Seit einem Jahr gilt die DSGVO. Vielen Unternehmern im Mittelstand sind die geforderten Maßnahmen bis heute fremd, werden ignoriert und aufgeschoben. Grund sind meistens fehlende Ansprechpartner und damit Unkenntnis darüber, was konkret zu tun ist. Hinzu kommt, dass die Unternehmer aktuell nur ahnen, welche wirtschaftlichen Schäden durch einen Datenschaden / eine Cyberattacke (Informationsschaden) entstehen können.
Betrachtet man den Datenschutz jedoch vom Ende her, vom Schaden, wird deutlich: Am Ende eines Datenschadens / eines Cyberangriffs stehen je nach Schwere:
- Eigenschäden (Ausfall, Wiederherstellung, Bußgeld, Anwaltskosten etc.),
- Drittschäden (Haftung, Schadensersatz),
- hohe Kosten (u.a. Bußgeld) und immense Aufwände.
Zur Verdeutlichung stelle man sich einfach einen 10 tägigen Betriebsausfall (kein Umsatz) bei weiterlaufenden Kosten vor. Bei 500.000 EUR Jahresumsatz und 200 Betriebstagen beträgt der Umsatzverlust 2.500 EUR am Tag und im Beispiel 25.000 EUR. Liegt „nur“ eine Verschlüsselung vor, so kostet allein die Wiederherstellung der Systeme mehrere Tausend Euro, die extra zu zahlen sind. Fordern Dritte Schadensersatz oder ist die Reputation betroffen (Rechtsanwälte) wird es noch teurer. Hinzu kommen amtliche Nachweispflichten und eventuell ein saftiges Bußgeld. Denn Bußgelder sollen nun einen abschreckenden Charakter haben. Zwischenzeitlich wurden bereits namhafte Bußgelder für vermeintlich harmlose DSGVO-Verfehlungen verhängt. Schnell können in der Summe fünf- bis sechsstellige Schäden entstehen. Es wird deutlich: ein Informationsschaden kann existenzbedrohend sein.
Damit ergeben sich für Unternehmer zwei wichtige Fragen:
- Wer kann im Schadenfall helfen?
- Wer bezahlt den Schaden?
Kammern und Berufsverbände bieten Informationen zur Gesetzeslage, doch weniger konkret hilfreiche Maßnahmen, die DSGVO umzusetzen. Cyberschutz kommt bei vielen berufsständischen Organisationen erst gar nicht vor. Schäden, werden nicht übernommen.
Naheliegend für die Hilfestellung im Schadensfall ist daher der IT-Dienstleister. Schwierig wird es, wenn der Unternehmer selbst die IT betreut oder mehrere Dienstleister eingebunden sind. Kein IT-Dienstleister wird alles koordinieren (Auftrag, Preis) und für Wettbewerber haften. IT´ler haben zudem ihren Schwerpunkt im Bereich Technik. So entfällt hier der wichtige formale Datenschutz (Datenschutzkonzept), denn dieser liegt außerhalb der Kompetenzen. Legt man zugrunde, dass wir bei der Digitalisierung mit einer offenen Fehlerkultur leben (müssen) und es keine 100% Sicherheit geben kann, ist es erstaunlich, dass vielen Anbietern aus dem Bereich IT-Beratung gemein ist, dass sie nicht selten 100% Sicherheit suggerieren. Aber, im Schadenfall haftet der IT-Dienstleister für den Schaden seines Auftraggebers nicht. Umso erstaunlicher ist es, dass Cyberschutz-Versicherungen auch hier keine Rolle spielen. Hilfe bei gravierenden Informationsschäden ist von dieser Seite nicht zu erwarten.
Für die juristischen Formalien im Datenschutz sind Berater unterwegs. Teils als Mischung aus IT und Beratung, mit Datenschutzbeauftragtem. Die schwache Umsetzungsquote im Datenschutz im Mittelstand lässt jedoch darauf schließen, dass diese Angebote nicht unbedingt angenommen werden. Am Ende macht es der Unternehmer lieber mit einem (vollkommen falsch) bestellten Mitarbeiter oder gleich selbst (ebenso falsch), als auf die Marktangebote einzugehen. Offensichtlich haben die Unternehmer immerhin eins verstanden und damit eine Gewissheit: am Ende haftet der Unternehmer immer selbst.
Zur Erinnerung: die Folgen eines Datenschadens / einer Cyberattacke werden in Geld gemessen. Bei einem Betriebsausfall wird der allerbeste IT-Dienstleister für den Ausfallschaden nicht aufkommen. Vielmehr hält er die Hand auf, wenn es um die Wiederherstellung der Systeme geht. Selbst die teuren Datenschutzbeauftragten haften (außer bei Vorsatz) nicht für die Folgen (Kosten). Mögen sie auch behilflich sein für die gesetzeskonforme Schadensabwicklung.
Begrenzung der Schadensfolgen
Aber die Haftung lässt sich begrenzen. Unternehmer schützen sich und ihr Unternehmen ganz einfach mit den folgenden drei Maßnahmen:
- Vollständiges DSGVO konformes Datenschutzkonzept in einem Datenschutzordner
Unternehmen mit einem vollständigen DSGVO konformen Datenschutzkonzept können nachweisen, die gesetzlichen Vorgaben zum Datenschutz eingehalten zu haben. Im Falle eines Schadens kann ein Bußgeld behafteter Vorwurf kaum noch erhoben werden. - Dokumentation und Prüfung der IT-Infrastruktur
Vielen Unternehmern ist nicht bekannt, dass sich die Rechenschaftspflicht gemäß DSGVO auch auf die IT-Infrastruktur bezieht. So sind der Datenfluss und die IT und die gesamten technisch organisatorischen Maßnahmen zu dokumentieren. Im Schadenfall wird geprüft, ob diese Dokumentationen vorliegen und eingehalten wurden. - Absicherung der Folgen des Informationsschadenrisikos
Unternehmen, die bisher keinen Informationsschaden erlitten haben, können eine Cyberschutz-Versicherung abschließen. Kein Unternehmer käme z.B. auf die Idee sein Unternehmen nicht vor Sachgefahren (Feuer, Wasser, Einbruch) abzusichern. Eine Cyberschutz-Versicherung schützt mit bereits begleitenden Hilfen (Mitarbeiterschulungen, Hinweisen) vor einem Schaden und hilft nach einem Schaden mit umfangreichen Maßnahmepaketen und Leistungen. Abkürzend kann festgehalten werden, dass nahezu der gesamte Schaden beglichen wird. - Sonstige Absicherungen
Bei Personengesellschaften empfiehlt sich gegebenenfalls eine D&O Versicherung. Kein Geschäftsführer möchte durch den Vorwurf einer Obliegenheitsverletzung persönlich haften.
Betrachtet man den Datenschutz einmal vom Ende, also dem Schaden, dann ergeben sich wie von selbst die zu ergreifenden Maßnahmen. Unternehmen, welche diese Punkte beachten, werden im Falle eines Schadens unaufgeregt und professionell agieren und sind vor den Folgen geschützt. Will der Verantwortliche nicht auf den Kosten sitzen bleiben, muss er vorher – vor dem Schaden – aktiv werden.
Mike Amelang
Thomasiusstraße 14
10557 Berlin
[email protected]
www.amelang.berlin
Berlin, 20.05.2019
Photo: Shutterstock/ Maksim Kabakou
