Das lukrative Geschäft mit Schadensersatzklagen

Neben Datenklau und Erpressung entwickeln sich auch konzertierte Schadensersatzforderungen Betroffener zu einer Bedrohung für Unternehmen. Ein Argument mehr, den Datenschutz ernst zu nehmen.

Von Dr. Hauke Hansen und Carsten Wiesenthal

iX-tract

Cyberangriffe werden für Unternehmen schnell zur existenziellen Bedrohung: Neben Datendiebstahl und Erpressung durch Kriminelle hat die Klageindustrie Schadensersatzklagen von Betroffenen als neues Geschäftsmodell für sich entdeckt.
Noch sind die Gerichte in der Handhabung uneins, ob ein konkreter Schaden erst bewiesen werden muss oder den vom Datendiebstahl Betroffenen grundsätzlich Schadensersatz zusteht. Das Geschäftsmodell Datenschutzschadensersatzklage hängt von der Entscheidung des EuGH ab, dem Fragen zur Auslegung des einschlägigen Paragrafen der DSGVO vorliegen.
Gerade kleine und mittlere Unternehmen sind gut beraten, sich externe Sicherheits- und Datenschutzkompetenz ins Haus zu holen und sich rechtzeitig für den Ernstfall finanziell abzusichern.

Cyberattacken stellen für Unternehmen eine immer größere Gefahr dar. Sind die Angreifer erfolgreich in die IT-Systeme eingedrungen, werden die Daten verschlüsselt und der Geschäftsbetrieb und die Produktion lahmgelegt. Außerdem ziehen die Täter Daten ab und erpressen das Unternehmen. Lehnt es eine Lösegeldzahlung ab, werden die Unternehmensdaten im Darknet veröffentlicht oder dort zum Kauf angeboten. Die Folgen eines solchen Datenlecks können enorm sein und nicht selten das Bestehen des Unternehmens gefährden. Neben möglichen Bußgeldern von Datenschutzbehörden entwickeln sich auch orchestrierte Schadensersatzansprüche von betroffenen Kunden zu einer ernst zu nehmenden Bedrohung.

Die Datenschutz-Grundverordnung der EU verpflichtet Unternehmen durch ihren Artikel 32 dazu, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Seitdem haben Datenschutzbehörden in Deutschland und zahlreichen anderen EU-Ländern Geldbußen in Millionenhöhe verhängt. Die genaue Höhe der Strafen hängt von verschiedenen Faktoren ab, einschließlich der Fähigkeiten der Angreifer, der Qualität der bestehenden IT-Sicherheitsinfrastruktur, der Größe des Unternehmens und der Art der personenbezogenen Daten, die betroffen sind. In allen EU-Ländern können die Datenschutzbehörden Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens verhängen, je nachdem, welcher Betrag höher ist.