Medusa - Rechtsteam
Medusa: Rechtsteam
Dieser Sprechtext fasst die rechtlichen Aufgaben im Projekt Medusa zusammen. Im Mittelpunkt stehen Verträge, Datenschutz, Meldepflichten und mögliche rechtliche sowie wirtschaftliche Risiken nach einem Cyberangriff.
Einleitung
Wir als Rechtsteam waren dafür zuständig, die rechtliche Grundlage für die Zusammenarbeit und den Umgang mit dem Cyberangriff zu klären. Unser Fokus lag auf Verträgen, Datenschutz, Meldepflichten und möglichen rechtlichen Risiken.
1. Servicevertrag
Zuerst haben wir einen Servicevertrag zwischen der OberTech Maschinenbau GmbH und der Medusa FlexCo erstellt.
Darin wurde geregelt, welche IT-Leistungen Medusa übernimmt:
- Serverwartung
- Netzwerkadministration
- Benutzerkonten
- ERP-System
- Updates
- Backups
- Unterstützung bei IT-Sicherheitsvorfällen
Außerdem wurden Vergütung, Haftung, Vertraulichkeit, Vertragsdauer und Gerichtsstand festgelegt.
Wichtig ist: Der Servicevertrag regelt die normale Zusammenarbeit, also Leistung, Bezahlung und Verantwortung.
2. Auftragsverarbeitung nach Art. 28 DSGVO
Da Medusa als externer IT-Dienstleister Zugriff auf personenbezogene Daten haben kann, braucht es zusätzlich einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Dabei bleibt OberTech der Verantwortliche. Medusa ist der Auftragsverarbeiter. Medusa darf Daten nur nach Weisung von OberTech verarbeiten.
In diesem Vertrag haben wir festgelegt, welche Daten betroffen sind, zum Beispiel:
- Mitarbeiterdaten
- Kundendaten
- Logdaten
- Benutzerkonten
- E-Mails
- ERP-Daten
Auch technische und organisatorische Schutzmaßnahmen wurden geregelt, zum Beispiel Zugriffskontrollen, Verschlüsselung, Backups, Protokollierung und Vertraulichkeit.
3. Datenschutzverletzung und Meldung
Beim Vorfall handelt es sich um einen Ransomware-Angriff. Mehrere Systeme und Server waren nicht erreichbar, Daten wurden verschlüsselt und es konnte nicht ausgeschlossen werden, dass personenbezogene Daten betroffen sind.
Deshalb muss geprüft werden, ob eine Meldung an die Datenschutzbehörde erforderlich ist.
Nach Art. 33 DSGVO muss eine Datenschutzverletzung grundsätzlich unverzüglich und möglichst binnen 72 Stunden gemeldet werden, wenn ein Risiko für betroffene Personen besteht.
Gemeldet werden müssen insbesondere:
- Art des Vorfalls
- betroffene Personengruppen
- betroffene Datenarten
- mögliche Folgen
- Kontaktstelle
- bereits geplante oder gesetzte Maßnahmen
4. Betroffene Personen
Mögliche betroffene Gruppen sind Mitarbeiter, Kundenkontaktpersonen und Ansprechpartner von Lieferanten.
In unserem Fall könnten ca. 120 Mitarbeiter und mehrere hundert bis einige tausend Datensätze betroffen sein.
Wenn ein hohes Risiko für Betroffene besteht, müssen nach Art. 34 DSGVO auch die Betroffenen selbst informiert werden.
Deshalb haben wir eine Mitarbeiter-E-Mail vorbereitet. Diese muss klar und verständlich erklären:
- was passiert ist
- welche Folgen möglich sind
- wo man weitere Informationen bekommt
5. Rechtliche und wirtschaftliche Risiken
Ein Cyberangriff verursacht nicht nur technische Probleme, sondern auch rechtliche Risiken.
OberTech könnte Liefertermine nicht einhalten, wodurch Vertragsstrafen oder Schadenersatzforderungen entstehen können. Auch die Lieferkette kann betroffen sein, weil Kunden oder andere Firmen auf Bauteile warten.
Dazu kommen weitere Belastungen:
- laufende Lohn- und Fixkosten
- Reputationsschäden
- Kosten für Forensik und Wiederherstellung
- mögliche DSGVO-Strafen, falls Meldepflichten verletzt werden
Fazit
Unser wichtigster Punkt ist: Recht und Technik müssen parallel arbeiten.
Die IT muss Systeme sichern, Logs auswerten und Backups prüfen. Das Rechtsteam muss gleichzeitig Fristen einhalten, die Datenschutzbehörde informieren, Verträge prüfen, Betroffene vorbereiten und alle Schritte dokumentieren.
So kann das Unternehmen nachweisen, dass es rechtlich korrekt und verantwortungsvoll gehandelt hat.
Hinweis zur Zeitangabe
In den vorhandenen Dokumenten steht „Montagmorgen, 07.03.2026“. Der 07.03.2026 war ein Samstag. Diese Angabe sollte vor der Präsentation noch angeglichen werden.
Quellen
Zuletzt aktualisiert: 6. Juni 2026