Zurück
Kanzleien arbeiten tagtäglich mit sehr sensiblen Daten ihrer Mandanten. Doch was passiert im Falle eines Hackerangriffs? Wer haftet für mögliche Schäden und wie sichern sich Kanzleien sowohl rechtlich als auch technisch ab?
Warum sind Hackerangriffe erfolgreich?
Leichtsinniger Umgang mit Daten, fehlende Schulungen der Mitarbeiter und mangelndes Problembewusstsein können es Kriminellen einfach machen, die IT-Systeme einer Kanzlei zu hacken. Sowohl wichtige Kanzleidaten als auch Mandantendaten sind in Gefahr.
Jedes zweite Unternehmen ist betroffen
Laut des Digitalverbands Bitkom[1] verzeichnet die deutsche Wirtschaft infolge von Hackerangriffen jährlich Schäden in Höhe von 22 Milliarden Euro, wobei jedes zweite Unternehmen einem Angriff zum Opfer fiel. Kleinere und mittelständische Unternehmen sind dabei besonders häufig betroffen. Dabei drohen den Kanzleien vielfältige Schäden:
Regress im Falle einer Pflichtverletzung von Softwareherstellen ist zwar theoretisch möglich, praktisch aber schwer umzusetzen, da diese meist keine allgemeinen Schutzversprechen bieten, sondern nur Schutz, der an bestimmte Voraussetzungen geknüpft ist.
Wann haftet die Kanzlei?
Kanzleien können in Anspruch genommen werden, wenn sie die nötige IT-Sicherheit nicht gewährleisten und keine vorbeugenden Maßnahmen gegen Hackerangriffe treffen und somit grob fahrlässig handeln. Bei damit einhergehenden DSGVO-Verstößen steht die Kanzlei in der Beweispflicht: Diese kann sich nur dann entlasten, wenn sie darlegt, dass die Datenpanne mit allen verfügbaren Möglichkeiten nicht hätte verhindert werden können.
Vorsicht ist besser als Nachsicht
Um der Entstehung von Schäden infolge von Hackerangriffen vorzubeugen, sind präventive Maßnahmen besonders wichtig. Mit Hilfe von IT- Dienstleistern sollten die Schwächen, Sicherheitslücken und Angriffspunkte erkannt und bewertet werden. Das bedeutet auch, Notfallpläne inklusive festgelegter Abläufe und Verantwortlichkeiten innerhalb des Unternehmens zu definieren und eine Cyber-Versicherung abzuschließen, die insbesondere Deckung für folgende Fälle gewährt:
In technischer Hinsicht ist eine Basisabsicherung bestehend aus Virenscanner, Firewall und Passwortschutz nicht ausreichend. Zusätzlich benötigt wird spezielle Software, die dem Erkennen und Abwehren von Angriffen dient. Alle Daten müssen gesondert verschlüsselt werden und es müssen erweiterte Verfahren zur Benutzeridentifikation eingeführt werden. Auch in personeller Hinsicht können Schulungen und Sensibilisierungen der Mitarbeiter dazu beitragen, mögliche Gefahren besser zu erkennen.
Handeln im Schadensfall
Sollte es trotz Absicherungen zum Cyberangriff kommen, müssen Kanzleien einiges beachten. So ist insbesondere an die datenschutzrechtliche Anzeigepflicht aus der DSGVO zu denken, welche in den Art. 33 und 34 vorschreibt, dass mögliche Schäden innerhalb von 72 Stunden anzuzeigen sind. Bei Versäumen der Anzeige drohen Bußgelder.
Auch das Erstatten einer Strafanzeige sollte überprüft werden, denn in vielen Bundesländern gibt es bereits Staatsanwaltschaften, die sich speziell auf Cyberkriminalität konzentrieren. Und natürlich darf die Schadensmeldung bei der Cyberversicherung nicht vergessen werden, um nicht mögliche Obliegenheiten aus dem Versicherungsvertrag zu verletzen.
Trotz aller Maßnahmen gewährleistet selbst die beste Sicherheitssoftware keinen absoluten Schutz. Ganz ohne Schutz ist man aber enormen Haftungsrisiken ausgesetzt. Deshalb ist jede einzelne präventive Maßnahme wichtig, um den Schaden möglichst gering zu halten.
Unser Support-Team steht Ihnen telefonisch oder per Mail zur Verfügung. Vielleicht finden Sie Ihre Antwort auch schon im folgenden Bereich: