WIEN. Wo ein Schaden auftritt, ist die Frage der Haftung nicht weit. Oder, salopper formuliert: Einer muss schuld sein.
Wie es sich mit der Haftung bei Cybercrime-Vorfällen verhält, erklären Andreas Schütz, Partner und Datenschutzexperte bei Taylor Wessing, und Ivo Deskovic, Partner und Experte für Streitbeilegung bei Taylor Wessing, im Gespräch mit medianet.
medianet: Wo sind die Grenzen der Cybercrime Haftung im Allgemeinen?
Ivo Deskovic: Cybersicherheit ist eindeutig ‚Chefsache'. Eine Entscheidung des OGH stellt klar, dass die Datensicherheit jedes Unternehmens immer am Stand der Technik sein muss. Vorstand bzw. Geschäftsführung haften sohin dafür, dass die Systeme up-to-date sind, ausreichend Guidelines bestehen, die Mitarbeiter geschult sind und Umsetzung und Einhaltung auch laufend überprüft werden.
medianet: Wer haftet für Fehler der Mitarbeiter?
Deskovic: In vielen Fällen sind Cyber Incidents auf menschliche Fehlleistungen zurückzuführen. Bei ausreichender Schulung haften dafür nicht die Geschäftsleiter, und bei leichtem Verschulden auch nicht die Mitarbeiter. Jedoch kann das Unternehmen selbst haften, vor allem gegenüber Vertragspartnern. Das gilt auch für immaterielle Schäden.
medianet: Was sind immaterielle Schäden beim Cyber Incident?
Andreas Schütz: Die DSGVO hat u.a. bei Datenschutz-Vorfällen auch eine Haftung jedes Verantwortlichen für immaterielle Schäden gebracht. Das sind Schäden, die sich nicht direkt in Geld ausdrücken, wie etwa Schmerzensgeld oder Imageschäden. Gerade Letzteres kannten wir in Österreich bisher nicht.
In einem Testfall hat daher der OGH heuer im Zuge eines Vorabentscheidungsverfahrens die Frage an den EuGH gestellt, ob jeder Datenschutz-Vorfall, also z.B. ein Datenleck von persönlichen Daten, zu einem Ersatz führt, auch wenn gar kein erkennbarer Schaden entstanden ist. Denkbar ist nämlich tatsächlich der Ersatz von rein theoretischen Beeinträchtigungen.
