IT-Sicherheit: Das Management trägt ein hohes Haftungsrisiko

Denken Sie einmal kurz über folgende Frage nach: Was sind Herzstücke Ihres Unternehmens?


Die Mitarbeitenden, das Know-how, die Technik … Sicher denken Sie auch an die Daten auf den Computerservern. Denn ohne IT-gestützte Datenverwaltung geht heute nichts mehr. Schon gar nicht im Sozial- und Heilwesen, in dem nicht zuletzt Abrechnungen auf digitalem Wege erfolgen. Ein Fehler hier kann auch für das Management persönliche Folgen haben. Es haftet unter Umständen mit seinem Vermögen. Im dritten Teil unserer Serie zu Cybergefahren klären Stefanie Berkel und Verena Nieder, Spezialistinnen aus der Produktentwicklung Financial Lines, darüber auf.

Laut einer Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sehen zwar drei Viertel aller befragten Unternehmen in Cyberbedrohungen eine relevante Gefahr für den eigenen Betrieb, aber nur bei der Hälfte ist IT-Sicherheit Chefsache. Dabei fordern die gesetzlichen Bestimmungen, dass die leitenden Organe einer Gesellschaft Maßnahmen treffen müssen, um Entwicklungen früh genug zu erkennen, die den Fortbestand des Unternehmens gefährden könnten. Das ist die wesentliche Anforderung an die Geschäftsleitung und Grundlage aller Geschäftstätigkeit.

Daraus ergeben sich die unterschiedlichen Folgeverpflichtungen. Da heute die Informationstechnologie essentiell für Unternehmen ist, zählen IT-Sicherheit und Datenschutz hinzu. In der Konsequenz haftet die Geschäftsleitung, wenn dieser Verantwortung nicht genügt wurde und es deshalb zu einem Datenschaden kommt. Das Leitungsorgan muss dabei nicht nur sicherstellen, dass Schutzmaßnahmen ergriffen werden, sondern auch, dass sie regelmäßig überwacht, überprüft und verbessert werden.

Ansprüche gegen das Unternehmen

Dritte können Ansprüche gegen das Unternehmen stellen, wenn sie materielle und immaterielle Schäden erlitten haben, also beispielsweise Schadsoftware in ihre Systeme verbreitet wurde, überlassene Daten zerstört oder infolge des Datenschadens Persönlichkeitsrechte verletzt worden sind.

Ansprüche, die über einen Innenregress an das Management weitergegeben werden

Haftungsansprüche können aus verschiedenen Gründen an das Management oder an den Vorstand eines Vereins herangetragen werden. Da sind zum einen die Ansprüche des Unternehmens selbst, das durch einen Cybervorfall Kosten für Forensik, Beratung, Meldung bei den Aufsichtsbehörden und die Beseitigung des Problems gehabt hat. So lassen die gesetzlichen Grundlagen einen Schadenersatzanspruch gegen die Geschäftsführung zu, sofern dem Unternehmen durch eine Pflichtverletzung des Managements ein zivilrechtlicher Schaden entstanden ist. Denkbar, wenn auch noch nicht höchstrichterlich ausgeurteilt, ist auch, dass gegen das Unternehmen verhängte Bußgelder, beispielsweise bei Verletzungen der Datenschutz-Grundverordnung (DS-GVO) im Wege eines Innenregresses an die Geschäftsführung oder den Vorstand weitergegeben werden können. (Zum Thema DS-GVO siehe auch Informationen unten.)

Ansprüche Dritter gegen das Management?

Juristisch strittig ist noch, ob Ansprüche Dritter sich direkt gegen das Management richten können. Aber auf jeden Fall muss sich das Management mit diesen Themen auseinandersetzen, ein Reputationsverlust für die betroffene Einrichtung und letztlich auch für die Geschäftsleitung stehen zudem im Raum.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht in seinem Lagebericht für 2018 davon, dass 800 Millionen Schadprogramme im Netz im Umlauf sind und täglich 390.000 neue Varianten dazukommen. In der aktuellen Umfrage des BSI hat ein Drittel der befragten Unternehmen angegeben, im vergangenen Jahr einen Cyber-Sicherheitsvorfall erlebt zu haben. In 53 Prozent der berichteten Fälle ging es um Schadsoftware-Infektionen.

Die Konsequenzen waren erheblich: 87 Prozent der Betroffenen berichteten von Betriebsstörungen oder -ausfällen, bei 65 Prozent kamen Kosten für die Aufklärung und Wiederherstellung der IT-Infrastruktur hinzu. Immerhin noch 22 Prozent erlitten durch den Sicherheitsvorfall Reputationseinbußen.

Nach unserer Beobachtung ist das Bewusstsein für diese Risiken im Management der Sozial- und Gesundheitsunternehmen vorhanden, aber die möglichen Ausmaße und die spezifische Gefahr für das eigene Vermögen sind noch nicht umfassend präsent. Ein Grund dafür ist, dass die Ansicht vorherrscht, Angriffe richteten sich gezielt gegen einzelne Unternehmen, und das eigene sei dafür letztlich nicht interessant genug. Weit gefehlt. Denn nicht nur in Krankenhäusern werden tagtäglich höchst sensible Gesundheitsdaten erhoben, verarbeitet und gespeichert. In der weiteren Sozialwirtschaft, beispielsweise in Unternehmen der Behindertenhilfe oder der Pflege, gehören personenbezogene Daten zu den Informationen, die für Angreifer interessant und äußerst wertvoll sind. Gleiches gilt für kirchliche Gliederungen und Einrichtungen. Aber das ist längst nicht alles: Mit massenhaft ausgesendeten Schadprogrammen, zum Beispiel Ransomware, also Erpressungssoftware, mit denen Daten verschlüsselt werden, legen es die Täter darauf an, über die Masse Kasse zu machen.

Dazu ein Beispiel aus der Schadenpraxis: Durch den Trojaner „GandCrab 2“ wurden in einem Krankenhaus Daten verschlüsselt. Zu den Kosten für Ursachenforschung, Säuberung der befallenen Geräte und Datenwiederherstellung in Höhe von 22.000 Euro kamen noch rund 300.000 Euro durch die Betriebsunterbrechung hinzu.

Außerdem darf nicht vergessen werden, dass nicht immer Internet-Kriminalität ursächlich für Schäden ist. Nach Zahlen unserer Unternehmensgruppe sind 58 Prozent der Datenschäden auf „klassische Ursachen“ wie Feuer, Wasser, aber auch auf Unachtsamkeit und Bedienfehler zurückzuführen. Mitunter lassen sie sich nicht einmal präzise ermitteln, wie ein weiteres Beispiel zeigt:

In einer sozialtherapeutischen Einrichtung werden personenbezogene Daten von einem auf einen zweiten Server gespiegelt. Der Server steht in einem anderen Gebäude, in dem Umbauarbeiten stattfinden. Aus ungeklärter Ursache verschwindet der Computer. Wo die Daten sind und ob sie abgeflossen sind, ist ebenfalls nicht festzustellen. Alle 73.000 betroffenen Personen werden per Brief angeschrieben, allein dafür müssen 51.000 Euro aufgewendet werden. Die Gesamtkostenhöhe ist noch unklar.

Im Jahr 2018 lag der Gesamtaufwand für die Regulierung von solchen Schadenfällen in von unserer Unternehmensgruppe betreuten Häusern insgesamt bei 1,3 Millionen Euro.

Wir werden häufig gefragt, wie diese Risiken gedeckt werden können. Eine umfassende Absicherung der Haftungsrisiken für Management und andere Organe einer Gesellschaft ist durch die am Markt erhältlichen Versicherungskonzepte für das Management nicht gegeben. Auch eine Directors-and-Officers-Versicherung (D&O-Versicherung) deckt längst nicht alle Risiken, handelt es sich bei ihr doch um eine Vermögensschadenhaftpflichtversicherung. Schäden an Daten und die Folgen daraus sind aber in der Regel Sach- beziehungsweise Sachfolgeschäden, bei denen die Versicherung nicht eintritt.

Speziell für das Gesundheitswesen, die Wohlfahrtspflege und kirchliche Institutionen hat unsere Unternehmensgruppe ineinandergreifende Konzepte entwickelt, die einen umfangreichen Versicherungsschutz bei Datenschäden bieten. Eines dieser wesentlichen Konzepte umfasst die Übernahme der Kosten für die Beseitigung eines Datenschadens sowie damit verbundene Zusatzausgaben, zum Beispiel für die Ermittlung der Schadenursache, für die Krisenkommunikation oder für Beratungsleistungen, durch den Versicherer. Außerdem bietet der Versicherer den Zugang zu einem umfassenden Netzwerk aus Dienstleistern an, die im Schadenfall schnell und zielgerichtet tätig werden. Sollte zusätzlich zu diesen Kosten auch ein Vermögensschaden beim versicherten Unternehmen entstehen, übernimmt der Versicherer auch diesen.

In dieser besonderen Deckung ist zudem ein Haftpflichtbaustein enthalten. Das bedeutet: Für den Fall, dass ein Dritter gegenüber dem versicherten Unternehmen Haftpflichtansprüche im Zusammenhang mit einem Datenschaden geltend macht, funktioniert die Police wie eine klassische Haftpflichtversicherung: Der Versicherer prüft die Haftungsfrage und wehrt unbegründete Ansprüche für den Versicherungsnehmer ab beziehungsweise stellt ihn von begründeten Ansprüchen frei.

Als Highlight ist auch das Management konzeptionell lückenlos abgesichert. Die Police enthält nämlich auch einen D&O-Baustein. Das heißt: Wird die Geschäftsleitung von Dritten oder dem von ihr geleiteten Unternehmen für einen Vermögensschaden im Zusammenhang mit einem Datenschaden in Anspruch genommen, besteht auch dafür Versicherungsschutz.

stefanie.berkel@em-hospital.de
verena.nieder@em-hospital.de

 

Die gesetzlichen Grundlagen finden Sie hier:

§ 43 Abs. 1 GmbH-Gesetz
§ 91 Abs. 2 Aktiengesetz

 

 

Riesige Aufgabe durch die DS-GVO

Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 hat der Schutz von personenbezogenen Daten eine neue Bedeutung bekommen. Die Betroffenenrechte in Sachen Datenschutz sind deutlich gestärkt worden. Durch die Möglichkeit der Datenschutzbehörden, Bußgelder in Höhe von bis zu 20 Millionen oder vier Prozent des Jahresumsatzes zu verhängen, ist der Druck auf Unternehmen jeglicher Art erheblich gewachsen.

Gleichzeitig ist die Unsicherheit immer noch sehr groß. Wie viele Wirtschaftsunternehmen so klagen auch Unternehmen aus Gesundheits- und Sozialwirtschaft über schier unerfüllbar wirkende Forderungen aus der Datenschutz-Grundverordnung.

Ohne Zweifel stellt die DS-GVO gerade kleine Träger vor riesige Aufgaben. Damit haben auch Haftungsfragen im Zusammenhang mit Verstößen oder vermeintlichen Verstößen gegen den Datenschutz eine neue Qualität erhalten. Betroffene haben nun eine bessere Möglichkeit, den Verbleib und die Nutzung ihrer Daten zu prüfen beziehungsweise eine Löschung zu verlangen. Sie können Verdacht auf Verstöße gegen die DS-GVO melden. In der EU wird zudem gerade über eine Erweiterung der Schutzrechte diskutiert, indem man Verbandsklagen zulässt. Dann geht es schnell nicht mehr nur um einen Betroffenen bei einem Datenschutzrechtsverfahren, sondern um viele.

Vom Staat verhängte Bußgelder sind nicht durch eine Versicherung zu decken. Durchaus deckungsfähig sind aber die Kosten eines Verfahrens, um ein drohendes Bußgeld im bestmöglichen Fall komplett abzuwehren oder zumindest abzumildern. Doch auf diesem Weg benötigt ein Unternehmen in der Regel die Hilfe von teuren Spezialisten. Daher ist beim Versicherungsschutz auch an eine entsprechende Rechtschutzkomponente zu denken.

Mehrere Zeitungen – unter ihnen das Handelsblatt (21.05.2019) – haben recherchiert, dass im Jahr nach Inkrafttreten der DS-GVO in Deutschland nur 70 Bußgelder verhängt worden sind. Die höchsten Einzelsummen betrugen demnach 80.000 Euro. Die Rechtsanwalts-Großkanzlei CMS Deutschland spricht von insgesamt 100 Bußgeldern und nennt eine Gesamtsumme von rund 438.000 Euro. Ein Bußgeld wurde laut Handelsblatt verhängt, weil versehentlich personenbezogene Gesundheitsdaten veröffentlicht worden waren.

Gleichzeitig klagen die Datenschutzbeauftragten der Länder aber auch darüber, dass ihnen noch das Personal fehle, um alle Vorgänge in den Behörden abzuarbeiten. Insofern erscheint es angeraten, die Auswirkungen der DS-GVO nicht ängstlich zu betrachten, aber sich auch nicht in trügerischer Sicherheit zu wiegen.