1 445 Table of Contents 447 454

FONDS professionell Deutschland, Ausgabe 4/2022

nach Artikel 32 der DSGVO vorgeschriebe- nen ‚geeigneten technischen und organisa- torischen Maßnahmen‘ getroffen hatte, die ein ‚angemessenes Schutzniveau‘ für die sensiblen Kundendaten gewährleisten“, erklärt Keppeler.Hat ein Vermittler das ver- säumt, drohen gemäß Artikel 83 DSGVO ebenfalls Geldbußen. Jurist Keppeler merkt aber an, dass die Auslegung des Begriffs „angemessenes Schutzniveau“ in der Praxis schwierig sei. „Es gibt kaumGerichtsurteile oder Auslegungen vonseiten der Daten- schutzbehörde. Das hängt auch damit zusammen, dass das IT-Sicherheitsrecht in den Kinderschuhen steckt.“ Mögliche Schutzmaßnahmen In der Praxis ist daher ein Mehr an Schutzmaßnahmen ratsam. „Vermittler soll- ten also wenigstens die von vielen gern be- nutzten Cloud Services wie Google Work- space oder Microsoft Office 365 entspre- chend konfigurieren. Ferner sollten sie für den Fall, dass sie sensible Daten im Sinne des Artikel 9 DSGVO per E-Mail versen- den, neben der meist standardmäßigen Transportverschlüsselung unbedingt auch für eine Inhaltsverschlüsselung, etwa mit- tels PGP- oder S/Mime-Technik, sorgen“, zählt Experte Babinsky nur einige Sicher- heitsmaßnahmen auf. Wenn Berater mit einer Cloud arbeiten, ist zudem die Daten- sicherung bei einem anderen Anbieter oder auf einem eigenen lokalen Server ein Muss – neben einer Kopie des Katalogs, in dem alle angewendeten Sicherheitsmaß- nahmen aufgeführt sind. Immaterieller Schaden Vermittler sollten Sicherheitsvorkehrun- gen aber nicht nur wegen der drohenden Bußgelder einrichten. „Wenn Kunden durch Datendiebstahl ein Schaden entsteht, und dazu gehören laut DSGVO auch immaterielle Schäden, können sie vom Vermittler zusätzlich zu den behördlich verhängten Geldbußen auch Schadenersatz verlangen“, weiß Babinsky. Das sieht Artikel 82 der Datenschutzgrundverordnung vor (siehe Kasten unten). Übrigens: Auch die fehlende Information über den Datenklau kann einen immateriellen Schaden nach sich ziehen, inklusive Schadenersatz. Selten, aber nicht ausgeschlossen sind strafrechtliche Folgen. Der „Klassiker“ ist der Geschäftsführer einer Gesellschaft mit beschränkter Haftung, der nur unzurei- chende oder gar keine Maßnahmen zur IT- Sicherheit trifft, sodass es nach einer Cyber- attacke zur „Durchgriffshaftung“ kommt. Allerdings muss in diesem Zusammen- hang laut Babinsky auch immer die Frage nach der groben Fahrlässigkeit oder dem Vorsatz geklärt werden. Eine andere mögli- che für sie negative Folge können Vermitt- ler einfach vermeiden: „In Dienstleistungs- verträgen mit Mandaten bauen Makler mitunter Klauseln zur Datensicherheit ein. Wenn sie der Verpflichtung nicht nach- kommen und Hacker Kundendaten ent- wenden, können Kunden zivilrechtlich wegen des Verstoßes gegen den Vertrag auf Schadenersatz klagen,“warnt Keppler. Aller- dings geschehe so etwas nur selten,weil der Geschädigte den Nachweis führen müsse, dass der Vermittler keinen geeigneten Schutz ergriffen hat. In solchen Fällen helfen übrigens Cyberpolicen mit juristi- schem Rat. Deren eigentlicher Wert liegt aber anderswo: Die Versicherer bestehen auf Sicherheitsmaßnahmen (siehe auch Seite 276). JENS BREDENBALS FP » Viele Vermittler schützen ihre IT nicht ausreichend, da sie Kosten und Aufwand scheuen. « Guido Babinsky, Basucon Immaterieller Schaden laut DSGVO Das deutsche Recht kennt den Begriff des „im- materiellen Schadens“ schon lang. „Allerdings ist bislang nicht eindeutig definiert, wann ein solcher im Zusammenhang mit einem Verstoß gegen die DSGVO vorliegt“, sagt Anwalt Lutz Martin Keppeler von der Kanzlei Heuking Kühn Lüer Wojtek. Der Europäische Gerichtshof (EuGH) befasst sich in mehreren Verfahren mit dieser Frage. Bei Redaktionsschluss lagen die Urteile noch nicht vor. Das Amtsgericht Hagen (Az. C-687/21) fragt den EuGH, ob nur dann Schadenersatzan- spruch besteht, wenn neben der unberechtigten Bekanntgabe von Personendaten an Dritte tat- sächlich ein immaterieller Schaden auftritt, wo- bei die Beweislast beim Betroffenen liegt. Weiter fragt es den EuGH, ob das Unbehagen des Betroffenen für einen immateriellen Schaden im Sinne des Artikel 82 DSGVO genügt. Der Oberste Gerichtshof Österreichs (Az. C-300/21) fragt die Luxemburger Richter, ob für einen Schadenersatzanspruch nach Artikel 82 DSGVO bereits die Verletzung von Bestim- mungen der DSGVO ausreicht oder ob die betroffene Person zusätzlich einen Schaden erlitten haben muss. Das Landgericht Saar- brücken (C-741/21) möchte ebenfalls wissen, ob der Begriff des immateriellen Schadens so zu verstehen ist, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst. STEUER & RECHT Cybersicherheit 444 fondsprofessionell.de 4/2022 FOTO: © STUDIO REDEKER

RkJQdWJsaXNoZXIy ODI5NTI=