Mehr als die Hälfte (57 Prozent) der Unternehmen haben als Folge von Datenangriffen Kunden verloren, und 48 Prozent der Unternehmen beklagen einen Imageverlust. Diesen Schäden stehen immer weiter sinkende „Kosten“ für Cyberkriminalität gegenüber.
So werden heute „Denial of Service-Attacken“ bereits für 30 bis 70 US-Dollar pro Attacke angeboten. Das Versenden von 500.000 Spam-E-Mails wird in kriminellen Kreisen bereits für 75 US-Dollar verkauft.
Rechtliche Bewertung
Ein Datenklau zieht zahlreiche Konsequenzen nach sich. Die strafrechtliche Bedrohung betrifft dabei das Management persönlich. Dabei spielt es keine Rolle, wie die Daten in die Hände Dritter gelangen, solange dies unrechtmäßig geschah.
Neben der Unrechtmäßigkeit durch Dritte müssen schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen drohen. Das betroffene Unternehmen hat in der Praxis zu prüfen, ob in dem vorliegenden Fall ein meldepflichtiger Datenverlust eingetreten sein könnte.
Sensible Daten in den Händen Dritter
Dies könnte der Fall sein, sofern anhand der vorliegenden Anhaltspunkte mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann, dass Daten unrechtmäßig in die Hände Dritter gelangt sind. Die Offenlegungspflicht gilt gegenüber der zuständigen Datenschutz-Aufsichtsbehörde und den Betroffenen. Diese Information hat unverzüglich zu erfolgen.
Im Rahmen der Benachrichtigung hat die Firma die Pflicht, über die Art der unrechtmäßigen Kenntniserlangung zu informieren und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen zu geben.
Bußgelder bis 300.000 Euro
Die betroffene Öffentlichkeit ist durch direkte Information der Betroffenen oder bei einer großen Menge an Betroffenen, durch Anzeigen, die mindestens eine halbe Seite in mindestens zwei bundesweit erscheinenden Tageszeitungen umfassen, zu informieren.
Neben dem internen Aufwand und den Kosten für die Information der Betroff enen drohen aktuell Bußgelder nach Paragraf 43, Abs. 2 des BDSG von bis zu 300.000 Euro.
Man geht von einer deutlichen Verschärfung der Rechtslage durch die Einführung der EU-Datenschutz-Grundverordnung gegen Ende 2014 aus. Deshalb gilt die Empfehlung, die Straf-Rechtsschutzversicherung zu überprüfen und wenn nötig zu aktualisieren.
Seite drei: Cyberrisiken in der Haftpflichtdeckung enthalten