Legal Incident Response: Cyberangriffe aus rechtlicher Sicht

Stefan Hessel

Auch im Jahr 2021 müssen sich Unternehmen zahlreichen Gefahren für die eigene Cybersicherheit stellen, die sich aus der fortschreitenden Digitalisierung der Wirtschaft ergeben. Neben der Prävention gewinnt dabei zunehmend auch die Detektion und vor allem die Reaktion auf Cyberangriffe an Bedeutung. Im Gegensatz zu präventiven Maßnahmen, die in dem Blumenstrauß an gesetzlichen Vorgaben zur Cybersicherheit eher vage gehalten sind und eine individuelle Analyse erfordern, existieren bei Cyberangriffen teils sehr klare Regelungen. Ein Beispiel hierfür sind Datenschutzverletzungen, die im Folgenden als Beispiel dienen sollen.

Unter einem Cyberangriff kann man aus technischer Sicht einen IT-Sicherheitsvorfall, also die Beeinträchtigung der Schutzziele der IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit), durch einen bewusst handelnden Angreifer verstehen. Es handelt sich allerdings nicht um eine feststehende Definition oder gar einen juristischen Terminus. Für die Betrachtung der Rechtsfolgen von Cyberangriffen ist es folglich erforderlich, den unter dem Begriff "Cyberangriff" zusammengefassten Lebenssachverhalt im Einzelfall unter die jeweiligen gesetzlichen Vorgaben zu subsumieren. Im Fall des Datenschutzrechts ist dies Art. 4 Nr. 12 DSGVO, der eine Legaldefinition für den Begriff der Datenschutzverletzung enthält.

Eine solche liegt demnach vor, wenn eine Verletzung der Sicherheit "zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt". Ein besonders relevanter Aspekt der Definition ist, dass sich die Verletzung der Sicherheit auf personenbezogene Daten beziehen muss. Hat ein Cyberangriff keine Auswirkungen auf die Verarbeitung personenbezogener Daten, liegt folglich keine Datenschutzverletzung vor und die strengen Vorgaben der DSGVO müssen nicht beachtet werden. Umgekehrt kann jedoch auch eine Datenschutzverletzung vorliegen, wenn der Cyberangriff gar nicht das eigene Unternehmen tangiert, sondern z.B. einen Auftragsverarbeiter.

Darüber hinaus können Datenschutzverletzungen auch völlig unabhängig von Cyberangriffen vorliegen, z.B. bei abhandengekommenen Datenträgern. Bei der Frage, ob eine Datenschutzverletzung vorliegt, kann es – auch im Kontext anderer gesetzlicher Vorgaben – auf rechtliche Feinheiten ankommen. Diese machen es erforderlich, Cyberangriffe stets auch einer genauen rechtlichen Analyse zu unterziehen.

Stellt ein Cyberangriff eine Datenschutzverletzung dar, ist unabhängig vom Risiko mindestens eine Dokumentation nach Art. 33 Abs. 5 DSGVO erforderlich. Diese muss so umfassend sein, dass mit ihr der Nachweis möglich ist, dass die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat. Vor dem Hintergrund, dass es zu einem späteren Zeitpunkt streitig sein kann, ob durch einen Cyberangriff eine Datenschutzverletzung eingetreten ist, sollten daher auch Vorfälle dokumentiert werden, bei denen ein Personenbezug ausgeschlossen werden kann.

Sind personenbezogene Daten betroffen und ein Risiko kann nicht ausgeschlossen werden, muss nach Art. 33 Abs. 1 DSGVO eine Meldung an die jeweils zuständige Datenschutzaufsichtsbehörde erfolgen. Die Meldung muss nach dem Zeitpunkt der Kenntnis von der Datenschutzverletzung durch den Verantwortlichen unverzüglich und möglichst binnen 72 Stunden erfolgen. Erfolgt eine Meldung später, ist hierfür eine Begründung erforderlich. Im Zweifelsfall sollte eine Meldung daher eher frühzeitig erfolgen und im Nachgang ggfs. ergänzt werden, wenn neue Erkenntnisse zutage treten. Resultiert aus der Datenschutzverletzung ein hohes Risiko, ist darüber hinaus der Betroffene nach Art. 34 Abs. 1 DSGVO zu benachrichtigen.

Verstöße gegen die Dokumentations-, Melde- und Benachrichtigungspflichten sind nach Art. 83 Abs. 4 Buchstabe a) DSGVO bußgeldbewehrt. Ist die Datenschutzverletzung auf unzureichende technische oder organisatorische Maßnahmen zurückzuführen, kann auch ein Verstoß gegen Art. 32 Abs. 1 DSGVO vorliegen, der ebenfalls zu einem Bußgeld nach Art. 83 Abs. 4 Buchstabe a) DSGVO führen kann. Darüber hinaus können Verstöße gegen die DSGVO nach Art. 82 Abs. 1 DSGVO auch Schadensersatzansprüche auslösen, wobei die Voraussetzungen im Einzelnen und auch die Höhe des Schadensersatzes bisher nicht abschließend geklärt sind. Gerade bei hohen Bußgeldern oder Schadensersatzforderungen ist Verantwortlichen daher zu einer anwaltlichen Überprüfung zu raten. Eine Entscheidung des LG Bonn vom 11.11.2020 (Az. 29 OWi 1/20), mit der das Gericht das Bußgeld des Bundesdatenschutzbeauftragten gegen die 1&1 AG von ca. 9,5 Millionen Euro auf 900.000 reduzierte, zeigt exemplarisch, wie effektiv ein Vorgehen gegen Bußgelder sein kein.

Gesetzliche Vorgaben zum Umgang mit Cyberangriffen müssen bereits im Incident-Response-Prozess berücksichtigt werden. Wie am Beispiel des Datenschutzrechts verdeutlicht, ist es erforderlich, dass auf technischer Ebene die wesentlichen Voraussetzungen für eine Dokumentation der Datenschutzverletzung geschaffen werden. Insbesondere bei Incident-Response-Maßnahmen, die Spuren vernichten, ist daher Vorsicht geboten. Darüber hinaus muss in den IIncident-Response-Prozess die notwendige Expertise zur Beurteilung einer Melde- bzw. Benachrichtigungspflicht einfließen. Da auch Detektionsmaßnahmen, wie z.B. die Durchsicht der E-Mailpostfächer von Arbeitnehmern oder Zugriffe auf fremde Systeme, eine (datenschutz-)rechtliche Relevanz haben können, ist auch insoweit eine juristische Beurteilung notwendig.

Unabhängig von den rechtlichen Anforderungen an Incident Response können rechtliche Maßnahmen auch zur Gewährleistung bzw. Absicherung der Prozesse zur Bewältigung von Cyberangriffen dienen (Legal Incident Response). Mögliche Maßnahmen können beispielsweise in der Erteilung von schriftlichen Weisungen zum Notfallplan an die Mitarbeiter oder in der Sicherstellung von Detektionsmöglichkeiten, z.B. durch verbindliche Regelungen zur privaten Nutzung des unternehmensinternen Internetzugangs oder von betrieblichen E-Mailpostfächern, bestehen. Auch der unter technischen Gesichtspunkten besonders herausfordernden Situation, in der eine Datenschutzverletzung nicht beim verantwortlichen Unternehmen selbst, sondern bei einem Auftragsverarbeiter eintritt, kann mit rechtlichen Maßnahmen begegnet werden.

In Betracht kommt hier beispielsweise eine Klausel zur Einbeziehung von externen Experten in die Aufarbeitung von Datenschutzverletzungen, vertragliche Verpflichtungen zur Beweissicherung oder auch die ausdrückliche Vereinbarung von Kommunikationswegen und Meldeprozessen bei Vorfällen. Durch letztere kann insbesondere auch dem praxisrelevanten Problem, dass Auftragsverarbeiter am Verantwortlichen vorbei die Datenschutzaufsichtsbehörde informieren, begegnet werden.

Abschließend ist festzuhalten, dass die gesetzlichen Anforderungen für Cybersicherheit zunehmen und, wie hier am Beispiel des Datenschutzrechts gezeigt, eine Komplexität aufweisen, die juristische Fachkenntnisse erforderlich macht. Gleiches gilt für den Aufbau eines Managementsystems für die gesetzlichen Anforderungen. Darüber hinaus sollten Unternehmen neben der Berücksichtigung der rechtlichen Anforderungen im Rahmen des Incident Response verstärkt auch eine Absicherung der Prozesse zur Bewältigung von Cyberangriffen durch rechtliche Maßnahmen in Erwägung ziehen.

[Januar 2021]