DSGVO Schadensersatz für KMU: Der Security-Privacy-Dominoeffekt erklärt

Stellen Sie sich vor: Ein Cyberkrimineller verschafft sich Zugang zu Ihrem Unternehmensnetzwerk, verschlüsselt Ihre Daten und fordert Lösegeld. Das allein klingt schon schlimm genug – doch damit kann die Geschichte noch lange nicht zu Ende sein.

Denn was als „reines“ IT-Security-Problem beginnt, kann sich schnell zu einem handfesten Datenschutzproblem mit rechtlichen und finanziellen Konsequenzen ausweiten. Die Berliner Verkehrsbetriebe (BVG) mussten dies kürzlich schmerzlich erfahren: Nach einem Cyberangriff auf ihren IT-Dienstleister klagen nun145 Betroffene auf Schadensersatz nach DSGVO – obwohl die BVG selbst gar nicht direkt angegriffen wurde.

Diese und weitere aktuelle Fälle zeigen deutlich: Datenschutz und Datensicherheit sind keine getrennten Welten, sondern zwei Seiten derselben Medaille. Wer das eine vernachlässigt, gefährdet automatisch das andere.

Die neue Realität: Cyber-Vorfälle werden zu Datenschutz-Klagen

Was haben die Berliner Verkehrsbetriebe, der britische Einzelhändler Marks & Spencer und der Personaldienstleister Adecco gemeinsam? Sie alle erlebten, wie aus IT-Security-Problemen massive rechtliche und finanzielle Belastungen wurden.

Die Zahlen sprechen eine klare Sprache:

182.295 Datensätze kompromittiert bei der BVG
145 Schadensersatzklagen bereits eingereicht
72.000 Menschen betroffen beim Adecco-Vorfall
Millionenschwere Umsatzausfälle bei Marks & Spencer

Drei Fälle, eine Lektion

Fall 1: BVG Berlin – Wenn der Dienstleister zum Problem wird [1]

Die BVG wurde nicht direkt angegriffen, sondern ihr IT-Dienstleister Richard Scholz GmbH. Trotzdem ist die BVG nun mit Schadensersatzforderungen konfrontiert. Die Lehre: Auch Ihre Partner können Sie in DSGVO-Haftung bringen.

Kritische Verzögerung: Es verging ein Monat, bis Kunden informiert wurden – ein klarer Verstoß gegen die 72-Stunden-Meldepflicht der DSGVO.

Fall 2: Marks & Spencer UK – Der Dreifach-Schlag [2]

Erst der Cyberangriff, dann Millionen-Umsatzausfälle durch nicht funktionierenden Onlineshop, schließlich Sammelklagen wegen Datenverlust. Ein klassisches Beispiel dafür, wie sich IT-Probleme zu existenzbedrohenden Geschäftsproblemen entwickeln können.

Fall 3: Adecco Frankreich – Wenn Insider zu Tätern werden [3]

Ein 19-jähriger Praktikant verkaufte seine Zugangsdaten für 15.000 Euro. Die Folge: 2.400 Nebenkläger fordern Schadensersatz, der Schaden beläuft sich auf 1,6 Millionen Euro allein durch unrechtmäßige Abbuchungen.

Warum diese Entwicklung KMUs besonders trifft

Während Großunternehmen oft über eigene Rechtsabteilungen und Cyber-Versicherungen verfügen, sind kleine und mittlere Unternehmen besonders verwundbar:

1. Begrenzte Ressourcen für Security

Keine eigenen IT-Security-Spezialisten
Abhängigkeit von externen Dienstleistern
Oft veraltete Sicherheitsmaßnahmen

2. Unterschätzte rechtliche Risiken

DSGVO-Compliance wird als „Papierkram“ abgetan
Keine Vorbereitung auf Schadensersatzforderungen
Fehlende Dokumentation von Sicherheitsmaßnahmen

3. Hohe relative Schadenshöhe

Bereits 25.000 Euro durchschnittliche Kosten pro Cyber-Vorfall
DSGVO-Bußgelder bis zu 4% des Jahresumsatzes
Zusätzlich: Anwaltskosten, Schadensersatz, Reputationsverlust

Die DSGVO als Schadensersatz-Hebel

Artikel 82 DSGVO macht es möglich: Betroffene können Schadensersatz fordern – auch bei reinimmateriellen Schäden. Das bedeutet: Bereits der Kontrollverlust über eigene Daten ist schadensersatzpflichtig.

Typische Schadensersatzforderungen:

500-1.500 Euro pro betroffenem Datensatz
Mehrere tausend Euro bei sensiblen Daten (Gesundheit, Finanzen)
Zusätzlich: Anwaltskosten der Kläger

Der Datensicherheit-Datenschutz-Domino-Effekt

Praxistipp: Die 72-Stunden-Regel meistern

Bei einer Datenpanne läuft die Uhr – Sie haben nur 72 Stunden für die Meldung an die Aufsichtsbehörde.

Unser 5-Punkte-Notfallplan:

Sofortige Schadensbegrenzung(Systeme isolieren)
Umfang ermitteln (Welche Daten sind betroffen?)
Aufsichtsbehörde informieren (binnen 72h)
Betroffene benachrichtigen (unverzüglich)
Dokumentation (für mögliche Verfahren)

💡Tipp: Erstellen Sie Vorlagen für alle Meldungen – in der Krise ist keine Zeit für Textarbeit!

Security Awareness Toolbox: Mehr Bewusstsein für Datensicherheit UND Datenschutz

Wie die drei eingangs skizzierten Praxisbeispiele zeigen, spielen Datenschutz UND Datensicherheit eine zentrale Rolle, wenn es darum geht, insbesondere die finanziellen Folgen eines Cyberangriffs auf ein Minimum zu reduzieren.

Aus genau diesem Grund haben wir in die Security Awareness Toolbox nicht nur Informationen zur Datensicherheit aufgenommen, sondern beschäftigen uns auch mit dem Thema Datenschutz. Sie finden in der Security Awareness Toolbox unter anderem Schulungsunterlagen und Newsletter-Vorlagen zu Themen wie:

Grundlagen der DSGVO
Personenbezogene Daten nach DSGVO
Auftragsverarbeitung nach DSGVO
Datenschutz und (Online-) Marketing
Datenschutz und Personalwesen
Datenschutz in Vertrieb und Kundendienst

Darüber hinaus weisen wir auch in allen anderen Unterlagen darauf hin, wenn datenschutzrechtliche Aspekte eine Rolle spielen (z.B. beim Verhalten bei einer Datenpanne, Stichwort: 72-Stunden-Regel).

Denn eines ist klar: Auch wenn es für den Datenschutz klar definierte Verantwortlichkeiten wie den(externen) Datenschutzbeauftragten gibt, ist es am Ende doch wieder der „Faktor Mensch“, der dafür verantwortlich ist, dass Datenschutz UND Datensicherheit im Unternehmen eingehalten werden.

🎯 Konkrete Hilfe:

Kostenloser Security Awareness Quick-Check: Bewerten Sie Ihr aktuelles Sicherheitsniveau
Kostenloses Security Awareness Briefing: Individuelle Empfehlungen für Ihr Unternehmen
Security Awareness Toolbox: Alles, was Sie benötigen, um für mehr Bewusstsein zu Datensicherheit UND Datenschutz in Ihrem Unternehmen zu sorgen

Möchten Sie regelmäßig über aktuelle Entwicklungen im Bereich Security Awareness informiert werden? Dann abonnieren Sie unseren LinkedIn Newsletter „Security Awareness Insights“.

Quellen:

[1] BVG Berlin

[2] Marks & Spencer

[3] Adecco Frankreich