Cyberattacken – Gefahr für Unternehmen und Verbraucher

Foto: Tim Reckman/Pixelio

Mit der fortschreitenden Entwicklung der IT-Technologien erlangen auch die persönlichen Nutzer-Daten eine immer größere Bedeutung.

 

Umso weniger überrascht es daher, dass neben anderen Fällen von Cyberkriminalität auch die Anzahl der groß angelegten Cyberattacken immer weiter zunimmt. Gezielte, von außen kommende, Angriffe auf Computernetzwerke zum Zweck der Informationsgewinnung oder der Sabotage sind an der Tagesordnung. Große Unternehmen erleben mittlerweile mehrere Tausend Cyberangriffe täglich. Die meisten können abgewehrt werden, wie beispielsweise der Cyberangriff auf ein, mittels Mausklick kurzfristig ausgeschaltetes, ukrainisches Energie-Kraftwerk zeigt, aber keineswegs alle. Und wenn ein Angriff durchschlägt, ist das mediale Echo gewaltig und der (Reputations-)Schaden meist sehr groß.

 

Besonders kritisch zu erachten sind jedoch die Angriffe, die darauf abzielen, persönliche Daten von natürlichen Personen abzugreifen. Angriffe auf Social Media-Plattformen, die zeitweilig lahmgelegt werden, von denen aber auch Kundendaten geraubt werden, sind an der Tagesordnung. Besonders kritisch wird es, wenn besonders sensible Daten – wie etwa Gesundheitsdaten – betroffen sind.

 

Cyberattacken ziehen mittlerweile Schäden in Milliardenhöhe nach sich; bereits deren Abwehr verursacht einen ganz erheblichen Aufwand.

 

Auf europäischer Ebene soll der Schutz der Daten natürlicher Personen ab Mai 2018 über die neue Datenschutz-Grundverordnung (EU) 2016/679, die die bisher gültige Datenschutz-Richtlinie ersetzt, verbessert und auf aktuelle Gegebenheiten angepasst werden. Erstmals wird damit das Datenschutzrecht europaweit vereinheitlicht und eine einheitliche Basis vor allem für die Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen geschaffen. Ein besonderer Augenmerk verdient die Tatsache, dass die Datenschutz-Grundverordnung dem Marktortprinzip folgt, und somit auch für Unternehmen wie Google oder Facebook gilt, die außerhalb der EU angesiedelt sind, sofern sich deren Angebote an Bürger der EU richten.

 

Da nach einem Cyberangriff ein äußerst rasches Handeln geboten ist, sieht die Datenschutz-Verordnung eine Mitteilung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Attacke vor, um deren Folgen möglichst gering halten zu können. Verstöße gegen die Verständigungspflicht können mit bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes geahndet werden.

 

Ob und inwieweit die Verordnung ihr Ziel, nämlich den Datenschutz, erreichen kann, ist stark umstritten – ein klares Signal in die richtige Richtung ist die Verordnung jedenfalls. Gut wäre es, wenn auch die Konsumenten den sorglosen Umgang mit ihren Daten an die sich ständig ändernden Verhältnisse anpassen würden.

 

 

 

Autoren:

Valentin Neuser,

Rechtsanwalt und Head of German Desk bei Lansky, Ganzger & Partner Rechtsanwälte GmbH

 

Mag. Ronald Eppel,

Rechtsanwalt und Head of Migration bei Lansky, Ganzger & Partner Rechtsanwälte GmbH