Geeignete Maßnahmen treffen

In einem aktuellen Urteil stellt der Europäische Gerichtshof klar: Auch wenn ein Cyberangriff erfolgreich ist, heißt das nicht automatisch, dass die vom betroffenen Unternehmen getroffenen Sicherheitsmaßnahmen ungeeignet waren. An diese stellt der EuGH aber hohe Anforderungen.
vom 13. März 2024
image

Sabotage, Spionage und Datendiebstahl verursachen jedes Jahr über 200 Milliarden Euro Schaden in deutschen Unternehmen, rund 72 Prozent gehen dabei laut Angaben des Digitalverbandes Bitkom auf das Konto von Cyberattacken.

 

Nationale Gerichte in den Mitgliedstaaten müssen sich immer wieder mit Fragen rund um IT-Sicherheit und Datenschutz beschäftigen. Häufig bemühen sie den Europäischen Gerichtshof (EuGH), um Grundsatzfragen klären zu lassen. In einem aktuell entschiedenen Fall ging es unter anderem darum, ob allein die Tatsache, dass sich Cyberkriminelle Zugang zu einem Firmennetzwerk und dort gesicherte Daten verschaffen konnten, ausreicht, die Sicherheitsmaßnahmen für ungeeignet im Sinne der Datenschutzgrundverordnung zu erklären. Diese verlangt, dass Datenverarbeiter geeignete Maßnahmen technischer und organisatorischer Natur treffen, um unberechtigte Zugriffe Dritter abzuwehren. Die Beweislast liegt bei dem, der für die Maßnahmen verantwortlich zeichnet. „Die DSGVO ist im Hinblick auf den Begriff der Geeignetheit etwas kryptisch“, sagt Dr. Christian Schefold, Co-Head Compliance und Investigations bei der Sozietät Dentons in Deutschland. Der EuGH hat jetzt klargestellt, dass diese in zwei Schritten unter Berücksichtigung bestimmter, in der DSGVO genannter Kriterien zu prüfen ist: „Erstens muss eine Risikoanalyse unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für den spezifischen Datenverarbeitungsvorgang durchgeführt werden. Zweitens müssen Maßnahmen den Stand der Technik sowie Art, Umfang, Umstände und Zwecke der Verarbeitung berücksichtigen“, so Schefold. Unternehmen können aber nicht dazu verpflichtet werden, Risiken restlos zu beseitigen, das wäre schlicht unmöglich.

 

Was sie tun müssen: „Regelmäßig prüfen, ob die Gegenmaßnahmen Risikoszenarien immer noch angemessen begegnen, da diese dynamisch sind und sich weiterentwickeln“, rät Nico Winter, Rechtsanwalt und Counsel für Daten- und Cybersicherheit bei Dentons. Und sie müssen für die Risikoevaluation ein Risikomanagementsystem unterhalten. Die Beweislast leitet der EuGH aus der Rechenschaftspflicht der DSGVO ab. Dieser kommen Unternehmen nach, indem sie alle getroffenen Maßnahmen zu Datenschutz und Datensicherheit abrufbar dokumentieren. Nur so können sie im erforderlichen Fall den Nachweis erbringen, auf welcher Entscheidungsgrundlage sie welche Sicherheitsmaßnahme installiert haben. „Interessant daran ist, dass die Dokumentation nicht nur empfehlenswert ist, sondern die Missachtung der Rechenschaftspflicht für sich genommen schon einen bußgeldbewehrten Verstoß gegen die DSGVO darstellt.“ Der EuGH stellt in dem Urteil auch klar, dass das nationale Gericht bei der Beurteilung des für die Daten Verantwortlichen die Geeignetheit der Maßnahmen selbst prüfen muss. „Die Überprüfbarkeit durch die Gerichte ist konsequent“, betont Nico Winter und ergänzt: „Die DSGVO bestimmt gerade nicht einzelne Maßnahmen, sondern beschreibt einen technologieoffenen Maßstab, an dem sich diese messen lassen müssen. Ob eine gesetzliche Pflicht erfüllt ist, müssen die Gerichte prüfen.“ Die Überzeugung von der Geeignetheit der getroffenen Maßnahmen könne sich aus der Bewertung einer kürzlich erfolgten Kontrolle einer Datenschutzaufsichtsbehörde oder aus einem gerichtlich angeordneten Sachverständigengutachten ergeben. „Berücksichtigen müssen die Gerichte bei ihrer Bewertung den gesetzlich eingeräumten Ermessensspielraum des Unternehmens hinsichtlich der Bestimmung der Schutzmaßnahmen“, raten die Rechtsanwälte Schefold und Winter.

Beitrag von Alexander Pradka

Dies könnte Sie auch interessieren

Weitreichende Prüfpflichten
Weitreichende Prüfpflichten 
Seit Juli des vergangenen Jahres ist die „Foreign Subsidies Regulation“ oder zu deutsch EU-Drittstaatensubventionsverordnung (DSVO) in Kraft, seit Oktober...
Twitter Illustrations The X app, formerly Twitter is seen on the Apple App Store is seen in this photo illustration on 1
Hätte, hätte, Lieferkette
Kinderarbeit, Ausbeutung und Naturzerstörung in der globalen Produktion von Waren 
verhindern – das ist das Ziel des EU-Lieferkettengesetzes. Ob es wirklich...
Businessman talking with colleague sitting in office model released, Symbolfoto property released, UUF31115
Harte Zeiten für Lobbyisten
Die Einflussnahme auf Gesetzesvorhaben durch Lobbyisten unterliegt mittlerweile strengen Regeln. Seit 2022 müssen sich Interessenvertreter ins Lobbyregister...