Im Wesentlichen ist eine Schädigung oder Manipulation der EDV-Systeme zumeist einem verschuldeten Verhalten eines „anderen“ geschuldet. Aufgrund der vertraglichen Konstellationen und der gesetzlichen Rechtslage wird man häufig die Schadenersatzansprüche gegen einen „Schädiger“ geltend machen können. Was ist aber, wenn man diesem Schädiger nicht habhaft werden kann oder wenn dieser einfach kein Vermögen hat?
Dann kann man noch so gute rechtliche Ansprüche haben. Man kann seine Ansprüche aber nicht erfolgreich realisieren!
a. Umfang des zu leistenden Schadensersatzes und betroffene Personen
Der durch einen Cyberangriff entstandene Schaden ist nicht begrenzt auf die Kosten, die für das gegebenenfalls notwendige Wiederherstellen von Betriebssystemen anfallen können. Vielmehr erstrecken sich die negativen wirtschaftlichen Folgen auf Umsatzeinbußen, Kosten, welche zur Feststellung der Ursache für den Cyberangriff aufgewendet werden müssen, Ausgaben für technisches Personal und juristische Beratung sowie ein eventuelles Bußgeld (Quelle: Löschhorn/Fuhrmann in NZG 2019, 161, (170), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?).
Nicht zuletzt kann auch der Wert des Unternehmens selbst nachteilig beeinflusst werden (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung).
Die Gesellschafter eines Unternehmens werden also wenig erfreut sein, wenn derartige außerplanmäßige Kosten entstehen, die durch eine sichere IT hätten vermieden werden können. Daher stellt sich natürlich auch die Frage, ob die Gesellschafter dann Schadensersatzansprüche an die Geschäftsführung haben?
Zu diesen „eigenen“ Kosten des Unternehmens können noch sehr beträchtliche Ausgaben für Schadensersatzzahlungen (also existenzbedrohende!) an Dritte hinzukommen.
Gem. §§ 280 Abs. 1, 2; 286 BGB können Kundinnen und Kunden sowie Lieferantinnen und Lieferanten z.B. bei eintretenden Lieferausfällen, Verzug oder erlittenem Datenverlust das von einem Cyberangriff betroffene Unternehmen in Anspruch nehmen.
Verliert das angegriffene Unternehmen Daten oder werden diese gestohlen, besteht zudem die Möglichkeit der Inanspruchnahme nach § 280 BGB aufgrund der Verletzung von Vertraulichkeitspflichten (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung).
Aufgrund der Verschuldensvermutung aus § 280 Abs. 1 S. 2 BGB ist es Aufgabe des Unternehmens, nachzuweisen, dass den IT-bezogenen Sicherheitspflichten in einem hinreichenden Maße zuvor nachgekommen wurde. Es ist also eine wichtige Aufgabe der Geschäftsführung, eine ordnungsgemäße Dokumentation der IT nachzuweisen, als dass diese dem Stand der Technik entspricht.
Daneben tritt Art. 82 DSGVO. Hieraus resultiert für das personenbezogene Daten verarbeitende Unternehmen die Haftung hinsichtlich materieller und immaterieller Schäden, die auf eine nicht DSGVO-konforme Verarbeitung personenbezogener Daten zurückgehen (Quelle: Löschhorn/Fuhrmann in NZG 2019, 161, (169), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?).
Insbesondere bei der Entwendung personenbezogener Daten kann der zu ersetzende immaterielle Schaden den materiellen Schaden durchaus übersteigen (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung). Eine Exkulpationsmöglichkeit besteht nur, wenn den Verantwortlichen der Nachweis gelingt, dass sie „in keinerlei Hinsicht“ für den Schaden auslösenden Faktor Verantwortung tragen.
Zu der Haftung aus Art.82 DSGVO tritt die Möglichkeit, dass eine Geldbuße nach Art. 83 DSGVO verhängt wird. Die Geldbußen sollen „im Einzelfall wirksam, verhältnismäßig und abschreckend “ sein. Eine Geldbuße kann daher bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr betragen (Rubin in r+s 2018, 337, (341), Inhalt und versicherungsrechtliche Auswirkungen der Datenschutz-Grundverordnung), im Falle von Google zum Beispiel über 50 Millionen Euro (Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung).
In Deutschland wurde wohl im Jahre 2019 das höchste Bußgeld gegenüber dem Unternehmen Deutsche Wohnen verhängt. Das Bußgeld betrug 14,5 Milliarden Euro, weil eine ordnungsgemäße Datenlöschung nicht gewährleistet wurde.
Sie können aber auch das Bußgeld für Ihr Unternehmen schnell ermitteln, indem Sie ihren Jahresumsatz nehmen und diesen durch 360 Tage teilen. Etwa das Zehnfache des daraus resultierenden Tagessatzes wird als angemessen angesehen. Dieses ist die voraussichtlich künftige Handhabung, wie die individuelle Höhe eines Bußgeldes als „Ausgangswert“ bestimmt wird. Natürlich gibt es auch noch verschärfende oder mildernde zu berücksichtigende Faktoren. Es ist aber eine gute „Daumenregel“ um die voraussichtliche Höhe des Bußgeldes für einen Datenschutzverstoß zu ermitteln. Leider ist es nur so, dass „Schadenzahlungen“ für Bußgelder nicht versicherbar sind. Daher muss die Geschäftsführung insbesondere die Einhaltung dieser gesetzlichen Vorschriften sicherstellen.
b. Kein Ausschluss durch AGB
Die Verantwortlichkeit von Geschäftsführerinnen und Geschäftsführern kann auch nicht durch Verwendungen von AGB begegnet werden, welche Haftungsbeschränkungen zum Inhalt haben. Werden AGB verwendet, so haben die Verwendenden dennoch für vorhersehbare Schadensfolgen im Bereich der wesentlichen Vertragspflichten einzustehen. Lieferpflichten nachzukommen und Kundendaten vertraulich zu behandeln, stellen wesentliche Vertragspflichten dar, sodass ein Haftungsausschluss für den Fall fahrlässiger Verstöße höchstens durch individualvertragliche Vereinbarung in Betracht kommt (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung).
c. Rückgriff auf Mitarbeiterinnen und Mitarbeiter kaum realisierbar
Obwohl eine Vielzahl von Cyberangriffen erst durch Anwenderfehler möglich wird, ist die Inanspruchnahme von Mitarbeiterinnen und Mitarbeitern des eigenen Unternehmens bei betrieblich veranlasster Tätigkeit oft nicht erfolgsversprechend, da eine Haftung dieser bei fahrlässigem Handeln beschränkt ist (Quelle: Vgl. Fortmann in r+s, 2019, 688, (693), Cyber-Datenrisiken: Erhebliche Gefahr für Geschäftsleiter und D&O-Versicherer?).
Auch bei grob fahrlässigen Pflichtverletzungen hat das BAG Arbeitnehmerinnen und Arbeitnehmern bisher keine Haftungsquote auferlegt, die deren Jahresgehalt übersteigt (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung). Durch Cyberangriffe eintretende Schäden können diese Summen jedoch leicht um ein Vielfaches überschreiten. Zu bedenken ist auch, dass nach den im Arbeitsrecht geltenden Grundsätzen der Mitarbeiterin oder dem Mitarbeiter Verschulden nachgewiesen werden muss und nicht umgekehrt.
Mit anderen Worten die Geschäftsführung und die Unternehmung hat für etwaiges Fehlverhalten ihrer Mitarbeiter einzustehen. Selbst wenn ein Rückgriff gegenüber einem Mitarbeiter theoretisch möglich wäre, so greift eine strikte Haftungsbegrenzung, als dass in der Regel kaum mehr als drei Monatsgehälter geltend gemacht werden können. Ein wirtschaftlich nachhaltiger Rückgriff auf den Verursacher, der als Mitarbeiter grob fahrlässig gehandelt hatte, ist also unter wirtschaftlichen Gesichtspunkten nicht gegeben.
d. Kein Rückgriff auf IT-Dienstleisterinnen und -Dienstleister
Auch die Inanspruchnahme der das Unternehmen unterstützenden IT-Dienstleisterinnen und -Dienstleister wird häufig erfolglos verlaufen, da diese in der Regel „nur“ die vertraglich vereinbarten Aufgaben als Hauptleistungen zu erbringen haben. Die vertraglich vereinbarten Aufgaben können auch häufig deutlich unter dem „Stand der Technik“ liegen. Daher kommt es vermutlich häufig vor, dass aus Unkenntnis der Geschäftsführung oder mangelnden finanziellen Rahmen der Firma nur technisch notwendige Dienstleistungen vorgenommen werden, die nicht dem sich wandelnden „Stand der Technik“ entsprechen.
Das Erfordernis aber zum Betrieb einer IT nach „Stand der Technik“ ergibt sich aus Art. 24 Abs. 1 u. 2 DSGVO und der daraus resultierenden Verpflichtung, auch den Nachweis hierfür erbringen zu können (s. auch ErwGrd 74). Daher bedarf es auch einer nachvollziehbaren Dokumentation.
Sofern es an einer solchen vertraglichen Verpflichtung des IT-Dienstleisters fehlt, hat er also allenfalls die Nebenpflicht zu erfüllen, die Geschäftsführung auf die nach Art. 24 DSGVO erforderlichen technischen Maßnahmen (TOM’s) hinzuweisen, die dem jeweiligen „Stand der Technik“ entsprechen. Wird diese Beratungsverpflichtung nicht erfüllt, so ist es natürlich vorstellbar, dass der IT-Dienstleister wegen der Verletzung von Beratung und Aufklärungspflichten schadenersatzpflichtig gemacht werden könnte (§ 280 BGB). Dennoch besteht natürlich das Problem, einen möglicherweise sehr hohen Forderungsanspruch auch tatsächlich erfolgreich gegenüber dem IT-Dienstleister durchzusetzen und zu vollstrecken.
Des Weiteren werden im Rahmen größerer Verträge regelmäßig prozentuale oder betragsmäßige Haftungsgrenzen vereinbart.
Auch die Inanspruchnahme von Softwareherstellern oder deren Vertrieb für die dem Grunde nach virusanfällige Software ist nur schwierig realisierbar, da Sicherheitslücken in vielen Fällen erst nach Kauf erkennbar werden und die Verkäuferinnen und Verkäufer sich entlasten können, wenn das Produkt zum Herstellungszeitpunkt dem „Stand der Technik“ entsprach. Oder diese, wie beispielsweise Microsoft oder Google gar nicht so einfach juristisch greifbar sind.
Handelt es sich bei der Verkäuferin oder dem Verkäufer um eine Zwischenhändlerin oder einen Zwischenhändler, was regelmäßig der Fall sein wird, so sind diese hinsichtlich des Bestehens von Sicherheitslücken im Grundsatz auch nicht zur Produktbeobachtung verpflichtet (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung).
https://www.experten.de/2020/03/02/haftung-der-geschaeftsfuehrer-bei-einem-cyberangriff/
Themen:
LESEN SIE AUCH
Haftung der Geschäftsführer bei einem Cyberangriff
KI verändert die Spielregeln für Cybersicherheit
Der öffentliche Zugang zu generativer KI wie ChatGPT hebt die Gefahren von Cyberkriminalität auf ein neues Level. Denn Hacker entwickeln mit dieser Technologie ihre Methoden weiter und maximieren durch gezielte Angriffe Reichweiten und Gewinne.
Haftpflicht schützt bei Google Fonts-Abmahnung
Derzeit häufen sich Abmahnungen und Geldforderungen wegen Datenschutzverletzungen aufgrund der „remote“-Verwendung von Google Fonts auf Webseiten. Bei der VHV gewerblich haftpflichtversicherte Architekturbüros und Betriebe aus der Baubranche sind davor geschützt.
HKD: Update zum Hacker-Angriff
Versicherer fordern Rechtsrahmen für automatisierte Binnenschifffahrt
Automatisierte Binnenschiffe könnten schon heute einsatzbereit sein – doch es fehlt an klaren gesetzlichen Vorgaben. Der GDV fordert die Bundesregierung und internationale Flusskommissionen auf, Standards zu schaffen, um die Technologie voranzutreiben.
Allianz Commercial und Coalition starten gemeinsam in Deutschland
Mit der Partnerschaft stärkt Allianz Commercial ihr Cybergeschäft in Deutschland: Das Coalition-Cyberprodukt wird ausschließlich über den Maklermarkt angeboten und komplettiert das Allianz Angebot im Firmen- und Industriebereich bis zu einer Umsatzgrenze von einer Milliarde Euro
Aon-Marktprognose 2025: „Bürokratie bremst den Fortschritt aus“
Das Beratungsunternehmen Aon hat seine Marktprognose für den deutschen Versicherungsmarkt 2025 veröffentlicht. Der Bericht zeigt: Unternehmen müssen sich zunehmend mit komplexen und global vernetzten Risiken auseinandersetzen. Politische Unsicherheiten, hohe Kosten und der Klimawandel setzen Unternehmen unter Druck.
Versicherungsbranche erwartet 2025 stabiles Wachstum – GDV fordert Reformen
Die Versicherungswirtschaft prognostiziert für 2025 ein branchenweites Beitragswachstum von fünf Prozent. Besonders die Schaden- und Unfallversicherung sowie die PKV legen zu. Gleichzeitig fordert der GDV Reformen in der Altersvorsorge, Cybersicherheit und dem Steuerrecht.
Kennzeichenwechsel für Mofas, Mopeds und E-Scooter: Ab März gilt nur noch Grün
Zum 1. März müssen Mofas, Mopeds und E-Scooter auf ein grünes Versicherungskennzeichen umgestellt werden. Wer weiterhin mit dem blauen Kennzeichen unterwegs ist, fährt nicht nur ohne Versicherungsschutz, sondern macht sich auch strafbar. Die aktuellen Zahlen des GDV zeigen zudem: Schäden und Diebstähle haben 2023 deutlich zugenommen.
Lebensversicherung: Überschussbeteiligung 2025 steigt weiter – doch nicht in der Breite
Die Überschussbeteiligungen deutscher Lebensversicherer steigen weiter, wenn auch weniger stark als im Vorjahr. Eine Analyse von MORGEN & MORGEN zeigt, dass fast alle Versicherer mindestens zwei Prozent bieten, während jeder fünfte Anbieter drei Prozent oder mehr gewährt. Thorsten Saal, Bereichsleiter Mathematik & Rating, bewertet die Entwicklung als kundenfreundlich, betont aber auch die individuelle Strategie der Versicherer.
Lebensversicherung führt Beschwerde-Statistik an
Der Versicherungsombudsmann e. V. hat seinen Tätigkeitsbericht zur Streitbeilegung vorgelegt. Insgesamt 21.548 Beschwerden wurden im Jahr 2024 bearbeitet. Dabei fällt auf: Beschwerden über Versicherungsvermittler sind mit 334 Fällen gering und zeigen kaum Veränderungen zu den Vorjahren.
Maul- und Klauenseuche in Deutschland: Was Versicherungen wirklich abdecken
Maul- und Klauenseuche nach Jahrzehnten erneut in Deutschland: Der Ausbruch in Brandenburg zeigt, wie schnell Tierseuchen enorme wirtschaftliche Risiken für Landwirte mit sich bringen. Versicherungen helfen bei direkten Schäden, lassen Landwirte bei Einkommensverlusten durch Exportverbote jedoch oft allein.