Schadensersatz im Falle von Kryptotrojanern / Verschlüsselungstrojanern / Ransomware

Kryptotrojaner (auch: Verschlüsselungstrojaner, Ransomeware oder Erpressungstrojaner) führen oftmals zu erheblichen Schäden, da die gesamten Daten des Unternehmens verschlüsselt werden und die Daten für den weiteren Betriebsablauf sowie die Stellung von Rechnungen fehlen. Oftmals entstehen auch „indirekte Schäden“, wenn z. B. Daten für Meldungen an das Finanzamt nicht mehr zugänglich sind. Sind aktuelle Backups vorhanden, kann die Situation oftmals mit einem „Schrecken“ und einem noch überschaubaren Schaden erledigt werden. Was aber gilt, wenn es an aktuellen Backups fehlt? Welche Möglichkeiten bestehen?Update (2020): Bitte beachten Sie auch unseren Beitrag Ransomware: Lösegeldzahlung kann rechtswidrig sein.

Geltendmachung des Schadensersatzes

In der Regel ist ein externer IT-Dienstleister für die Anfertigung der Backups zuständig. Da Backups im Optimalfall aber nie benötigt werden, fällt oftmals erst im Schadensfall auf, dass die Backups nicht zugänglich sind, nicht vollständig sind oder veraltet sind. Es entsteht dann ein meist erheblicher Schaden. Der Schaden besteht in der Regel

  • in persönlichem Aufwand für die Datenrekonstruktion,

  • in Kosten für externe Dienstleister für die Datenrekonstruktion,

  • in entgangenem Gewinn, weil Daten für Abrechnungszwecke oder Leistungserbringungen fehlen,

  • einem Imageverlust, da die Daten bei Kunden neu angefordert werden müssen,

  • in Schadensersatz, der an Dritte zu zahlen ist, weil eigene Leistungen nicht oder nicht fristgerecht erbracht werden können.

Bei der Geltendmachung des Schadensersatzes kommt es darauf an, welche Vereinbarung mit dem IT-Dienstleister getroffen wurde. In der Praxis kommt es häufig vor, dass es entweder ganz an schriftlichen Vereinbarungen fehlt oder, falls eine schriftliche Vereinbarung vorliegt, diese sehr pauschal gehalten ist. Mitunter kann jedoch auch aus dem E-Mail- oder Briefwechsel abgeleitet werden, welche Vereinbarungen gelten. Anhand dieser Informationen ist zu klären, wem welche Backup-Leistungen oblagen, inwieweit Pflichten verletzt wurden und daher ein Schadensersatz dem Grunde und der Höhe nach geltend gemacht werden kann.

Oftmals entsteht die Frage eines Mitverschuldens. Dies kann z. B. dann der Fall sein, wenn das eigene System nicht dem Stand der Technik entsprechend abgesichert war oder falls ein ersichtlich „fragwürdiger“ E-Mail-Anhang geöffnet wurde und der Kryptotrojaner dadurch in das System gelangte.

Häufig stellt sich zudem das Problem der genauen Bezifferung des eigenen Schadens. Wie ist z. B. der oben genannte Imageschaden zu beziffern, welcher Betrag darf für den eigenen Aufwand angesetzt werden und welche Kosten eines Dritten für die Rekonstruktion waren angemessen?

Frühzeitige Meldung an die Versicherung

Falls eine Versicherung vorhanden ist, sollte äußerst kurzfristig geklärt werden, ob der Schadensfall zu melden ist. Dies gilt für die eigene Versicherung sowie auch für die Versicherung des möglicherweise haftenden IT-Dienstleisters (sodass ein Regress nicht an einer Insolvenz des IT-Dienstleisters scheitert). Denn viele Versicherungen sehen eine Ausschlussfrist vor, innerhalb derer Schadensfälle angezeigt werden müssen.

Update (15.01.2019): Kann hinter dem Trojanereinsatz das Handeln eines dritten Staates vermutet werden, besteht das Risiko, dass die Versicherung eine Erstattung wegen „kriegsähnlicher Aktion“ verweigert. Die Versicherungs-AGB enthalten bei „kriegsähnlichen Aktionen“ häufig Haftungsausschlüsse. Dies ist so geschehen im Falle des Trojaners „NotPetya“.

Meldepflichten und -obliegenheiten

Kurzfristig kann zudem an einer ganz anderer Front ein Handlungsbedarf bestehen. Es können nämlich vertragliche und gesetzliche Meldepflichten einzuhalten sein. Hierzu sind bereichsspezifische Gesetze zu beachten. Wer z. B. ein Betreiber von kritischen Infrastrukturen nach dem IT-Sicherheitsgesetz (genauer: dem BSIG) ist, hat daraus folgende Meldepflichten zu beachten. Die Meldepflicht besteht bei erheblichen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit die IT-Systeme oder sonstiger kritischer Infrastrukturen. Ein Betreiber einer kritischen Infrastruktur liegt jedoch nur im Falle einer Tätigkeit in bestimmten Sektoren und nur bei Erreichung bestimmter Schwellenwerte vor.

Aber auch ganz allgemein sieht das Datenschutzrecht unverzügliche Meldepflichten und Mitteilungspflichten gegenüber der Aufsichtsbehörde und dem Betroffenen vor. In Artikel 33 DSGVO ist sogar eine Frist von lediglich 72 Stunden vorgesehen. Gemäß Artikel 34 DSGVO kann zudem eine Mitteilungspflicht gegenüber den Betroffenen im Falle eines „hohen Risikos“ bestehen. Artikel 33 f. DSGVO gelten allgemeiner im Falle der „Verletzung des Schutzes personenbezogener Daten“.

Auch im Telemedienrecht kann sich für Diensteanbieter gemäß § 15a Telemediengesetz (TMG) eine Informationspflicht im Falle der unrechtmäßigen Kenntniserlangung von Bestands- und Nutzungsdaten ergeben.

Handelt es sich um einen Kryptotrojaner, der lediglich Daten verschlüsselt und nicht an Dritte weiterleitet, kann es jedoch an den Voraussetzungen für die Meldepflicht fehlen.

Neben den gesetzlichen Meldepflichten, sollten auch vertragliche Vereinbarungen überprüft werden. So kann sich z. B. aus einer Geheimhaltungsvereinbarung (NDA) eine Verpflichtung zur Information des Vertragspartners ergeben. Auch aus Verträgen, die eine Meldepflicht nicht ausdrücklich regeln kann sich eine Obliegenheit für eine Meldung ergeben, z. B. dann, wenn zu befürchten ist, dass Dritte Zugangsdaten erhalten haben (z. B. Kreditkartendaten), unter Verwendung derer bei Dritten Schäden entstehen können. Auch hier ist jedoch mit Augenmaß zu prüfen, ob derartige Schäden überhaupt zu erwarten sind. Hierzu sollte geklärt werden, welcher Kryptotrojaner tatsächlich vorhanden ist, und ob neben der bloßen Verschlüsselung auch eine Übermittlung von Daten erfolgt sein kann.

Update (2018): Anpassungen wegen Wechsel von BDSG a. F. zur DSGVO.

Stand: 27. Okt. 2017