VIER BEST PRACTICES, UM HAFTUNG DURCH CYBERANGRIFFE ZU VERMEIDEN


Die chemische Industrie entwickelt sich zur Chemischen Industrie 4.0, womit eine erhöhte Erhebung, Verarbeitung und Auswertung von Daten aller Art einhergeht. Personenbezogene Daten, aufgrund derer Vorgaben der DSGVO zu beachten sind, stehen dabei insbesondere bei den produzierenden Unternehmen nicht im Vordergrund. Informationen über die spezifische Verwendung eines chemischen Produkts durch Endverbraucher finden jedoch beispielsweise im pharmazeutischen Sektor schon heute ihren Weg zurück an den Produzenten.

Im vorherrschenden B2B Kontext ergeben sich Pflichten zum Umgang mit Daten vor allem aus vertraglichen Vereinbarungen über die Datenverwendung und deren Vertraulichkeit, beispielsweise zu Forschungsergebnissen. Betreiber kritischer Infrastrukturen treffen zusätzliche Pflichten. Bei der Verletzung dieser Pflichten und insbesondere in Folge von immer häufiger werdenden Cyberangriffen drohen erhebliche Bußgelder und Schadensersatzansprüche für die beteiligten Unternehmen auf allen Stufen. Produktionsstopps und Produkthaftung stellen ein zusätzliches Haftungsrisiko dar. Auch eine persönliche Haftung von Managern und Datenschutzverantwortlichen kommt in Betracht. Um dem optimal vorzubeugen, haben wir im Folgenden unsere Top 4 Best Practices zusammengestellt, für die eine enge Vernetzung verschiedener Funktionen im Unternehmen (insb. IT, Datenschutz, Legal aber auch operativer Einheiten) eine wichtige Voraussetzung ist:

1. HAFTUNGSVERMEIDUNG – ADÄQUATE DATEN-INFRASTRUKTUR
Der beste und wichtigste Schritt liegt in dem Erkennen von Datenschutz-Pflichten und der Erstellung einer adäquaten Infrastruktur. Hierbei können rechtliche und technische Expertise hinzugezogen werden. Typischerweise ist folgendes inbegriffen:

  • Neben dem Datenschutzverantwortlichen sollte es eine eigene Funktion für die Informationssicherheit geben (den Information Security Officer) mit Ressourcen und Rechten, die seinen Aufgaben entsprechen.
  • Anpassung und Auditing der Infrastruktur unter Zuhilfenahme externer Experten – dies garantiert Datenschutz und Informationssicherheit auf dem Stand der Technik und kann im Falle eines Cyberangriffs oder sonstigen Vorkommnisses die Haftung verringern oder ganz vermeiden.

2. HAFTUNGSMINDERUNG – INCIDENT RESPONSE PLAN
Im Falle eines Datenschutz-Incidents ist Zeit ein entscheidender Faktor, die Reaktion sollte daher bereits vorbereitet und geprobt sein. Hierfür ist es erforderlich, Verantwortlichkeiten im Unternehmen, technische und rechtliche Maßnahmen, Kommunikationslinien mit Behörden, Öffentlichkeit und Shareholdern klarzustellen. Erforderliche (Zugriffs)-Rechte und Abläufe sollten bereits eingerichtet sein. Ein guter Incident-Response oder auch Business Continuity Plan ist dabei entscheidend. Dieser sollte regelmäßig mit allen Beteiligten bis in das Top-Management unter realen Bedingungen trainiert werden. Ganz wichtig: Der Plan sollte auch physisch und außerhalb der IT-Systeme jederzeit leicht verfügbar sein!

3. HAFTUNGSVERLAGERUNG – REGRESS GEGEN DRITTE
Haben technische oder rechtliche Dienstleister bei der Erstellung oder Bewertung der vermeintlich adäquaten Daten-Infrastruktur mitgewirkt, so können diese unter Umständen für Kosten und andere Schäden in Regress genommen werden. Auch der Abschluss einer spezifischen Cyber-Versicherung ist ein gutes Mittel, um im Fall der Fälle zumindest das finanzielle Risiko zu begrenzen. Dabei ist zu beachten, dass sowohl Versicherer als auch IT-Dienstleister wichtige Partner in der Eindämmung des Schadens sind. So stellen beide regelmäßig spezielle technische Incident Response-Teams zur Verfügung. Trotzdem sollte parallel der Sachverhalt professionell aufgearbeitet und dokumentiert werden, um später in der Lage zu sein, (Regress)-Ansprüche geltend zu machen oder sich gegen Ansprüche und Bußgelder zu verteidigen. Auch ein Regress gegen das Management kommt in Frage. Bisher ist höchstrichterlich allerdings noch ungeklärt, inwiefern eine Manager-Haftung für Bußgelder aufgrund von Datenschutzverstößen möglich ist.

4. DOKUMENTATION UND LESSONS LEARNED
Zuletzt ist eine fortlaufende Dokumentation der Bemühungen um Datenschutz im Unternehmen erforderlich, um die Verteidigung gegen Schadensersatzansprüche oder Bußgelder zu ermöglichen. Aus Datenschutz-Verletzungen werden Schlüsse gezogen, um zukünftig besser reagieren zu können. Hier ist auch der Austausch in Industriegremien oder über Zusammenschlüsse wie die Allianz für Cybersicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) hilfreich. Ein offenes Auge für Datenschutz-Standards und Best Practices in der Industrie ermöglicht das weniger schmerzhafte Lernen aus den Fehlern anderer – auch hierbei kann externe Expertise unterstützen.

Autor(en):

Dr. Detlef Haß, Partner, Hogan Lovells International LLP, München
Dr. Martin Strauch, LL.M. (Edinburgh), Counsel, Hogan Lovells International LLP, München