Cyberangriffe gehören inzwischen zu den größten Geschäftsrisiken für deutsche Unternehmen. Im Fokus stehen dabei in der Regel die wirtschaftlichen Folgen einer Betriebsunterbrechung, Wiederherstellungskosten oder Lösegeldforderungen. Weniger Beachtung findet jedoch oft eine andere Folge von Cybervorfällen: die Frage nach der Verantwortung und damit nach der Haftung. Denn wenn Kunden geschädigt werden, Daten abfließen oder Lieferverpflichtungen nicht erfüllt werden können, drohen betroffenen Unternehmen auch rechtliche Auseinandersetzungen.
Aus anwaltlicher Sicht zeigt sich, dass Haftungsfragen nach einem Cyberincident keinesfalls trivial sind. Dabei geht es nicht nur um die Frage, ob das betroffene Unternehmen selbst Schadensersatz leisten muss. Ebenso relevant ist, ob entstandene Schäden gegenüber IT-Dienstleistern, Verantwortlichen oder sogar den Angreifern regressiert werden können.
Die gute Nachricht für Unternehmen: Wer angemessene Sicherheitsmaßnahmen umsetzt, Prozesse dokumentiert und Vertragsbeziehungen sauber gestaltet, schafft eine solide Grundlage, um Ansprüche abzuwehren und eigene Ansprüche erfolgreich durchzusetzen.
Welche Haftungsrisiken bestehen für Unternehmen im Fall eines Cyberangriffs?
Ob eine Haftung besteht, hängt regelmäßig von einer Vielzahl technischer und rechtlicher Faktoren ab. Zunächst muss geklärt werden, was tatsächlich passiert ist und welche Ursachen dem Vorfall zugrundeliegen. Erst auf dieser Grundlage lässt sich bewerten, ob vertragliche oder gesetzliche Pflichten verletzt wurden.
Besondere Bedeutung kommt den vertraglichen Vereinbarungen mit Kunden zu. Hauptleistungspflichten und etwaige Nebenleistungspflichten sind zu identifizieren. Dabei bedarf es zum einen der Auswertung der Vertragsdokumentation und zum anderen der Kenntnis relevanter Rechtsprechung. Im Kern ist die Frage zu beantworten, welches Level der IT-Sicherheit zwischen den Vertragsparteien einzuhalten war. Enthält der Vertrag – wie in der Regel der Fall – dazu keine ausdrückliche Vereinbarung, stellt sich die Frage, ob spezialgesetzliche Regelungen im Einzelfall Anwendung finden. Kommt zum Beispiel die Datenschutz-Grundverordnung (DSGVO) zur Anwendung, müssen Unternehmen Sicherheitsmaßnahmen einsetzen, die nach dem jeweils aktuellen technischen Wissen – kurz zusammengefasst – machbar und praxistauglich sind, auch wenn noch nicht jedes vergleichbare Unternehmen sie nutzt. Sofern ein Unternehmen mit einer Zertifizierung (beispielsweise nach ISO 27001) im Außenverhältnis auftritt, können sich auch daraus vertraglich einzuhaltende Maßstäbe ergeben.
Auch muss der Ablauf, der zu einer Pflichtverletzung geführt hat, überhaupt erkennbar und vermeidbar gewesen sein. Wenn Angreifer über eine bis dato noch unbekannte Sicherheitslücke einer Software ins System des Unternehmens gekommen sind, kann diese Voraussetzung im Einzelfall durchaus in Zweifel gezogen werden.
Schwierigkeiten bereitet Anspruchstellern erfahrungsgemäß die Beschreibung und der Nachweis des ihnen konkret entstandenen Schadens. Denn nur ein Vermögensnachteil, der konkret ursächlich mit dem Vorfall verknüpft ist, kann einen Schadensersatzanspruch in dieser Höhe auch begründen. Bloße Leerlaufzeiten des Personals, weil aufgrund des Vorfalls „nichts geht“, können nicht ohne weiteres einen Schadensersatzanspruch begründen. Personalkosten, die auch ohne den Vorfall angefallen wären, sind nicht ersatzfähig. Entgangene Einnahmen müssen mindestens im Wege von Vergleichszeiträumen nachgewiesen werden. Konkret entgangene Aufträge lassen sich oft nur schwer belegen. Bei der Schadensberechnung verbieten sich also allzu grobe Schätzungen und pauschale Angaben, vielmehr braucht es eine konkrete Berechnung auf einer sauberen Tatsachengrundlage.
Neben vertraglichen Ansprüchen spielen auch gesetzliche Haftungsgrundlagen eine wichtige Rolle. Insbesondere Datenschutzverstöße können Schadensersatzansprüche von betroffenen Personen auslösen. Die Rechtsprechung beschäftigt sich seit Jahren intensiv mit der Frage, unter welchen Voraussetzungen und in welcher Höhe solche Ansprüche bestehen. Gerade im Rahmen eines Cybervorfalls, bei dem es vielfach gerade um die Veröffentlichung von unrechtmäßig erlangten Daten durch die Angreifer geht, kommt es oftmals zu Verstößen gegen die DSGVO. Diese Ansprüche beschäftigen sowohl die deutsche Justiz als auch den EuGH in den letzten Jahren regelmäßig. Weiterhin ringen die Gerichte darum, wie dieser Schadenersatzanspruch in der DSGVO zu verstehen ist. Auch hier gilt aber: Die Haftung für immaterielle Schäden im Datenschutzrecht befreit Betroffene ebenfalls nicht (völlig) vom Nachweis eines entstandenen Nachteils.
Haftung reverse: Wer kommt als Regressschuldner in Betracht?
Für Unternehmen stellt sich jedoch auch die umgekehrte Frage: Wer haftet für die eigenen Vermögenseinbußen?
Die Prüfung von sogenannten Regressansprüchen ist ebenfalls Teil der anwaltlichen Beratung bei Cybervorfällen. Wenn auch die Geltendmachung und Durchsetzung solcher Ansprüche zeitlich zumeist nachgelagert stattfindet, sind diese Ansprüche immer in die rechtlichen Überlegungen miteinzubeziehen, schon allein um eine Verjährung entsprechender Ansprüche zu verhindern.
Denkbare Schuldner eines Regressanspruchs sind zunächst IT-Dienstleister, die für das Unternehmen tätig waren (zum Beispiel bei Outsourcing). Ob ein Unternehmen sich bei seinem IT-Dienstleister schadlos halten kann, hängt maßgeblich davon ab, wie die konkreten vertraglichen Pflichten des IT-Dienstleisters und sein Verursachungsbeitrag zum Cybervorfall zu bewerten sind. Die Verträge zur Erbringung von IT- Dienstleistungen sind vielfach historisch gewachsene Vertragskonstruktionen, bestehend aus Rahmenverträgen, Nachträgen und Leistungsscheinen. Sie sind dabei nicht in allen Fällen juristisch hinreichend deutlich. Eine einheitliche Verwendung von Begrifflichkeiten und eine klare Struktur erleichtern es dem fachkundigen juristischen Leser, auf den vertraglichen Willen der Parteien zu schließen. Umso sauberer muss teilweise mit Hilfe von juristischem Handwerkszeug ermittelt werden, was vertraglich geschuldet war. Denn auch gegenüber einem IT-Dienstleister genügt natürlich allein der Verweis darauf nicht, dass es zu einem Vorfall gekommen ist, um dessen Haftung zu begründen. Auch ein IT-Dienstleister haftet wiederum nur für die jeweils konkret von ihm geschuldete Leistung und Sorgfalt.
Für die Regresssituation ist aber folgender Aspekt sehr wichtig: Je weitreichender das Outsourcing ist, desto schwieriger gestaltet sich vielfach die Prüfung und Durchsetzung von Regressansprüchen. Ausschlaggebend sind dafür vor allem zwei Punkte: Schon die Ermittlung des relevanten Sachverhalts ist schwierig, wenn der Einblick des Unternehmens in den spezifischen Bericht des IT-Systems aufgrund des Outsourcings begrenzt ist. Das Unternehmen ist dann von den Informationen des potentiellen Regressgegners abhängig. Hinreichende vertragliche Informationspflichten sollten in dem Outsourcingvertrag daher Berücksichtigung finden. Ob diese Ansprüche etwas wert sind, zeigt sich dann oftmals erst im Streitfall. Zudem kann ein weitreichendes Outsourcing auch zu einer faktischen Abhängigkeit führen und auch dadurch die Regresssituation komplex werden lassen. Ungeachtet regulatorischer Vorgaben, die ein Unternehmen oder einen Unternehmensleiter verpflichten, die IT-Sicherheit selbst in die Hand zu nehmen und damit die Möglichkeiten des Outsourcings zu beschränken, sollte ein (vielfach natürlich notwendiges) Outsourcing vertraglich auch mit Blick auf diese Fragen sorgfältig aufgesetzt und laufend überwacht werden.
Auch die Geltendmachung von Ansprüchen gegenüber Angreifern kommt grundsätzlich in Betracht, wenn diese denn – wie vielfach leider nicht – überhaupt bekannt sind. Mitunter können strafrechtliche Ermittlungen dazu aber tatsächlich hilfreiche Informationen liefern, und eine auch zivilrechtliche Inanspruchnahme der Täter kann geprüft werden. Ob ein bestehender Regressanspruch dann aber auch tatsächlich vollstreckt werden kann, steht wiederum auf einem anderen Blatt.
Zuletzt sollte in diesem Kontext auch ein denkbarer Regressanspruch gegen eigene Mitarbeiter oder Geschäftsleiter nicht unerwähnt bleiben. Den Regressmöglichkeiten gegenüber Arbeitnehmern sind aufgrund des sogenannten innerbetrieblichen Schadensausgleichs enge Grenzen gesetzt. Die Rechtsprechung sieht insoweit eine nur abgestufte Haftung von Arbeitnehmern vor (je nach subjektiver Vorwerfbarkeit). Die Inanspruchnahme eines Geschäftsleiters aufgrund eines Organisationsverschuldens erscheint eher erfolgversprechend, aber es sind aufgrund des bestehenden Haftungsregimes diverse Hürden im Rahmen eines Regresses zu nehmen.
Cybervorfälle lassen sich trotz hoher Sicherheitsstandards nicht immer verhindern. Unternehmen können ihre rechtliche Position jedoch erheblich stärken, wenn sie IT-Sicherheit als Managementaufgabe verstehen, Verantwortlichkeiten klar regeln und Vertragsbeziehungen sorgfältig gestalten. Wer technische Resilienz und rechtliche Vorsorge gleichermaßen berücksichtigt, reduziert nicht nur Risiken, sondern gewinnt auch entscheidende Handlungsspielräume im Ernstfall.
