Wie wichtig ist es DSGVO konform zu handeln und welche Folgen kann eine Vernachlässigung herbeiführen? Immer mehr Unternehmen sind von Cyberangriffen betroffen, doch wie kann man sich davor schützen und was hat das mit DSGVO zu tun? Diese und noch viele weitere Fragen haben wir in dem folgenden Interview mit Ralph Günther, CEO der exali AG, gestellt.
Immer wieder sind Meldungen über Datenmissbrauch sowie Cyberangriffe auf Konzerne und ganze Staaten in den Nachrichten. Betrifft dieses Thema auch KMU und Selbstständige? Wie wichtig ist Cybersecurity deiner Meinung nach?
Ein Cyberschaden ist sicherlich als hohes Risiko zu bewerten und daher ist es enorm wichtig, sich im Rahmen eines Risikomanagements damit auseinander zu setzen. Das trifft nicht nur auf große Unternehmen zu, sondern ebenso auf kleine und mittelständische Firmen und Freelancer – branchenübergreifend. Wir hatten zum Beispiel schon den Fall einer Anwaltskanzlei, deren kompletter Server von Cyber-Kriminellen in eine Bitcoin Mine umgewandelt wurde. Oder dann gab es da den Soloselbständigen, der ein kleines Online-Portal betrieb und dem durch einen Cyberangriff seine Wallet leergeräumt wurde.
Bemühen wir die Statistiken, müssen wir leider feststellen, dass die Cyberkriminalität 2021 auf dem Vormarsch war: So wurde etwa zum ersten Mal überhaupt in Deutschland ein Cyber-Katastrophenfall ausgerufen, eine Ransomware-Attacke legte eine ganze Supermarkt-Kette lahm und Sicherheitslücken in Betriebssystemen wurden gnadenlos ausgenutzt. Insgesamt verzeichnete der Verizon Business 2021 Data-Breach-Investigations-Report (DBIR) ein Drittel mehr Sicherheitsverletzungen als noch 2020.
Seit den neuen Bestimmungen von 2018 ist die gesamte Internetgemeinde alarmiert, wenn es um Speicherung von Daten geht. Wie oft habt ihr als Versicherung mit Verletzungen der DSGVO zu tun?
Wir merken es täglich. DSGVO-konformes Arbeiten und sichere Systeme sind ein heißes Thema, das tatsächlich viele Selbstständige und Unternehmen bewegt. Aufgrund der Komplexität des Themas und der häufigen rechtlichen Änderungen trauen sich viele Unternehmer auch nur mit Unterstützung von externen Fachkräften an diesen Bereich heran.
Die Schäden, die wir auf den Tisch bekommen, sind dabei ähnlich komplex wie die Vorschriften selbst und manchmal auch für uns überraschend. Teils sind es kleinere Vergehen, die zu einem Schaden führen, wie etwa ein „offener“ E-Mailverteiler, ein im Internet hochgeladenes Immobilien Exposé, in dem auf einem Bild Name und Anschrift des Eigentümers sowie des Architekten unerlaubt veröffentlicht wurden oder eine Kontaktaufnahme auf einer Karriereplattform, die ohne ausdrückliche Einwilligung des Kontaktierten erfolgte. Wir sehen aber auch größere Themen, wenn etwa ein KMU unerlaubt bestimmte Daten erhoben hat, ohne ein berechtigtes Interesse mehr an der Speicherung nachweisen zu können, dann auch noch technisch nicht in der Lage ist, diese Daten wieder zu löschen. Einige Schadenfälle sind so langwierig, dass die Verfahrenskosten am Ende teurer sind, als die eigentliche Forderung. Diese Fälle gehören mittlerweile alle zu unserer Schadenspraxis.
Diese DSGVO-Brüche scheinen ja ein reges Thema zu sein. Welche Konsequenzen kommen auf Unternehmen und Selbstständige bei einer Verletzung der DSGVO zu?
Das kann ganz unterschiedliche Konsequenzen haben. Eine häufige ist sicherlich die Abmahnung mit strafbewehrter Unterlassungserklärung und natürlich entsprechender Kostennote vom Anwalt. Zwar gab es in den letzten Jahre vor Gerichten ganz widersprüchliche Entscheidungen dazu, ob Datenschutzverstöße prinzipiell abgemahnt werden können, doch erst kürzlich hat das OLG Hamburg dies in einer höchstrichterlichen Entscheidung wieder bejaht. Daher besteht dieses Risiko unvermindert.
Eine andere Konsequenz ist, dass eine betroffene Person nach Art. 82 DSGVO Schadenersatz verlangt. Hierzu gibt es mittlerweile auch genügend Urteile aus Fällen, bei denen sich die Parteien darüber nicht einig wurden. Wenn größere Datenbestände betroffen sind, kann es natürlich auch zu mehreren Schadenersatzforderungen kommen und sich so unangenehm akkumulieren.
Das größte Damoklesschwert sind sicherlich die behördlichen Bußgelder. Nach anfänglicher Zurückhaltung der deutschen Aufsichtsbehörden sind mittlerweile Bußgelder im Millionenbereich keine Überraschung mehr. Das betrifft jedoch nicht nur Deutschland, sondern ist mittlerweile in der gesamten EU Praxis. Damit meine ich: Nicht nur wir Deutschen sind hier streng.
Ich möchte jedoch auch etwas die Angst aus der Diskussion nehmen. Die Bußgelder der Datenschutzbehörden müssen sich am Umsatz, besser gesagt am weltweiten Umsatz orientieren und berücksichtigen Faktoren zur Schwere des Vergehens und der Mitwirkung des Beschuldigten bei der Aufklärung. Dabei dürfen sie die Schwelle von 4 Prozent des weltweiten Jahresumsatzes nicht übersteigen, was jedoch je nach Marge im Business dennoch ein erheblicher Schlag ins Kontor sein kann.
Wie können Unternehmen am besten handeln, um einem DSGVO-Bruch vorzubeugen?
Ich denke, die Frage lässt sich schwer allgemein für alle beantworten. Dafür sind die Unternehmen zu unterschiedlich und der Datenschutz zu komplex. Ich möchte jedoch zumindest ein paar Gedankenanstöße liefern: Aus meiner Sicht als CEO ist es wichtig, das Thema Datenschutz als laufenden Prozess zu verstehen, der alle Mitarbeiter und alle Abteilungen betrifft – nicht nur den ernannten Datenschutzbeauftragten. Wir bei exali halten zum Beispiel vorbeugend regelmäßige Schulungen zum Thema Datenschutz und IT-Security mit allen Mitarbeitern ab.
Darüber hinaus finde ich den Blick von außen immer sinnvoll. Dafür ist ein professionelles Datenschutzaudit eine gute Möglichkeit, das aktuelle Datenschutzniveau auf den Prüfstand zu stellen und gegebenenfalls Verbesserungspotential zu erkennen. Es schützt außerdem vor „Betriebsblindheit“. Manche Fragen stellt man sich selbst eben nicht und das kann zu gefährlichen Lücken führen.
Zu guter Letzt spielt natürlich auch die Technik – sowohl die Software als auch die Hardware – eine wichtige Rolle bei der Prävention. Datenschutz sollte nicht nur auf dem Papier stattfinden, durch Datenschutzerklärungen, Auftragsverarbeitungsverträge und Verfahrensverzeichnisse, sondern eben auch in der IT-Abteilung eines Unternehmens. Wir haben beispielsweise im Zuge des vermehrten Arbeitens aus dem Home-Office eine Citrix-Lösung eingeführt. Davor hatten wir Geld in neue Firewalls und ein aktives Monitoring investiert. Am Ende ist für mich, wie bereits erwähnt, die Prävention im Datenschutz ein Zusammenspiel der beschriebenen Maßnahmen in einem Regelkreislauf, der sich im Unternehmen, also in den Köpfen aller Mitarbeiter, verankern muss. Wir werden nie den perfekten Zustand erreichen, deshalb müssen wir uns als Unternehmen ständig weiterentwickeln.
Auch Cyberangriffe haben – besonders im großen Rahmen – verheerende Folgen. Was können Folgen eines Cyberangriffs auf Unternehmen und Selbstständige sein?
Ich muss es so hart sagen: Die Folgen können wirklich existenzbedrohend werden. Daten sind das „Gold des 21. Jahrhunderts“ und in der Regel das wichtigste Asset im Unternehmen. Dabei sind die Folgen auch hier vielschichtig. Nehmen wir den Webshop, der im Weihnachtsgeschäft mit Schadsoftware lahmgelegt wird (genau das passierte von 1 1/2 Jahren circa 2.000 Webshops, die mit Magento arbeiteten). Die Anwaltskanzlei, die durch einen Verschlüsselungstrojaner keinen Zugriff mehr auf elektronischen Akten und die Fristenkontrolle hat. Oder die Kanzlei, die von Hackern mit der Drohung erpresst wird, dass die Akten prominenter Mandanten im Internet veröffentlicht werden. Oder ein Unternehmen, dessen Produktion durch Hacker über Wochen lahmgelegt wird.
Die Fälle sind ganz unterschiedlich, haben aber am Ende alle eines gemeinsam: Sie führen in der Folge zu erheblichen finanziellen Einbußen der Unternehmen oder der Selbständigen und zu erheblichen Mehrkosten zum Beispiel für die Entfernung von Schadsoftware, die Datenwiederherstellung, zusätzliche IT-Dienstleistungen usw.
Hierzu noch ein kleiner Tipp: Genau vor diesen finanziellen Folgen und Mehrkosten können sich Selbstständige und Unternehmen mit einer Cyber-Versicherung schützen. Oft ist diese gar nicht mal so teuer, wie viele denken.
Wie spielen DSGVO und Cybersecurity in deinen Augen zusammen?
Seitdem in nahezu allen Geschäftsbereichen die Digitalisierung Einzug gehalten hat, sind die DSGVO und die Cybersicherheit untrennbar miteinander verbunden. Durch die Vernetzung unserer Systeme besteht immer auch die Gefahr einer Datenpanne, sowie das unerlaubte Zugreifen auf Daten von außen. Ich kann den Datenschutz heute nicht mehr nur durch entsprechende Verträge, Verzeichnisse und Prozesse sicherstellen, ich muss den Datenschutz und Datenzugriff auch technisch denken. Das geht los bei einem adäquaten Berechtigungsmanagement, über die Auswahl von Soft- und Hardware nach Datenschutzgesichtspunkten (bei der Entwicklung von Software nach „Privacy by Design und Default“ Grundsätzen), bis hin zu geeigneten IT-Security Maßnahmen. Datenschutz und Data-Security müssen dabei heute Hand in Hand gehen.
