Haftung bei Datenlecks: Geschäftsführer haften für sichere Firmendaten

Ein Sicherheitsleck im IT-System ist schlimm genug. Für Geschäftsführer kann der Datenverlust obendrein teuer werden, denn in der Regel steht er in der Haftungsfrage als Erster am Pranger. Sabine Philipp hat für diesen Schwerpunktbeitrag bei Peter Böhret von Kroll Ontrack nachgehakt.

Sicherheitslücken können teuer kommen

Von Sabine Philipp

Als der Verbraucherzentrale Schleswig-Holstein im Sommer 2008 eine CD mit über 17.000 Datensätzen zugespielt wurde – die kompletten Bankverbindungen inklusive –, horchte auf einmal die Politik auf und setzte die Haftungsfrage in Sachen IT-Sicherheit auf die Tagesordnung. Bislang wurde zwar noch kein Geschäftsführer mit Gefängnis bestraft, aber teuer genug kann es bereits jetzt werden. Und es ist nur eine Frage der Zeit, bis die ersten Präzedenzfälle geschaffen werden.

Oft ist es keine üble Absicht, wenn geschützte Daten aus dem Unternehmen nach draußen gelangen. Damit solche Malheure von vorneherein vermieden werden, schreibt § 9 Bundesdatenschutzgesetz (BDSG) vor, dass personenbezogene Daten besonders gesichert werden müssen. Sollten Kriminelle die Informationen missbrauchen, ist die Firma nach § 7 BDSG zu Schadensersatz verpflichtet.

Delegieren gilt nicht

Dazu kommt, dass die Geschäftsführer das Problem häufig unterschätzen. Oft glauben sie, dass sie die gesamte Verantwortung beim Administrator bzw. externen Dienstleister liege. Aber auch sie selbst werden zur Verantwortung gezogen. Vorstände können nach dem Aktiengesetz (§ 93 Abs. 2 AktG) persönlich zur Kasse gebeten werden. Für Geschäftsführer einer GmbH kann § 43 Abs. 1 GmbHG teuer werden.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Unternehmer können Ihren Hals nur dann aus der Schlinge ziehen, wenn Sie die „gebotene Sorgfalt“ beachtet haben. Das heißt: Ein Unternehmen, bei dem mindestens zehn Mitarbeiter Kundendaten automatisch verarbeiten (also z.B. mit einer Software) muss einen Datenschutzbeauftragten berufen. Wer keinen Beauftragten für den Datenschutz bestellt, muss mit einem Bußgeld von 25.000 Euro rechnen. (Werden die Daten nicht automatisch verarbeitet, sondern z.B. in Aktenordnern verwaltet, muss der Datenschutzbeauftragte erst ab 20 zugangsberechtigten Angestellten bestellt werden.) Wer keinen Beauftragten für den Datenschutz bestellt, muss mit einem Bußgeld von 25.000 Euro rechnen. Besuche von der Aufsichtsbehörde sind zwar selten, aber nicht ausgeschlossen. Und falls es zu einem Datenleck kommt, kann auf die Strafe noch der Schadensersatz kommen.

PeterBoehret.jpg

Als Managing Director von Kroll On­track wurde der Infor­ma­tiker und Betriebs­wirt­schaftler zu einem der füh­renden Sicher­heits­experten Deutsch­lands. Peter Böhret, selbst lang­jähriger Ge­schäfts­führer, avan­cierte durch zahl­reiche Ver­öffent­lichungen zum „Vater der Daten­rettung“ und ist seit 2007 Vice Presi­dent of Euro­pean Data Recovery.


Kroll Ontrack GmbH, Hanns-Klemm-Straße 5, 71034 Böblingen, Tel.: 07031-644-0, info@krollontrack.de, www.krollontrack.de

Katastrophenfall Personendaten

„Besonders sensibel wird es, wenn Mitarbeiter involviert sind“, mahnt Peter Böhret, mittlerweile Vice President of European Data Recovery von Kroll Ontrack. „Wenn beispielsweise nach einem Austausch der Hardware, die alten Festplatten nur formatiert werden, dann kann das vor Gericht als eine grobe Fahrlässigkeit gelten.“

Wie wenig Spaß die Gerichte in Sachen Datenschutz verstehen, hat das Urteil des Bundesarbeitsgerichts vom 12. September 2006 gezeigt (Az.: 9 AZR 271/06). In diesem Fall hatte ein Angestellter geklagt, dessen Alkoholproblem in der Personalakte vermerkt wurde. Er setzte durch, dass der Arbeitgeber die Papiere so aufbewahren muss, dass die Gesundheitsdaten vor unbefugter Kenntnisnahme geschützt werden.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Berechtigungen aktuell halten

„Das Problem der meisten Mittelständler ist, dass sie so sehr ins Tagesgeschäft eingebunden sind, dass sie den Datenschutz aus den Augen verlieren oder ihn ohne Kontrolle in die Hände Dritter geben“, erklärt Böhret. Ein klassisches Beispiel ist die oft fehlende Zugriffsbeschränkung. „Bei kleinen Firmen in der Startphase hat oft jeder Mitarbeiter Zugriff auf alle Daten. Dann wächst die Firma, aber der freie Datenzugang für alle bleibt.“ Daher sei es für Geschäftsführer wichtig, mindestens zweimal pro Jahr zu überprüfen, ob die Informationen richtig geschützt sind.

Computerforensik
Oft entstehen die Schäden auch durch unehrliche Angestellte, die entwendete Daten veräußern. In solchen Fällen heißt Datenwiederherstellung Computerforensik. Die Computerforensik rekonstruiert E-Mail-Verkehr und überprüft, wer wann welche Daten auf welchem Rechner aufgerufen oder kopiert hat. Das hilft allerdings nur dann, wenn die Ergebnisse der Untersuchung einwandfrei sind und vor Gericht standhalten. Dazu gibt es z.B. mathematische Verfahren, die eingehalten werden müssen, um nachträgliche Manipulationen zu vermeiden.

Fazit: Entschlossen handeln

Peter Böhret rät daher: „Sobald es einen Verdacht gibt, dass die Daten nach außen gegangen sind, ist es wichtig, dass der Unternehmer alles tut, um sie wieder komplett zurückzuholen und die Sicherheitslücke im Unternehmen zu stopfen. Falls das nicht geht, muss er in die Offensive gehen und die betroffenen Personen warnen. Das Schlechteste, was er tun kann, ist abzuwarten und nichts zu tun.“

Nützliche Links