WIEN. Wo ein Schaden auftritt, ist die Frage der Haftung nicht weit. Oder, salopper formuliert: Einer muss schuld sein. Doch es gibt natürlich einiges zu beachten.
Wie es sich mit der Haftung bei Cybercrime-Vorfällen verhält, erklären Andreas Schütz, Partner und Datenschutzexperte bei Taylor Wessing, und Peter Lohberger, Associate bei Taylor Wessing, im Gespräch mit medianet. Beide befassen sich unter anderem intensiv mit den Themen Datenschutz und Cybercrime.
medianet: Spiegelt sich die Sicherheitsstudie auch in der anwaltlichen Praxis wider?
Andreas Schütz: Ja, definitiv. Der rechtliche Beratungsbedarf aufgrund von Cybercrime ist in den letzten Jahren massiv gestiegen. Obwohl es schlussendlich jeden treffen kann, ist festzustellen, dass eine technische wie jedenfalls auch rechtliche Vorsorge den Schaden minimieren kann. Es wäre besser, wenn Anwälte nicht erst bei Eintritt des Schadens gerufen würden.
medianet: Mit welchen Fällen sind Sie in der Praxis konkret konfrontiert?
Peter Lohberger: Wir merken einen konstanten Anstieg im Bereich Phishing, Malware, Ransomware und Cyber-Erpressung. Dabei ist der sog. Rechnungsbetrug (hier wird die Kontonummer verfälscht), wie auch die Verschlüsselung bzw. das Downloaden von Daten durch Kriminelle weiterhin stark im Trend; die Schadenssummen sind hier enorm.
medianet: Was sind die rechtlichen Fragestellungen beim angesprochenen Rechnungsbetrug?
Schütz: Strafrechtlich wird meist der Rechnungsempfänger betrogen, welcher aufgrund des Betrugs auf eine entsprechend falsche Kontoverbindung eingezahlt hat. Schlussendlich geht es darum, ob die Zahlung nochmals, aber an den richtigen Empfänger mit der richtigen Kontonummer, gezahlt werden muss. Die schuldbefreiende Wirkung einer in gutem Glauben an einen Dritten (z.B. Vorlieferant) geleisteten Zahlung hängt davon ab, ob man selbst mit der gebotenen Sorgfaltspflicht gehandelt hat. Beispielsweise sollte bei einer lang bestehenden Geschäftsbeziehung eine plötzliche Kontoänderung auffallen bzw. zumindest eine telefonische Rückfrage erfolgen. Sofern man fragwürdige Umstände ignoriert, spricht dies oft für eine mangelnde Sorgfalt. Entsprechende technisch-organisatorische Maßnahmen bzw. ein wirksames internes Kontrollsystem könnten wesentlich dazu beitragen, Straftaten zu verhindern.
medianet: Welche Kosten kommen hier auf die Unternehmen üblicherweise zu?
Lohberger: Das ist stark vom Einzelfall und Sachverhalt abhängig. Wir arbeiten intensiv mit mehreren Cyberversicherungen zusammen. Je nach Versicherungsmodul werden dabei z.B. die anwaltlichen Kosten bei der Abwehr und Minderung des Schadens, aber auch Haftungsansprüche von Dritten (wie z.B. durch Datenschutzverletzungen) abgedeckt. Umfasst ist üblicherweise die Abwehr von Haftungsansprüchen und Versicherungsschutz im (Verwaltungs-)strafverfahren.
