dem Datendieb um einen (ehemaligen) Mitarbeiter, kann ein entsprechender Anspruch sowohl aus der Verletzung der arbeitsvertraglichen Verschwiegenheitspflicht, als auch aus Deliktsrecht hergeleitet werden. Ist der Datendieb ein Dritter, ohne (gegenwärtige oder ehemalige) vertragliche Verbindung zum Unternehmen, kommt lediglich Deliktsrecht in Frage. Dabei sei darauf hingewiesen, dass sich der Datendieb unter Umständen nach § 17 UWG wegen Verrats von Geschäfts- und Betriebsgeheimnissen strafbar gemacht hat. Im Rahmen der deliktischen Anspruchsgrundlagen wird § 17 UWG als Schutzgesetz erachtet, sodass der Anwendungsbereich des § 823 Abs. 2 BGB eröffnet ist.

Allerdings sind nur solche Vorsorgemaßnahmen als Schaden ersatzfähig, die nicht die Grenze zur freiwilligen Kulanz überschreiten. Ein Überschreiten dieser Grenze wird immer dann angenommen, wenn die Maßnahme keine unmittelbare Gefährdung beseitigt (Haller/Lutz, BB 2014, 1993 (1996)). Bei Entwendung von Kreditkartendaten besteht beispielsweise ein Anspruch auf Ersatz der Kosten für Kartenaustausch, Schaltung einer Hotline und Gewährung eines Credit Monitoring für die betroffenen Kunden (Haller/Lutz, BB 2014, 1993 (1996)). In den Bereich der Kulanz dürften etwa kleine Aufmerksamkeiten anlässlich der erlittenen Beeinträchtigung fallen.

Christine Funk ist Rechtsanwältin bei P+P Pöllath + Partners in Frankfurt am Main. Zu ihren Arbeitsschwerpunkten gehört Venture Capital, M&A / Private Equity und Gesellschaftsrecht.

Kommentar schreiben

We use cookies to ensure that we give you the best experience on our website.