Datenleck: Wenn das Unternehmen gehackt wird – was tun?

Das Unternehmen wurde gehackt – welche juristischen Konsequenzen drohen?

Datenleck nach Hackerangriff: Unternehmen gehackt? Angriffe auf Unternehmen sind heute leider Alltag – ebenso wie die Gefahr, die dadurch droht, dass immer noch Unternehmer dieses Risiko unterschätzen. Wer von Angriffen auf Unternehmen hört, denkt schnell an internationale Großkonzerne, die von Wirtschaftsspionage betroffen sind – ein grundlegender Fehler: Angriffe auf die IT-Infrastruktur von Unternehmen sind heute nichts Besonderes mehr, sondern wirtschaftlicher Alltag.

Der Wert von ist inzwischen längst erkannt und es kann jeden treffen. Webshop-Betreiber, deren Server gehackt werden, etwa. Oder Unternehmen, die Daten verarbeiten und bei denen eingebrochen wird, um Daten zu stehlen. Wir haben inzwischen alle Fälle erlebt, in denen Bezahlterminals infiltriert wurden um Daten zu stehlen oder wo aus dem Krankenhaus Daten aus dem PC auf einen USB-Stick kopiert wurden. Eines haben alle Fälle gemeinsam: Einen spürbaren wirtschaftlichen und Image-Schaden für das Unternehmen.

Hinweis: Wir helfen Unternehmen nach einem Hacker-Angriff begleitend neben Polizei und IT!

Unsere auf die Strafverteidigung spezialisierten Fachanwälte für Strafrecht im Raum Aachen sind bei einem echten strafrechtlichen Notfall kurzfristig für eine Beauftragung verfügbar. Unser Strafverteidiger-Notruf: 01751075646 (keine kostenlose Erstberatung, keine SMS, keine garantierte Erreichbarkeit!)

Infos bei uns: Haft oder Haftbefehl | Hausdurchsuchung | Bewährungswiderruf | Pflichtverteidiger gesucht | Beschuldigtenvernehmung | Vermögensarrest | Internationaler Haftbefehl | Anklageschrift erhalten | Strafbefehl

Vorher: Vorsorge vor einem Hack-Angriff

Es sei nur pro Forma erwähnt: Besser als die Nachsorge ist natürlich die Vorsorge, also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen.

Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

IT-Sicherheit: Der Hacker-Angriff ist gelungen

Wenn ein Unternehmen von einem Angriff betroffen ist und ein „Datenleck“ aufgetreten ist, kollidieren im ersten Moment drei rechtlich relevante Aufgaben, die später Probleme bereiten können:

  1. Um den Schädiger zu suchen, aber auch um Versicherungsansprüche zu sichern, ist die schnell ins Auge gefasst
  2. Die Versicherung braucht schnell eine Schadensmitteilung, wenn man hier zu lange wartet begeht man eine Obliegenheitsverletzung nach VVG
  3. Die Informationspflicht der Betroffenen nach §42a BDSG muss eingehalten werden (dazu hier bei uns im Detail)
  4. Bestimmte Unternehmen und Anbieter haben unter Umständen eine Meldepflicht an das BSI.

Neben diese drei Schritte tritt dann das große Problem: Das Unternehmen wird bedacht darauf sein, jegliches schuldhafte Verhalten auszuschließen. Wer etwa früh den Verdacht erweckt, grob fahrlässig gehandelt zu haben, sieht sich einmal Schadensersatzforderungen der Betroffenen ausgesetzt (jedenfalls gegenüber Verbrauchern kann durch AGB keine Haftung bei grob fahrlässigem Handeln ausgeschlossen werden, §309 Nr.7b BGB).

Daneben tritt das Risiko, dass die Versicherung den Schaden nicht decken möchte. Entsprechend überlegt muss man bereits bei der Abfassung der Strafanzeige handeln und sollte von unüberlegtem Handeln absehen. Wer geschickt ist, verzichtet danach auf umfassende zusätzliche Sachverhaltsschilderungen, sondern nutzt eine juristisch abgestimmte Schilderung neben der Strafanzeige dann sowohl für die Meldung an die Versicherung als auch für die Information nach §42a BDSG. Nicht selten sind es die zusätzlichen öffentlichen Erklärungen, die hinterher für Probleme sorgen.

Für den Anfang soll es bei diesem Hinweis bleiben, die meisten Ressourcen werden ohnehin in das Auffinden und „Stopfen“ der Lücke investiert. Um nicht weitere Schadensersatzforderungen zu provozieren sollte aktive Schadensminimierung betrieben werden, etwa indem gestohlene Account-Daten unbrauchbar gemacht werden („Zurücksetzen des Passworts“). Es sei auch nochmals daran gedacht, dass durch eine Verletzung der Pflicht nach §42a BDSG weiterer Schaden bei Betroffenen entstehen kann, was zu weiteren Schadensersatzforderungen führt.

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Datenschutzrecht und Datenleck

Datenschutzrechtliche Problematik bei einem Datenleck nach einem Hackerangriff

Ein Datenleck nach einem Hacker-Angriff stellt eine erhebliche datenschutzrechtliche Problematik dar, da es die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten gefährdet. Betroffene Unternehmen müssen sicherstellen, dass sie angemessene technische und organisatorische Maßnahmen zum Schutz dieser Daten gemäß Art. 32 DSGVO implementieren. Ein Versäumnis dieser Pflicht kann zu erheblichen Datenschutzverletzungen führen.

Wichtige Punkte

  1. Vertraulichkeit: Unbefugte Dritte können auf sensible zugreifen, was zu Identitätsdiebstahl, finanziellen Verlusten und Rufschädigung der betroffenen Personen führen kann.
  2. Integrität: Hackerangriffe können die Integrität der Daten beeinträchtigen, indem sie Daten verändern oder löschen. Dies kann die Verlässlichkeit und Genauigkeit der Daten infrage stellen.
  3. Verfügbarkeit: Durch den Angriff können Daten unzugänglich oder zerstört werden, was die Geschäftskontinuität und den Zugriff auf wichtige Informationen behindern kann.

Meldepflichten und Betroffenenrechte

Nach einem Datenleck müssen Unternehmen die Datenschutzaufsichtsbehörde unverzüglich, spätestens jedoch binnen 72 Stunden, informieren (Art. 33 DSGVO). Zudem sind die betroffenen Personen zu benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht (Art. 34 DSGVO).

Konsequenzen

Unternehmen können mit erheblichen Bußgeldern und Schadensersatzansprüchen konfrontiert werden, wenn sie die Datenschutzanforderungen nicht erfüllen. Weiterhin kann der Vertrauensverlust bei Kunden und Partnern langfristige negative Auswirkungen haben.


Spezialfall: Hack der Telefonanlage

Ein ganz besonderer Fall ist der erfolgreiche Hack der Telefonanlage, was zu massiven Kosten führen kann. Zum Hackerangriff auf die Telefonanlage bieten wir einen eigenen Artikel.

Wichtig ist, dass man sich von dem Bild löst, dass solche Probleme „kleine Unternehmen“ nicht treffen – es kann jeden treffen, der im Internet Dienste nutzt und der sein Büro mit dem Internet verbunden hat. Das Unterschätzen des Risikos ist insofern bereits ein erheblicher Teil des Problems.

Weitere Links zum Thema Unternehmen gehackt:

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.