Cyber-Sicherheit und Datenschutz sind längst keine juristischen Randthemen mehr. Für viele Unternehmen stellen sie heute die größten Risiken da, in eine Krise zu geraten. Das Positive: Gegen diese Krise ist Vorbeugung möglich. Juristen mit Cyber- und Daten-Know-how helfen Unternehmen dabei. Vertrauen wird dabei zur ultimativen Währung. Ein Essay von André Boße

Vor zehn Jahren war die Krise noch allgegenwärtig: Ausgehend von der globalen Finanzkrise poppten monatlich neue Krisen auf, von der Kreditkrise über die Euro-Krise bis hin zur Konjunkturkrise. Seit fünf Jahren jedoch ist das wirtschaftliche Wachstum in Deutschland stabil, die meisten Unternehmen stellten den Krisenmodus aus, dachten wieder überwiegend vorsichtig-optimistisch an morgen, packten hoffnungsvoll die große Herausforderung der digitalen Transformation an. Die Geschäfte liefen ordentlich bis gut. Und sie laufen bis heute in vielen Fällen zufriedenstellend, trotz der wahrscheinlichen Wachstumsdelle in diesem Jahr. Und doch hat sich in den vergangenen Monaten etwas geändert: Der Begriff der Krise ist zurück.

Krise mit digitalen Risiken

Ein wesentlicher Aspekt unterscheidet die Krise von heute von der Krise von gestern. Damals traf sie die Unternehmen von außen: Insbesondere die Pleite der New Yorker Investmentbank Lehman Brothers löste eine Sturmwelle aus, die viele Akutere mit sich riss, große Schäden verursachte. Die Krise, über die wir heute reden, ist dagegen eine Form von Problem, die häufig intern in den Unternehmen selbst entsteht. Zum Beispiel, weil digitale Risiken falsch eingeschätzt worden sind. Der Vorteil: Krisen von innen lassen sich auch intern bekämpfen. Daher gewinnt das Krisenmanagement von Unternehmen an Bedeutung, im Idealfall verbunden mit einer verbesserten Risikoabwägung. Und weil die Krisen von heute in vielen Fällen mit Regularien oder Sicherheitslücken zu tun haben, ist das Know-how von Juristen gefragt. Im Fokus steht dabei die Digitalisierung, deren Auswirkungen vielen Akteuren erst jetzt bewusst werden: Auf der einen Seite müssen die Unternehmen selbst dafür sorgen, dass sie mit den Daten ihrer Kunden und Mitarbeiter gemäß des Rechts umgehen, auf der anderen Seite müssen sie ihre eigenen Daten vor Cyber-Angriffen schützen. Benötigt wird also ein Krisenmanagement an zwei Fronten.

Checkliste M&A und DSGVO

Die von der Wirtschaftskanzlei CMS Hasche Sigle zusammengestellte Checkliste mit den wichtigsten Aspekten im Zusammenspiel von Unternehmenstransaktionen und der DSGVO steht im Netz zum Download bereit. Das Papier bietet auf drei Seiten einen Eindruck davon, welche Datenschutz-Aspekte beim Thema M&A relevant sind und geben jungen Juristen somit eine Idee von den Arbeiten, die in diesem Bereich von anwaltlichen Beratern sowie von den Legal-Tech-Lösungen der Kanzleien übernommen werden.

Die Studie „Crisis Management“ der Kanzlei Noerr und des „Center for Corporate Compliance“ der EBS Law School hat untersucht, welche Risiken für Unternehmen heute das größte Bedrohungspotenzial besitzen. Anhand von Umfragen mit Entscheidern und Mitarbeitern fanden die Studienautoren heraus, dass die Verletzung von Datenschutzbestimmungen für die nächsten zwei Jahre das Unternehmensrisiko mit dem größten Bedrohungspotenzial darstellt. Vor allem die seit Mai 2018 geltenden EU-weiten Datenschutzbestimmungen im Rahmen der DSGVO leisteten einen großen Beitrag zu dieser ausgeprägten Verunsicherung. Ein weiteres Top-Risiko laut den Umfragen seien Cyber-Security-Vorfälle. „Mehr als jedes dritte Unternehmen ist in den vergangenen beiden Jahren bereits einmal Opfer einer Hacker-Attacke oder anderer Cyber- Security-Vorfälle geworden“, heißt es in der Studie. 50 Prozent der Unternehmen halten einen solchen Vorfall in den kommenden zwei Jahren für möglich – auch dann, wenn sie in den vergangenen zwei Jahren noch nicht betroffen waren. „Insgesamt gelten damit in gut vier von fünf Unternehmen Cyber- Security-Risiken als potenzielle Auslöser von Unternehmenskrisen“, heißt es in der Studie.

Was auf die Krise folgt? Auch danach hat die Studie Unternehmen gefragt. Das Resultat: Umsatzeinbußen seien die häufigste unmittelbare Einzelauswirkung von Unternehmenskrisen, sie betreffen laut Report fast die Hälfte der von Krisen betroffenen Großunternehmen. Während man diese finanziellen Rückschläge recht zügig ausgleichen kann, gibt es auch Krisenfolgen mit langfristigem Schadenspotenzial: das Image des Unternehmens nimmt Schaden, qualifizierte Mitarbeiter gehen. Eine besondere Stellung nehmen Bußgelder ein: Zwar seien von den von einer Krise betroffenen befragten Unternehmen nur 20 Prozent mit Strafzahlungen belegt worden, jedoch sei die „absolute Belastung angesichts einer zunehmend umsatzabhängigen Bemessung der Geldbußen als hoch einzustufen“.

Compliance als Bedrohung

Ein weiteres wichtiges Bedrohungsfeld sind Verstöße gegen die Compliance. Die Studie hat herausgefunden, dass jedes fünfte Unternehmen in den vergangenen Jahren schon einmal von staatsanwaltlichen oder aufsichtsbehördlichen Ermittlungen betroffen war, zum Beispiel von Ermittlungen der Bundesanstalt für Finanzdienstleistungsaufsicht BaFin oder ausländischer Aufsichtsbehörden. In den meisten Fällen war der Auslöser für diese Ermittlungen: „Non-Compliance mit Gesetzen, Vorschriften und Richtlinien.“ Mehr als vier von fünf Unternehmen, 83 Prozent, haben solche Krisensituationen in der einen oder anderen Form in der jüngeren Vergangenheit bereits durchgestanden oder halten sie in den nächsten beiden Jahren für möglich.

Aber worum geht es eigentlich bei den drängenden Themen Datensicherheit und Cyber-Kriminalität? Geht es nur um den Schutz von Daten, um sich nicht anklagbar zu machen? Nein, es geht um weit mehr.

Wie bereits erwähnt: Das Gute an den beschriebenen Krisen von heute ist, dass Unternehmen ihnen proaktiv begegnen können. Die Studie der Kanzlei Noerr zeigt, dass Unternehmen, die eine spezielle Abteilung oder Funktion für Krisenmanagement in verschiedenen Bereichen vorweisen können, seltener von Krisensituationen betroffen sind. Sind im Rahmen einer solchen planmäßig angelegten Krisenmanagementfunktion auch externe Spezialisten wie zum Beispiel Rechtsanwälte oder Steuerberater personell eingebunden, würde sich dieser Präventiveffekt noch verstärken – was unter anderem damit zusammenhänge, dass diese externen Dienstleister häufig eine wichtige Aufgabe übernehmen würden: „Sie erkennen die Notwendigkeit, verstärkt auf die Zusammenarbeit mit den jeweiligen Fachabteilungen hinzuwirken und diese ebenfalls in das Krisenmanagement einzubinden.“

Juristen als Sicherheitsstrategen

Sprich: Juristen und steuerliche Berater nehmen in den Unternehmen die Rolle als externe Verbindungsleute wahr, indem sie das Krisenmanagement mit den inhaltlich betroffenen Bereichen zusammenbringen – eine kommunikativ anspruchsvolle, aber wichtige Aufgabe, die der „Idee“ von wenig gelungener Krisenbewältigung widerspricht, dass die einen ausbaden müssen, was die anderen zu verantworten hätten. Aber worum geht es eigentlich bei den drängenden Themen Datensicherheit und Cyber-Kriminalität? Geht es nur um den Schutz von Daten, um sich nicht anklagbar zu machen? Nein, es geht um weit mehr. Es geht sogar um alles, da sind sich Omar Abbosh, Group Chief Executive Accenture Communications, und Kelly Bissell, Senior Managing Director Accenture Security, sicher.

Risikobewusstsein des Top-Managements sinkt

Wie der aktuelle Deloitte Cyber Security Report (Teil 2) zeigt, ist das Risikobewusstsein in Bezug auf Cyber- Angriffe in den Führungsetagen von Unternehmen gegenüber 2017 gesunken. 60 Prozent der Befragten gaben in der aktuellen Untersuchung an, dass Hackerangriffe bei ihnen keine besonders großen Schäden anrichten würden. 2017 waren es noch 54 Prozent, 2016 dann 46 Prozent. Aufgrund des geringen Risikobewusstseins von Geschäftsleitungen werden auch nicht alle Möglichkeiten zur Gefahrenabwehr ausgeschöpft. Dabei zeigen Ergebnisse des Reports auch, dass 93 Prozent der Befragten bereits einmal Opfer von Cyberattacken geworden sind. 21 Prozent gaben wöchentliche, 25 Prozent sogar tägliche Angriffe an. Die Hälfte der Führungskräfte erklärte zwar, dass ihr Unternehmen nur selten oder nie angegriffen wird, allerdings geht ein Drittel davon aus, dass Angriffe auf ihr Unternehmen unbemerkt bleiben.

Die beiden leitenden Denker beim Thema Digitalisierung und Sicherheit sind Autoren eines Reports des Beratungs- und IT-Dienstleisters Accenture, der der Frage nachgeht, worum es wirklich geht, wenn Unternehmen vor die Aufgabe gestellt werden, Daten ihrer Kunden und Mitarbeiter zu schützen und sich auch selbst vor Cyber-Angriffen zu schützen. „Wenn jemand einen Online-Account eröffnet, auf einer Seite im Internet etwas kauft oder sich eine App herunterlädt, dann handelt es sich dabei nicht nur um einen Austausch von Daten, Waren oder Dienstleistungen. Es entsteht eine Transaktion in der ultimativen Währung: Vertrauen. Und das wirkliche Risiko der Gegenwart ist, dass das Vertrauen in die digitale Ökonomie erodiert.“

Den Grund dafür sehen die Autoren in einer Veränderung des Internets: „Das ehemals offene und globale Internet ist über seinen ursprünglichen Sinn, ein Werkzeug zur Kommunikation und zum Teilen von Informationen zu sein, hinausgewachsen. Als das Netz immer komplexer wurde, konnten adäquate Sicherheitssysteme gegen Cyber-Kriminalität nicht mehr mit den von der Digitalisierung befeuerten Innovationen mithalten.“ Kurz: Die Schutzsysteme gegen Angriffe haben den Anschluss verloren. Nun sei es Aufgabe der Entscheider in den Unternehmen, diese Lücke schnell zu schließen. Bevor das Vertrauen ganz verloren geht. Doch diese Aufgabe ist kompliziert. Laut dem Accenture-Report verstehen sich die Unternehmen mittlerweile gut darauf, Schäden zu reparieren, auffällige Lücken zu schließen und punktuell vorzubeugen. „Diese Versuche haben aber nicht das eigentliche Problem gelöst, nämlich die grundsätzliche Verwundbarkeit des Internets. Angreifer benötigen nur einen einzigen glücklichen Versuch, während die Verteidiger konstant wachsam gegen jede Art von möglichen Attacken sein müssen.“ Doch deshalb zu kapitulieren, zählt nicht. Im Gegenteil, Abbosh und Bissell fordern die Unternehmen auf, ihre bruchstückhaften Ansätze zu beenden: „Die Themen Vertrauen und Sicherheit gehören an die vorderste Front der Unternehmensstrategie.“

M&A: Achtung beim Datenschutz

Doch die Fallstricke bei den Themen Datenschutz und Cyber Security liegen nicht nur im Kontakt mit Kunden. Die Wirtschaftskanzlei CMS Hasche Sigle weist darauf hin, dass die EU-Datenschutz-Grundverordnung auch bei M&A-Prozessen zu beachten ist. „In der Vergangenheit wurden datenschutzrechtliche Themen bei der Strukturierung von M&AProzessen oftmals nur am Rande berücksichtigt“, schreiben die CMS Hasche Sigle-Partner Dr. Axel Funk und Dr. Tobias Grau in einem Blog zum Thema. „Dies lag sicherlich auch an den bisher signifikant geringeren Sanktionen. Mittlerweile spielt der Datenschutz auch hier eine zentrale Rolle.“ So werden datenschutzrechtliche Verstöße unter anderem mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes sanktioniert.

DSGVO: Viel Arbeit für Juristen

Obwohl sich die Unternehmen seit Inkrafttreten der Datenschutz-Grundverordnung mit neuen Regeln im Datenschutz auseinandersetzen müssen, fehlt dafür das passende Personal. Eine Bitkom-Studie zeigt, dass sechs von zehn Unternehmen (59 Prozent) dafür weniger als eine Vollzeitstelle zur Verfügung haben. 31 Prozent haben dafür eine Vollzeitstelle vorgesehen. „Wer die Expertise nicht im eigenen Haus hat, muss auf externe Beratung zurückgreifen“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung für Recht und Sicherheit. Für viele Kanzleien und Rechtsberater mit Datenschutz-Know-how sei das vergangene Jahr 2018 daher sehr arbeitsintensiv gewesen. „Bis heute sind viele noch damit beschäftigt, ihre Geschäftsprozesse an die DSGVO-Vorgaben anzupassen.“

Eine Herausforderung für den Datenschutz seien vor allem M&A-Aktionen in Branchen, in denen sensible Kundendaten im Spiel sind. „Denn die DSGVO findet immer dann Anwendung, wenn die Verarbeitung personenbezogener Daten von sogenannten natürlichen Personen, also Menschen, betroffen ist“, so Funk und Grau. Bei Unternehmenstransaktionen komme dies insbesondere bei Mitarbeiter-, Lieferanten- und Kundendaten in Betracht, einschließlich der Daten von Nutzern von Apps oder anderen digitalen Dienstleistungen. „Im Bereich Automotive spielt dies zum Beispiel beim Carsharing eine Rolle, wo Bewegungsprofile erstellt, Zahlungsverhalten registriert und geahndete Verkehrsverstöße gespeichert werden können. Hochsensibel sind auch Gesundheitsdaten, die von Healthcare Apps verwaltet werden. Entsprechendes gilt für finanzielle Informationen im Bereich von Fintechs“, schreiben Funk und Grau. Wichtig sei in diesen Bereichen eine juristische Beratung, wobei die Wirtschaftskanzleien bei der Lösung des Datenschutzproblems selbst auf digitale Hilfsmittel zugreifen, um die Prozesse möglichst effizient zu halten: „So kann die Personenbezogenheit von Daten und damit die Anwendbarkeit des Datenschutzrechts durch Schwärzung von Dokumenten eliminiert werden. Aus Kosten- und Zeitgründen unterstützt hier zunehmend Legal Tech.“

Den Herausforderungen der Digitalisierung wiederum mit digitalen Tools zu begegnen: Die Entwicklung zeigt, dass Juristen bei diesem Thema mittendrin sind. Gefragt sind sie gleichermaßen als Helfer in der Not sowie als strategische Risikoanalysten für die nahe Zukunft. Und weil das Internet in den kommenden Jahren wohl kaum an Komplexität einbüßen wird, sondern im Gegenteil, immer neue Entwicklungen wie künstliche Intelligenz, Blockchain-Technologie oder Kryptowährungen anstehen, sind juristische Job-Profile in diesem Bereich vor allem eins: krisenfest.

Buchtipps

Wer als Jurist im Bereich Cyber-Sicherheit tätig ist, muss wissen, wie Hacker arbeiten, was möglich ist, welcher Methoden sie sich bedienen. Das Handbuch „Hacking & Security“ von Michael Kofler und André Zingsheim gibt hier auf gut 1000 Seiten einen umfassenden Überblick, wobei das dicke Handbuch für vergleichsweise günstige 50 Euro zu bekommen ist.

Michael Kofler, André Zingsheim und andere: Hacking & Security. Rheinwerk 2018, 49,90 Euro 

Ab 1.6.2019 erhältlich ist die erste Auflage des „Rechtshandbuch Cyber-Security“, das auf rund 300 Seiten die juristischen Grundlagen für die Themen IT-Sicherheit, Datenschutz, Gesellschaftsrecht, M&A, Versicherungen, Compliance, Aufsichtsrecht, Arbeitsrecht, Litigation bietet.

Gabel / Heinrich / Kiefner (Hrsg.): Rechtshandbuch Cyber-Security. Beck 2019, 89 Euro