Die Zahl der Sammelklagen wegen Datenschutzverletzungen ist in diesem Jahr sprunghaft angestiegen. Laut einer Studie von Law.com Radar lag der monatliche Durchschnitt der Sammelklagen wegen Datenschutzverletzungen von Januar bis August bei 44,5. Diese Zahl ist mehr als doppelt so hoch wie der Monatsdurchschnitt von 20,6 im letzten Jahr. Auch die Zahl der Datenschutzverletzungen hat zugenommen. Nach Angaben des Identity Theft Resource Center in den Vereinigten Staaten ist die Zahl der gemeldeten Datenschutzverletzungen zwischen dem ersten und zweiten Quartal 2023 um 114 Prozent gestiegen - so viele wie nie zuvor in einem Quartal. Diese Vorfälle werden von Jahr zu Jahr kostspieliger. IBM berichtet im Bericht "2023 Cost of a Data Breach", dass die durchschnittlichen Kosten für Datenschutzverletzungen weltweit bei 4,45 Millionen US-Dollar liegen, was einem Anstieg von 15 Prozent innerhalb von drei Jahren entspricht.

Doch was bedeuten all diese Statistiken und wie sollten Unternehmensleiter reagieren? Zunächst ist es an der Zeit, sich mit der Tatsache abzufinden, dass jedes Unternehmen für einen Angriff anfällig ist. Sie müssen die Landschaft der Sammelklagen wegen Datenschutzverletzungen im Auge behalten. Anstatt diese Trends isoliert zu betrachten, ist es nun an der Zeit, sie zu vereinen und das Gesamtbild zu betrachten. Wenn es zu erheblichen Datenschutzverletzungen kommt, steigt das Risiko von Sammelklagen exponentiell an. Schließlich müssen Unternehmen einen Plan für die Reaktion auf Datenschutzverletzungen erstellen, der proaktiv ist, die Risikominderung berücksichtigt und die potenzielle Haftung für Sammelklagen einbezieht.

Aktuelle Bedingungen

Es gibt mehrere Faktoren, die zum Anstieg der Datenschutzverletzungen beitragen. Der offensichtliche Grund ist, dass mit der fortschreitenden Digitalisierung der Welt immer mehr Informationen zur Verfügung stehen, auf die man zugreifen kann. Böswillige entwickeln immer raffiniertere und strategischere Methoden, um auf sensible Informationen zuzugreifen, während Unternehmen gleichzeitig eine Rekordmenge an Daten produzieren und speichern. Sie finden auch heraus, wie sie fortschrittliche Technologien als Werkzeug zum Abfangen von Informationen einsetzen können.

So sind beispielsweise Ransomware-Angriffe in den letzten Jahren auf dem Vormarsch, wobei die Forderungen, die früher in die Tausende gingen, jetzt in die Millionen gehen. Selbst wenn ein Unternehmen durch die Zahlung des Lösegelds Geld spart, trägt dies zu einem größeren Problem bei. Bösewichte werden diese Angriffe weiterhin durchführen, weil sie in der Vergangenheit damit durchgekommen sind und ihre Bemühungen immer weiter verfeinern. Zu den weiteren gängigen Angriffsmethoden gehören Phishing, die Verletzung der Multifaktor-Authentifizierung und Malware.

Auch groß angelegte Hacks haben zu dem drastischen Anstieg der Sicherheitsverletzungen beigetragen. Der MOVEit-Hack aufgrund einer Software-Schwachstelle, der im Mai 2023 begann (und immer noch andauert), ist eines von mehreren jüngsten Ereignissen, die zeigen, wie weitreichende Angriffe schnell eine große Anzahl von Unternehmen gefährden können. Bei vielen MOVEit-Vorfällen sind mehr als eine Million Kontakte betroffen, und bei den betroffenen Daten handelt es sich in der Regel um umfangreiche Dateien mit vollständigen Kontaktdaten, z. B. vollständige Kunden- oder Mitarbeiterlisten mit vollständigen PII-Sätzen. Derartige Vorfälle haben das Potenzial, große Sammelklagen gegen den Softwarehersteller und seine Kunden auszulösen. Betroffene Personen haben bereits damit begonnen, Klagen gegen Unternehmen einzureichen, die MOVEit verwenden. Dies zeigt, wie wichtig es ist, nicht nur über solide interne Praktiken zu verfügen, sondern auch die Systeme von Drittanbietern, die Geschäftsdaten speichern, im Auge zu behalten.

Die oben genannten Faktoren in Verbindung mit einer verstärkten Aufklärung durch die Gerichte, behördlichen Vorschriften, Cyberversicherungsmandaten und Medienberichten über Datenschutzverletzungen machen deutlich, wie sehr dieses Thema derzeit im Mittelpunkt steht. Dies hat unmittelbar zu mehr Sammelklagen geführt, die teurer sind. Aufgrund der Anzahl der betroffenen Verbraucher und der öffentlichen Aufmerksamkeit für Datenschutzverletzungen jeder Größenordnung sind die Vergleiche höher. Es werden mehr Sammelklagen eingereicht und die Gerichte lassen die Zertifizierung zu. Die Law.com-Radar-Studie ergab, dass von Januar bis Juni dieses Jahres 246 Sammelklagen wegen Datenschutzverletzungen eingereicht wurden, was fast der Gesamtzahl von 2022 entspricht. Die Gerichte verlangen von den Beklagten sogar die Herausgabe von privilegierten Untersuchungsberichten über Datenschutzverletzungen.

Diese Umstände zwingen die betroffenen Unternehmen dazu, schnell Abhilfe zu schaffen und Sicherheitslücken zu erklären, um ihren Ruf zu wahren. Um das Risiko zu verringern, ist es entscheidend, nicht nur Datenschutzverletzungen zu antizipieren, sondern auch die darauf folgenden Sammelklagen.

Anpassen und Handeln

Es ist an der Zeit zu handeln. Es ist keine Option mehr, das Risiko von Sicherheitsverletzungen zu minimieren, indem man Kontrollen einrichtet. Unternehmen müssen ihre Sicherheitslücken regelmäßig überprüfen und dies zu einer laufenden Top-Initiative machen. Die Tatsache, dass nicht genügend Vorkehrungen getroffen wurden, um eine Sicherheitslücke zu vermeiden, oder dass die Ursache für eine Sicherheitslücke nicht schnell genug ermittelt und wirksam behoben wurde, ist einer der Faktoren, die zum Anstieg der Sammelklagen beitragen. Wie der IBM-Bericht zeigt, planen 51 Prozent der Unternehmen aufgrund eines internen Sicherheitsverstoßes eine Erhöhung ihrer Ausgaben für die Cybersicherheit.

Doch wo soll man anfangen? Wenn man sich über die sich verändernde Landschaft auf dem Laufenden hält, kann man die Richtlinien und Verfahren für das Management von Bedrohungen und Risiken verbessern, aber das ist nur der Anfang dessen, was getan werden muss, um einen robusten und effektiven Plan für die Cyberbereitschaft zu haben, der auch Sammelklagen vorhersieht. Was zu tun ist, hängt von der jeweiligen Organisation ab. Ziel sollte es sein, die beste Kombination von Sicherheitskontrollen zu finden, die mit der Risikotoleranz eines Unternehmens vereinbar sind. Von Schulungen über Software zur Erkennung von Bedrohungen bis hin zu Übungen für den Fall eines Einbruchs - die Möglichkeiten sind vielfältig und flexibel.

Das ist keine Aufgabe, die man allein bewältigen kann, also keine Angst. Ein externer Berater, der nicht nur über Kompetenzen im Bereich der Cybersicherheit, sondern auch im Bereich der Sammelklagen verfügt, ist ideal. Suchen Sie nach einem fachkundigen Partner, der Cyberlücken aufspüren und durch die Integration neuer Tools oder Ansätze zur Informationsverwaltung beheben kann, der Sie berät, was in die Programme zur Vorbeugung von und Reaktion auf Vorfälle aufgenommen werden sollte, der über Trends bei Sicherheitsverletzungen und Sammelklagen auf dem Laufenden ist, der Dienstleistungen zur Reaktion auf Sicherheitsverletzungen anbietet und der über Personal verfügt, das sich um die Verwaltung von Sammelklagen kümmert, falls es nach einer Sicherheitsverletzung zu einer solchen kommt.

Durch die Nutzung externer Ressourcen zusätzlich zu den internen Bemühungen ist ein Unternehmen am besten in der Lage, auf Datenschutzverletzungen zu reagieren - und auf etwaige Sammelklagen, die darauf folgen könnten. Auf diese Weise wird auch das Risiko von Datenschutzverletzungen und Sammelklagen von vornherein reduziert, was den Unternehmen Sicherheit gibt und ihnen eine gute Cyber-Hygiene ermöglicht.
Der Inhalt dieses Artikels dient nur der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.