Zum Inhalt springen
Home » Datenschutz-News » Cyberattacke als „Höhere Gewalt“

Cyberattacke als „Höhere Gewalt“

Für Unternehmen als datenschutzrechtlich Verantwortliche stellen Cyberangriffe eine erhebliche Gefahr dar. Nicht nur, dass hierdurch die IT-Strukturen lahmgelegt und Firmeninterna nach außen gelangen können, stellen Cyberangriffe in der Regel auch Verletzungen personenbezogener Daten im Sinne der Datenschutzgrundverordnung (DSGVO) dar. Ist ein solcher Fall gegeben, sind Unternehmen verpflichtet, dies der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Dabei kann es auch erforderlich sein, die betroffenen natürlichen Personen umfassend zu informieren. Im Rahmen sog. Datenpannen können Unternehmen erhebliche Bußgelder drohen, wenn etwa herauskommt, dass die Datenpanne z.B. nur dadurch entstehen konnte, weil man die letzten Sicherheitspatches nicht bezahlen wollte.

Im Zusammenhang mit Cyberangriffen stellen sich Unternehmen in letzter Zeit u.a. auf den Standpunkt, dieser stelle sog. höhere Gewalt dar, was den Versuch darstellt, sich zu enthaften. Können sich Unternehmen hier auf höhere Gewalt berufen, um Bußgelder und Auflagen zu entgehen

Was umfasst höhere Gewalt?

Der Begriff der höheren Gewalt ist vielen Datenschutzbehörden nicht fremd, und kam vermehrt während der COVID-19 Pandemie zum Zuge. Ob man auch bei einem Cyberangriff von höherer Gewalt ausgehen kann, erscheint jedoch zweifelhaft.

Nach der Rechtsprechung des Europäischen Gerichtshof (EuGH) sind unter „höherer Gewalt“ ungewöhnliche und unvorhersehbare Ereignisse zu verstehen, auf die derjenige, der sich auf höhere Gewalt beruft, keinen Einfluss hat und deren Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können (vgl. etwa EuGH, Urt. v. 18.3.2010, Rs. C 218/09). Wenn gleich diese Entscheidung nicht zu Fragen der DSGVO ergangen ist, ist nicht zu erwarten, dass der EuGH den Rechtsbegriff der höheren Gewalt im Datenschutzrecht anders verstehen wird.

Ähnlich wird der Begriff auch im deutschen Recht verstanden, wonach maßgeblich ist, ob ein Ereignis mit angemessenen und zumutbaren Mitteln rechtzeitig hätte abgewendet werden können. Auch wenn für die Anwendung der DSGVO letztendlich die Rechtsprechung des EuGH maßgeblich ist, wird man vorliegend mit beiden Begriffsdefinition zum gleichen Ergebnis kommen müssen, da die nach dem EuGH gebotene Sorgfalt letztlich nicht anderes ist als die Pflicht zu angemessenen und zumutbaren Mitteln zur Schadensvermeidung.

Cyberangriffe als höhere Gewalt?

Regelmäßig handelt es sich bei einem Cyberangriff bereits nicht um ein ungewöhnliches oder unvorhersehbares Ereignis. Ob man dies im Hinblick auf die weitere Entwicklung anders bewerten müsste, bleibt abzuwarten.

Bereits hier wird man nach dem Begriff des EuGH „höhere Gewalt“ ablehnen müssen. Hierfür spricht auch Sinn und Zweck der höheren Gewalt. Es geht gerade nicht darum, immer dann eine Haftung entfallen zu lassen, wenn trotz durchschnittlicher Schutzmaßnahmen ein Schaden eingetreten ist. Höhere Gewalt liegt vielmehr dann vor, wenn das Schadensereignis bereits nicht in direkten Zusammenhang mit einer bestehenden betrieblichen Gefahr besteht, also eine Gefahr die sich unter den gegebenen Umständen gerade typischerweise realisieren kann. Auch ist es regelmäßig gerade nicht als höre Gewalt anzusehen, wenn sich der Schadenseintritt einem Schädiger direkt zuordnen lässt.

All dies trifft auf eine Cyberattacke nicht zu. Aufgrund der schieren Anzahl und stetige Zunahme von Cyberattacken, sowie der Tatsache, dass über diese schon seit vielen Jahren in der Fachpresse sowie der allgemeinen Öffentlichkeit berichtet wird, wird ein datenschutzrechtlich Verantwortlicher schwerlich behaupten können, ein Cyberangriff sei ungewöhnlich oder gar unvorhersehbar. Im Gegenteil ist inzwischen fast jedes zweite Unternehmen in Deutschland bereits mindestens einmal Opfer einer Cyberattacke geworden. Es stellt sich daher eher so dar, dass im IT-Bereich ein Cyberangriff gerade im Gegenteil als eine absolut typische Gefahr angesehen werden muss, die der Verantwortliche bei der Verarbeitung personenbezogener Daten als Risikofaktor zu berücksichtigen hat. Aufgrund der zunehmend hören Eintrittswahrscheinlichkeit, sowie der unter Umständen drohenden erheblichen Risiken für den Schutz personenbezogener Daten werden Unternehmen ihre Möglichkeiten zum Schutz von Cyberattacken daher umfassend nutzen müssen.

Bildnachweis für diesen Beitrag © WhataWin – stock. adobe. com