Sabotage, Spionage und Datendiebstahl verursachen jedes Jahr über 200 Milliarden Euro Schaden in deutschen Unternehmen, rund 72 Prozent gehen dabei laut Angaben des Digitalverbandes Bitkom auf das Konto von Cyberattacken.

Nationale Gerichte in den Mitgliedstaaten müssen sich immer wieder mit Fragen rund um IT-Sicherheit und Datenschutz beschäftigen. Häufig bemühen sie den Europäischen Gerichtshof (EuGH), um Grundsatzfragen klären zu lassen. In einem aktuell entschiedenen Fall ging es unter anderem darum, ob allein die Tatsache, dass sich Cyberkriminelle Zugang zu einem Firmennetzwerk und dort gesicherte Daten verschaffen konnten, ausreicht, die Sicherheitsmaßnahmen für ungeeignet im Sinne der Datenschutzgrundverordnung zu erklären. Diese verlangt, dass Datenverarbeiter geeignete Maßnahmen technischer und organisatorischer Natur treffen, um unberechtigte Zugriffe Dritter abzuwehren. Die Beweislast liegt bei dem, der für die Maßnahmen verantwortlich zeichnet. „Die DSGVO ist im Hinblick auf den Begriff der Geeignetheit etwas kryptisch“, sagt Dr. Christian Schefold, Co-Head Compliance und Investigations bei der Sozietät Dentons in Deutschland. Der EuGH hat jetzt klargestellt, dass diese in zwei Schritten unter Berücksichtigung bestimmter, in der DSGVO genannter Kriterien zu prüfen ist: „Erstens muss eine Risikoanalyse unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für den spezifischen Datenverarbeitungsvorgang durchgeführt werden. Zweitens müssen Maßnahmen den Stand der Technik sowie Art, Umfang, Umstände und Zwecke der Verarbeitung berücksichtigen“, so Schefold. Unternehmen können aber nicht dazu verpflichtet werden, Risiken restlos zu beseitigen, das wäre schlicht unmöglich.

Was sie tun müssen: „Regelmäßig prüfen, ob die Gegenmaßnahmen Risikoszenarien immer noch angemessen begegnen, da diese dynamisch sind und sich weiterentwickeln“, rät Nico Winter, Rechtsanwalt und Counsel für Daten- und Cybersicherheit bei Dentons. Und sie müssen für die Risikoevaluation ein Risikomanagementsystem unterhalten. Die Beweislast leitet der EuGH aus der Rechenschaftspflicht der DSGVO ab. Dieser kommen Unternehmen nach, indem sie alle getroffenen Maßnahmen zu Datenschutz und Datensicherheit abrufbar dokumentieren. Nur so können sie im erforderlichen Fall den Nachweis erbringen, auf welcher Entscheidungsgrundlage sie welche Sicherheitsmaßnahme installiert haben. „Interessant daran ist, dass die Dokumentation nicht nur empfehlenswert ist, sondern die Missachtung der Rechenschaftspflicht für sich genommen schon einen bußgeldbewehrten Verstoß gegen die DSGVO darstellt.“ Der EuGH stellt in dem Urteil auch klar, dass das nationale Gericht bei der Beurteilung des für die Daten Verantwortlichen die Geeignetheit der Maßnahmen selbst prüfen muss. „Die Überprüfbarkeit durch die Gerichte ist konsequent“, betont Nico Winter und ergänzt: „Die DSGVO bestimmt gerade nicht einzelne Maßnahmen, sondern beschreibt einen technologieoffenen Maßstab, an dem sich diese messen lassen müssen. Ob eine gesetzliche Pflicht erfüllt ist, müssen die Gerichte prüfen.“ Die Überzeugung von der Geeignetheit der getroffenen Maßnahmen könne sich aus der Bewertung einer kürzlich erfolgten Kontrolle einer Datenschutzaufsichtsbehörde oder aus einem gerichtlich angeordneten Sachverständigengutachten ergeben. „Berücksichtigen müssen die Gerichte bei ihrer Bewertung den gesetzlich eingeräumten Ermessensspielraum des Unternehmens hinsichtlich der Bestimmung der Schutzmaßnahmen“, raten die Rechtsanwälte Schefold und Winter.