FONDS professionell Deutschland, Ausgabe 4/2022

Schutz schilde hoch Makler laufen ständig Gefahr, Opfer von IT-Kriminellen zu werden. Doch wozu sind sie nach einer Cyberattacke aus juristischer Sicht eigentlich verpflichtet? Zwei Experten geben Auskunft. I mmer öfter müssen sich Unternehmen gegen Hackerattacken wehren – auch gewerbliche Finanz- und Versicherungsver- mittler laufen Gefahr, Opfer von Cyber- angriffen zu werden: „Hacker haben sogar ziemlich gute Erfolgschancen, weil viele Vermittler ihre IT nicht ausreichend schüt- zen, da sie Kosten und Aufwand scheuen“, so die Einschätzung von Guido Babinsky, Geschäftsführer des auf Datenschutz spe- zialisierten Unternehmens Basucon. Jeder erfolgreiche Hackerangriff ist ein Problem für Berater. Die Cyberkriminellen können die Internetseiten lahmlegen, so- dass sie nicht erreichbar sind. Problema- tischer wird es, wenn die Hacker sensible Kundendaten abgreifen und entweder Lösegeld verlangen, damit sie jene nicht im Internet veröffentlichen, oder die Daten verkaufen. In diesen Fällen können Ver- mittler mit demDatenschutzrecht und der seit Mai 2018 geltenden Datenschutz- grundverordnung (DSGVO) in Konflikt geraten. FONDS professionell skizziert, worauf Berater bei der IT-Sicherheit achten sollten, was die rechtlichen Pflichten nach einemHackerangriff sind und welche juris- tischen Konsequenzen Untätigkeit in bei- den Fällen nach sich ziehen kann. 72 Stunden Was auch immer genau passiert ist: Nachdem ein Vermittler die Attacke be- merkt hat, muss er prüfen, ob personen- bezogene Daten abgeflossen sind. Dafür hat er gemäß Artikel 33 DSGVO maximal 72 Stunden Zeit, falls die Datenschutz- verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der von der Datenpanne betroffenen Personen führt. Spätestens dann müssen sowohl die zustän- dige Datenschutzbehörde und gemäß Arti- kel 34 DSGVO auch die betroffenen Kun- den informiert werden, wenn das Risiko für deren persönlichen Rechte und Frei- heiten sehr hoch sein sollte. Zudem ist die Datenschutzverletzung zu dokumentieren. „Das kann durchaus ein Problem sein, da Hacker gern am Freitag- nachmittag zuschlagen, wenn viele IT- Experten schon im Wochenende sind. Zudem kann es passieren, dass man Daten- schutzbehörden in mehreren Bundeslän- dern oder sogar im EU-Ausland Meldung erstatten muss, wenn das Unternehmen Dependancen hat“, sagt Lutz Martin Kep- peler, Fachanwalt für Informationstechno- logierecht bei der Kanzlei Heuking Kühn Lüer Wojtek. „Wenn die Meldung nicht oder nicht rechtzeitig erfolgt, droht laut Artikel 83 DSGVO eine empfindliche Geldbuße“, ergänzt Babinsky. Im Extremfall sind bis zu zehn Millionen Euro fällig. Damit ist der Fall aber nicht erledigt – und das gilt nicht nur mit Blick auf andere wichtige Schritte wie etwa die Wiederher- stellung der IT, sondern auch in datenrecht- licher Sicht. „Die Datenschutzbehörde wird überprüfen, ob der Vermittler die » Hacker schlagen gern am Freitag- nachmittag zu. « Lutz Martin Keppeler, Heuking Kühn Lüer Wojtek Gerade auch Finanz- und Versiche- rungsvermittler sind gut beraten, wenn sie einen Haken unter das wichtige Thema IT-Sicherheit setzen – sie handeln schließlich mit sensiblen Kundendaten. STEUER & RECHT Cybersicherheit 442 fondsprofessionell.de 4/2022 FOTO: © CHAIWUTNNN | STOCK.ADOBE.COM

RkJQdWJsaXNoZXIy ODI5NTI=