Schadensersatzansprüche

Nachhaltiger Umgang mit Schadensersatzansprüchen nach einem Datenleck

Foto von Pixabay: https://www.pexels.com/de-de/foto/foto-von-guy-fawkes-maske-mit-roter-blume-oben-auf-der-hand-38275/

Trotz einem ausgeprägten Sicherheitssystem kommt es immer wieder vor. Datenlecks und im gleichen Schritt Datenschutzverletzungen sind keine Seltenheit.

Dabei tragen die Verantwortung bei einem Datenleck meist mehrere Personen bzw. Organisationen. Daher ist es umso wichtiger, dass jedes Unternehmen und Organisation einen nachhaltigen Umgang bezüglich personenbezogener Daten vorweisen. Nur so kann effektiv dafür gesorgt werden, die Anzahl der Schadensmeldungen zu reduzieren und Vertrauen bei den Betroffenen auszubauen.

Wenn es allerdings trotz Sicherheitsmaßnahmen zu einem Datenleck kommt, muss ein nachhaltiger und professioneller Umgang und die möglichen Schadensersatzansprüche der betroffenen Personen berücksichtigt werden.

Meldepflicht bei Vorliegen einer Datenschutzverletzung

Wenn ein Datenleck erkannt wurde, muss laut Art. 33 DSGVO dieser innerhalb von 72 Stunden an eine zuständige Aufsichtsbehörde gemeldet werden. Einzige Ausnahme ist, wenn es sich um ein kleineres Datenleck handelt, welcher keine Gefahr für die Rechte der betroffenen Person darstellt. Ist die Meldepflicht unausweichlich, müssen Sicherheitsmaßnahmen getroffen werden und neben der Aufsichtsbehörde auch die betroffenen Personen über das Ereignis aufgeklärt werden.

Wichtige Angaben bei der Meldung eines Datenlecks

Folgende Punkte müssen beachtet und in der Meldung aufgeführt werden:

Beschreibung des Vorfalls: Neben der Auflistung der betroffenen Datenkategorien muss die Art und Weise des Datenlecks beschrieben werden. Dabei gilt es, eine präzise Angabe des Vorfalls aufzuführen.
Größe des Vorfalls: Um die Größe des Vorfalls näher zu bestimmen, muss eine Angabe über die Anzahl der betroffenen Personen und dessen Daten gemacht werden. Nur so kann die Aufsichtsbehörde einschätzen, wie schwerwiegend der Vorfall ist und dementsprechend Ihr Vorgehen planen.
Eindämmungsmaßnahmen: In Folge sollte erklärt werden, welche Schritte zur Eindämmung des Vorfalls bereits in die Wege geleitet wurden. Dabei sollte eine Einschätzung über Effektivität der Maßnahmen und die möglichen Folgen und Auswirkungen des Datenlecks gegeben werden.

Neben der Meldung an eine Aufsichtsbehörde müssen die betroffenen Personen informiert werden. Dabei ist es wichtig, dass diese nicht nur über den genauen Vorfall in Kenntnis gesetzt werden, sondern auch über mögliche Maßnahmen aufgeklärt werden, um sich nun bestmöglich zu schützen. Des Weiteren sollten Kontaktdaten hinterlegt werden, sodass sich Betroffene bei weiteren Problemen melden können.

Haftung und Ansprüche der Betroffenen

Unternehmen und Organisationen sind verantwortlich für den Schutz bei der Datenverarbeitung. Daher haftet grundsätzlich bei einem entstandenen Schaden das Unternehmen. Oftmals sind bei der Verarbeitung von Daten mehrere Unternehmen verantwortlich, sodass in solchen Fällen diese gesamtschuldnerisch haften. Eine Befreiung der Haftung ist nur bei Nachweis keinerlei Eigenschuld des Unternehmens möglich.

Fristen und Ansprüche der Betroffenen

Die Verjährungsfrist beträgt i. d. R. ab Kenntnisnahme des Schadens drei Jahre. Betroffene haben in dieser Zeit das Recht auf eine gerichtliche als auch auf eine außergerichtliche Beanstandung. Dabei können sowohl materielle als auch immaterielle Schäden angegeben werden. Für Unternehmen ist es daher entscheidend, sich mit gesetzlichen Bestimmungen bezüglich der Ansprüche von Betroffenen auseinanderzusetzen.

Empfehlenswert ist für größere Unternehmen eine zentrale Erfassung der Schadensersatzanforderungen, um deren Berechtigung zu prüfen. Daneben könne wie eingangs erwähnt verschiedene Schäden entstehen, sodass diese entsprechend Ihrer Art in der zentralen Datenbank kategorisiert werden können.

Präventionsmaßnahmen von zukünftigen Datenlecks

Damit die Anzahl von Datenlecks und Schadenersatzforderungen weiter minimiert werden kann, sollten folgende Hilfestellungen berücksichtigt werden:

Aufbau eines Krisenmanagement-Teams: Ein verantwortliches Team kann bei Vorfällen schneller reagieren. Dabei können vorab Notfallpläne entwickelt werden und Testvorfälle geprobt werden. Bei einem tatsächlichen Datenleck kann dieser im Nachgang analysiert werden, um für zukünftige Vorfälle besser vorbereitet zu sein. Außerdem kann eine professionelle Krisenkommunikation aufgebaut werden, um so das Vertrauen der Öffentlichkeit bei Vorfällen zu sichern.
Schulungen und Workshops: Neben technischen Schulungen, welche gezielt die IT-Infrastruktur ansprechen, können Mitarbeiterschulungen vorgenommen werden, damit diese über aktuelle Bedrohungen und Sicherheitspraktiken sensibilisiert werden.
Cyber-Versicherungen: Da ein Datenleck niemals ausgeschlossen werden kann, da sich auch z. B. Hackerangriffe stets weiterentwickeln, sollte eine Versicherung gegen finanzielle Gefahren durch Datenlecks abgeschlossen werden. Je nach Versicherung werden verschiedene Kosten und Aufgaben bezüglich eines Datenlecks übernommen. Einerseits können Kosten für die Aufarbeitung oder einen Rechtsbeistand abgesichert werden, in anderen Fällen wird aber auch das gesamte Krisenmanagement übernommen.

Um für einen Datenleck optimal gerüstet zu sein, sollte eine Kombination der Präventivmaßnahmen veranschlagt werden. So bietet z. B. eine Versicherung einen finanziellen Schutz, sollte aber niemals eigene Sicherheitsvorkehrungen ersetzen.