IT-Sicherheit und Haftung

Von Rechtsanwalt Martin Jedwillat
4.4.2025 | Ratgeber - Internetrecht, Computerrecht
Mehr zum Thema: Internetrecht, Computerrecht, DSGVO, Datenschutz, Datenpanne, Datenleck, IT-Sicherheit, Haftung
0 von 5 Sterne
 Bewerten mit:
0

Was tun bei einem Datenleck?

Datenlecks und Hackerangriffe sind längst keine Einzelfälle mehr, sondern betreffen Unternehmen jeder Branche und Größe. Für Betroffene stellt sich dabei oft die Frage: Wer haftet eigentlich, wenn personenbezogene Daten in falsche Hände geraten? In diesem Ratgeber beleuchten wir die rechtlichen Grundlagen, die Pflichten von Unternehmen und die Rechte von Kunden sowie relevante Gerichtsurteile zur Haftung bei Datenschutzpannen.

Pflichten von Unternehmen bei Datenschutzpannen

Gemäß der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen (Art. 32 DSGVO). Dazu zählen etwa Firewalls, Verschlüsselungstechnologien, Zugriffsbeschränkungen und regelmäßige Sicherheitsupdates. Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und dem jeweiligen Risiko angemessen sein.

Martin Jedwillat
Partner
seit 2024
Rechtsanwalt
Martin Jedwillat
Ulmenstraße 43a
18057 Rostock
Tel: 0381/36768101
Web: https://www.advomare.de/
E-Mail:
IT-Recht, Vertragsrecht, allgemein, Datenschutzrecht, Gewerblicher Rechtsschutz

Kommt es dennoch zu einem Datenleck, müssen Verantwortliche unverzüglich, spätestens jedoch binnen 72 Stunden, eine Meldung an die zuständige Aufsichtsbehörde machen (Art. 33 DSGVO). Diese Meldung muss unter anderem Angaben zur Art des Verstoßes, zu den betroffenen Datenkategorien und zur Anzahl der betroffenen Personen enthalten.

Ist ein hohes Risiko für die Rechte und Freiheiten der Betroffenen gegeben, sind auch diese in klarer und einfacher Sprache zu informieren (Art. 34 DSGVO). Die Unternehmen müssen dabei erläutern, welche Maßnahmen zur Eindämmung des Schadens getroffen wurden und welche Schritte Betroffene selbst unternehmen können.

Verstoßen Unternehmen gegen diese Pflichten, drohen Bußgelder in erheblicher Höhe. Die DSGVO sieht Sanktionen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor (Art. 83 DSGVO). Darüber hinaus kann auch die öffentliche Bekanntmachung eines Datenschutzverstoßes erheblichen Imageschaden verursachen.

Rechte von Kunden und Betroffenen

Betroffene können gemäß Art. 82 DSGVO Schadensersatz verlangen, wenn ihnen durch eine Datenschutzverletzung ein materieller oder immaterieller Schaden entstanden ist. Ein immaterieller Schaden kann bereits dann vorliegen, wenn die Möglichkeit besteht, dass sensible persönliche Informationen in unbefugte Hände gelangen und missbraucht werden können, etwa Gesundheitsdaten, finanzielle Informationen oder intime Details. Ob und in welchem Umfang eine Schadensersatzforderung besteht, ist aber immer von dem jeweiligen Einzelfall abhängig.

Bereits der Kontrollverlust über die eigenen Daten kann einen ersatzfähigen Schaden darstellen. Unternehmen müssen also mit individuellen Klagen betroffener Personen rechnen – auch wenn kein direkter finanzieller Schaden entstanden ist.

Haftung bei Hackerangriffen und Datendiebstahl

Ein häufiger Irrglaube ist, dass Unternehmen nicht haften müssen, wenn ein Datenleck durch Dritte, etwa Hacker, verursacht wurde. Tatsächlich gilt: Auch bei externen Angriffen kann eine Haftung bestehen, wenn das Unternehmen keine angemessenen Sicherheitsmaßnahmen getroffen hat.

Unternehmen müssen also nachweisen können, dass sie ihre IT-Infrastruktur regelmäßig prüfen und aktualisieren. Sicherheitslücken, veraltete Software oder fehlende Schulungen der Mitarbeitenden können als Fahrlässigkeit gewertet werden – mit entsprechenden haftungsrechtlichen Konsequenzen. Werden diese nicht erfüllt, drohen neben empfindlichen Bußgeldern auch hohe Schadensersatzzahlungen an die Betroffenen.

Wie advomare Ihnen helfen kann

Die advomare Rechtsanwaltskanzlei ist auf IT- und Datenschutzrecht spezialisiert. Wir unterstützen Unternehmen dabei,

  • ihre Datenschutzprozesse rechtssicher zu gestalten,
  • technische und organisatorische Maßnahmen gemäß DSGVO zu evaluieren und zu dokumentieren,
  • im Ernstfall eine schnelle und DSGVO-konforme Reaktion auf Datenpannen umzusetzen,
  • Schadensersatzforderungen abzuwehren oder geltend zu machen,
  • und in Auseinandersetzungen mit Aufsichtsbehörden oder Betroffenen zu vermitteln.

Für Betroffene prüfen wir Ansprüche auf Schadensersatz, setzen diese durch und begleiten Sie bei der Kommunikation mit Unternehmen und Behörden. Auch eine außergerichtliche Einigung mit Verantwortlichen wird durch uns effizient vorbereitet und verhandelt.

Darüber hinaus beraten wir unsere Mandanten auch präventiv – etwa bei der Erstellung von IT-Sicherheitsrichtlinien, der Durchführung von Datenschutz-Folgenabschätzungen oder der Schulung von Mitarbeitenden im Umgang mit sensiblen Daten. 

Für weitere Informationen schauen Sie gerne auf unserer Website vorbei oder kontaktieren Sie uns für eine kostenfreie Ersteinschätzung.

Ein Datenleck kann für Unternehmen teuer werden – sowohl finanziell als auch reputationsbezogen. Umso wichtiger ist es, rechtzeitig vorzubeugen und im Ernstfall schnell und rechtssicher zu handeln. 

Mit freundlichen Grüßen
Rechtsanwalt Martin Jedwillat

advomare Rechtsanwaltskanzlei
Ulmenstraße 43 A
18057 Rostock

Telefon: +49 381 36768101
Telefax: +49 381 367681010
Mail: kanzlei@advomare.de
www.advomare.de
Das könnte Sie auch interessieren
Internetrecht, Computerrecht Rechtliche Stolperfallen beim Online-Shop
Internetrecht, Computerrecht Unwahre Tatsachenbehauptungen und Meinungsfreiheit im Netz
Internetrecht, Computerrecht Bilder aus dem Internet nutzen