Cyber-Risk-Management ist (nicht nur) Chefsache
Die deutsche Wirtschaft befindet sich in einem digitalen Transformationsprozess. Unternehmen nutzen Plattformen, Blockchain, Smart Contracts und digitale Zahlungsmethoden, was einerseits Effizienzsteigerungen und neue Geschäftsmodelle ermöglicht. Die Vernetzung mit Kooperationspartnern, Kunden und Kommunikationsplattformen führt aber auch zu neuen Risiken.
Dr. Mansur Pour Rafsendjani ist Rechtsanwalt und Partner der Noerr LLP in München. Zusammen mit seinem Team berät er Unternehmen im Hinblick auf rechtliche Anforderungen an die Cyberrisk-Compliance und das Legal Management nach erfolgten Cyber-Angriffen. (Bild: Noerr LLP)
Laut einer Studie des Digitalverbands Bitcom haben 68 Prozent der befragten Unternehmen innerhalb der vergangenen zwei Jahre eine Cyberattacke registriert. Die deutsche Wirtschaft ist ein beliebtes Angriffsziel. 2017 betrugt der Gesamtschaden aufgrund von Cyberangriffen in Deutschland schätzungsweise 55Mrd.?. Neben vorsätzlichen Angriffen drohen aber auch Risiken für IT-Systeme durch höhere Gewalt, technisches Versagen, Fahrlässigkeit oder organisatorische Mängel. Das Internet der Dinge (Industrie 4.0) führt zu einer erheblichen Risikoerhöhung im Zuge der Verwendung internetfähiger Geräte, die nicht ausreichend geschützt sind.
Rechtspflichten der Unternehmensleitung
Für einen Hackerangriff oder sonstige vorsätzlich von anderen begangene Cyber Crimes ist der Unternehmer selbstverständlich nicht verantwortlich. Dafür, dass die Attacke erfolgreich ist, aber schon, wenn die IT-Sicherheit in seinem Unternehmen nicht dem Stand der Technik entspricht. Täter werden selten erwischt. Oftmals sitzen diese im Ausland. Haftungsansprüche gegen andere (z.B. Dienstleister) greifen nicht, wenn diese nachweisen können, dass sie den Stand der Technik eingehalten haben. Damit rückt die Haftung des Managements natürlich in den Fokus.
Haftungsrisiko auch für Mitarbeiter
Cyber Risk ist nicht nur Chefsache. Auch ein Risikobewusstsein von Mitarbeitern ist gefordert. Denn allzu oft ist der Mitarbeiter die Schwachstelle im Netz. Diesen Mitarbeitern droht eine erhebliche Haftung, auch wenn es für Arbeitnehmer im Zusammenhang mit betrieblich veranlassten Tätigkeiten Haftungsprivilegierungen gibt. Bei grob fahrlässigen Verstößen besteht nach der Rechtsprechung des Bundesarbeitsgerichts (BAG) eine Haftung bis zur Höhe eines Jahresgehalts.
