Bei Diebstahl oder Verlust von Daten wird immer häufiger damit gedroht, dass die Regulierung durch die Haftung der Mitarbeiter, Unternehmensleiter oder des Unternehmens selbst geschieht. Wird der Kampf gegen die schlechte digitale Hygiene bald durch systematische Sanktionen angegangen?
Können Sie sich noch an den Fall Equifax erinnern? Dieses US-Unternehmen, spezialisiert auf Kreditrating und -analyse, wurde im Juli 2017 öffentlich aufgrund von schwerwiegenden Verstößen gegen seine Verpflichtungen im Bereich der Cyber-Sicherheit verklagt. Bei einem Angriff auf das Unternehmen wurden personenbezogene Daten von 143 Millionen US-Bürgern publik. Und diese Fahrlässigkeit war nicht der erste Fall. Im Vorjahr, im Jahr 2016, wurde das Unternehmen bereits aufgrund seiner säumigen Vorrichtungen angesichts des Cyberrisikos angemahnt.
Die Risiken einer schlechten digitalen Hygiene
Dabei wird es immer wieder in Erinnerung gerufen: Es gab nie umfassendere Risiken. Und auch die Herausforderung, eine Cyber-Sicherheitskultur im Unternehmen mit Leben zu erfüllen, nie so wichtig. Es ging sogar so weit, dass die Ratingagentur Moody's, bei der es sich um den wichtigsten Influencer auf die Marktkapitalisierung handelt, die Entscheidung traf, das Cyberrisiko in seine Bewertungskriterien aufzunehmen. Nun handelt es sich sogar um ein Ratingkriterium. Anders ausgedrückt: Die unzureichend vor dieser Bedrohung geschützten Unternehmen könnten ein niedrigeres Rating erhalten. Oder sogar für ihre Verstöße zur Verantwortung gezogen werden, wie dies bei Equifax der Fall gewesen war.
Gleichzeitig hat das französische Kassationsgericht bereits im März 2018 über die Haftung eines Kunden in Bezug auf eine Phishing-E-Mail geurteilt. Durch die Anerkennung „der schweren Fahrlässigkeit des Kunden beim Schutz und der Verwahrung seiner Daten“ entschied der Gerichtshof die Haftbarkeit der Privatperson und lehnte somit seinen Antrag auf Rückerstattung des Schadens ab.
Wenngleich diese beiden Fälle die Haftung eines Unternehmens einerseits und einer Privatperson andererseits in den Vordergrund rücken, gibt es hiervon nur wenige, sie senden also nur ein schwaches Signal. Bewegen wir uns also nun in Richtung einer schlechten „digitalen Hygiene“, wo systematisch Sanktionen verhangen werden?
In der DSGVO vorgesehene Sanktionen
Seit Mai 2018 sieht die Datenschutz-Grundverordnung (DSGVO) zahlreiche Sanktionen vor, die gegen Unternehmen und Behörden verhangen werden können. Das Ziel hierbei lautet, gegen Compliance-Verstöße vorzugehen. Artikel 58 der europäischen Verordnung erteilt in Frankreich der CNIL das Befugnis, diese abschreckenden Mittel umzusetzen und Artikel 83 führt die Bedingungen auf, die ihr die Verhängung einer Geldbuße erlauben – die bis zu 4 % des weltweit erzielten Umsatzes betragen kann.
Und die (hohen) Beträge tummeln sich so langsam. In Frankreich hat die CNIL im Januar 2019 Google eine Geldbuße von 50 Millionen Euro verhangen, während im Vereinigten Königreich die Datenschutzbehörde des Vereinigten Königreichs (ICO – Information Commissioner's Office) ihre Absicht erklärte, der Fluggesellschaft British Airways eine Geldbuße in Höhe von mehr als 200 Millionen Euro zu verhängen. In Erwartung der nächsten.
Weniger bekannt ist, dass Artikel 84 der DSGVO ebenfalls strafrechtliche Sanktionen vorsieht. Bislang ist jedoch kein konkreter Fall bekannt ...
Nach wie vor schwache Präventionsmechanismen
Um solche Probleme zu vermeiden, stehen den Unternehmen bereits zahlreiche Tools zur Verfügung. „Wir setzen bereits Tools zum Schutz des Zugriffs auf die Netzwerke, der Messaging-Dienste, des Surfens im Internet oder der Arbeitsplätze und mobilen Geräte ein“, unterstreicht Matthieu Bonenfant, Marketingleiter bei Stormshield. Doch dies reicht nicht aus. „Aufgrund der sich stark ändernden Usanzen wie dem steigenden Anteil an Homeoffice und Mobilität ist der Mitarbeiter nun mehr als je zuvor das schwache Glied, insbesondere wenn seine Arbeitsgeräte sich außerhalb des Sichtfelds des Unternehmens befinden. Dabei hat er nicht den Eindruck, seinem Unternehmen zu schaden.“
Neben den technischen Tools ist auch die Sensibilisierung und die Aufklärung der Mitarbeiter von grundlegender Bedeutung. Wo wiederum erste juristische Tools benötigt werden. Wie IT-Chartas beispielsweise, die die bewährten Praktiken festlegen und „sämtliche grundlegenden Verhaltensregeln erfassen [müssen], die jeder Nutzer bei der Verwendung der IT-Ressourcen anwenden muss, sowie auch jegliche grundlegenden Regeln für die digitale Kommunikation, darunter auch die Rechte der Nutzer“, erläutert Sylvie Blondel, Personalleiterin bei Stormshield. Doch oftmals scheinen diese Chartas, diese bewährten Verhaltensregeln und diese Leitfäden zur digitalen Hygiene ebenfalls nicht auszureichen. Der Beweis: die Ransomwares sind sehr aktiv. Es gibt zahlreiche Phishing-Versuche. Und die Cyberkriminalität kommt den Unternehmen immer teurer zu stehen ... wie auch ihren Geschäftsführern. Wie wäre es aber, wenn nicht nur eine umfassendere Sensibilisierung notwendig wäre, sondern auch mehr Strenge bei eventuellen Sanktionen?
Wird nun mehr auf individuelle Sanktionen gesetzt?
Im Jahr 2014 wurde der Geschäftsführer von Target vorsichtig ausgebootet, nachdem er für massive Datenverluste seines Unternehmens verurteilt worden war. In jüngerer Zeit wurde der Geschäftsführer von Equifax sogar von seinen Aktionären seines Amtes enthoben. Die Begründung hierfür? Das Ausmaß der Schäden und die Auswirkungen auf die Marke gerechtfertigten, dass der Geschäftsführer selber im Namen des Unternehmens, das er vertritt, haftet.
Dieser Rückgriff auf eine Sanktion aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder schlechter digitaler Hygiene könnte in den kommenden Jahren häufiger vorkommen. Und sogar jeden Mitarbeiter treffen, egal welche Stellung er im Unternehmen hat. Im März 2018 wurde der Finanzleiter der niederländischen Tochtergesellschaft von Pathé entlassen, nachdem er dem „Chef-Betrug“ zum Opfer gefallen war. „Je nach Fall kann die Sanktion von der Suspendierung über die Auflösung des Arbeitsvertrags bis hin zur Klageerhebung gehen“, unterstreicht Matthieu Bonenfant. „Es ist jedoch Sache des Arbeitgebers, den Fehler und seine Schwere in Abhängigkeit seiner eigenen Tätigkeit, der Verantwortung des Mitarbeiters im Unternehmen, seiner Erfahrung oder eventueller Vorgeschichten zu bewerten“ erläutert Sylvie Blondel. „Und wenn der Arbeitgeber Klage erhebt, kann er versuchen, den erlittenen Schaden zu beweisen, und so seine Rechte geltend machen.“
Rahmenwerk, Rechtsprechung und Regulierung
Wir haben bereits gesehen, dass ein Unternehmen für auf seine Rechnung begangene Verstöße haften kann und es selber einen seiner Arbeitnehmer oder seinen Geschäftsführer haftbar machen kann. Es gibt jedoch weiterhin mehrere Unbekannte: Wie sieht es mit der Haftung der Unterauftragnehmer im Falle der Fahrlässigkeit oder des Verstoßes aus? Und mit jener der Zulieferer?
Bislang haben wir noch nicht genügend Abstand gewonnen, um diese Rechtsfrage anzugehen. Es ist jedoch ziemlich wahrscheinlich, dass das Rahmenwerk durch die Regulierung, die Rechtsprechung und das Recht in den kommenden Jahren an Bedeutung gewinnen dürften. Große Übel bedürfen starker Heilmittel?
