Angesichts der Tatsache, dass das Cyberrisiko mittlerweile sogar als Bewertungskriterium von Rating-Agenturen aufgenommen wurde und im Falle von Datendiebstahl oder -verlust immer öfter damit gedroht wird, dass Mitarbeiter und Unternehmensleiter selbst für den Schadensfall haften, könnten Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder unzureichender digitaler Hygiene in den kommenden Jahren häufiger vorkommen.
Einige Fälle aus den letzten beiden Jahren senden zwar aufgrund ihrer Seltenheit nur ein schwaches Signal an die Allgemeinheit, sind aber bedeutsame Präzedenzfälle: Bei einem Angriff im Jahr 2017 auf das US-Unternehmen Equifax, das auf Finanzdienstleistungen spezialisiert ist, wurden personenbezogene Daten von 143 Millionen US-Bürgern publik. Die Firma wurde wegen säumiger Sicherheitsvorkehrungen öffentlich verklagt und dessen Geschäftsführer aufgrund der immensen Rufschädigung von seinen Aktionären seines Amtes enthoben.
Im März 2018 wurde der Finanzleiter der niederländischen Tochtergesellschaft von Pathé entlassen, nachdem er einem „Chefbetrug“ zum Opfer gefallen war, der dem Unternehmen einen Schaden in Höhe von 21 Millionen Euro verursachte. Zur gleichen Zeit urteilte das französische Kassationsgericht im Falle des Antrags eines Privatanwenders auf Rückerstattung eines durch eine Phishing-Mail entstandenen Schadens. Den Kläger beschuldigte das Gericht „der schweren Fahrlässigkeit beim Schutz und bei der Verwahrung seiner Daten“. Das Urteil bestätigte die Haftbarkeit der Privatperson. Der Antrag wurde abgelehnt.
Bewegen wir uns allmählich in Richtung einer systematischen Verhängung von Sanktionen gegen Mitarbeiter und Privatpersonen wegen unzureichender digitaler Hygiene?
Von der DSGVO vorgesehene Sanktionen
Seit Mai 2018 sieht die Datenschutz-Grundverordnung zahlreiche Sanktionen vor, die gegen Unternehmen und Behörden verhängt werden können. Artikel 58 der europäischen Verordnung erteilt den EU-Ländern die Befugnis, gegen Compliance-Verstöße vorzugehen und abschreckende Mittel umzusetzen. Artikel 83 führt die Bedingungen auf, die die Verhängung einer Geldbuße erlauben, die bis zu 4 % des weltweit erzielten Unternehmensumsatzes betragen kann. Und die (hohen) Beträge tummeln sich so langsam. Im Januar 2019 wurde Google eine Geldbuße von 50 Millionen Euro in Frankreich auferlegt. Die Datenschutzbehörde des Vereinigten Königreichs erklärte zudem noch im vergangenen Sommer ihre Absicht, der Fluggesellschaft British Airways eine Geldbuße in Höhe von über 200 Millionen Euro zu verhängen. Und das ist nur der Anfang. Weniger bekannt ist, dass Artikel 84 der DSGVO ebenfalls strafrechtliche Sanktionen vorsieht. Bislang ist jedoch noch kein konkreter Fall hervorgetreten.
Präventionsmechanismen und Regulierung
Unternehmen stehen bereits zahlreiche Hilfsmittel zur Verfügung, um dieses Risiko auf ein Mindestmaß zu reduzieren.
„Als Tochtergesellschaft des Konzerns Airbus Defence and Space sind unsere internen Sicherheitsrichtlinien sehr strikt. Unternehmensweit werden Tools zum Schutz der Netzwerkzugriffe, der Messaging-Dienste, des Internetverkehrs, der Arbeitsplätze und der mobilen Geräte eingesetzt“, bestätigt Uwe Gries (im Bild), Country-Manager DACH bei Stormshield. Doch dies reicht nicht immer aus. „Aufgrund der sich stark verändernden Arbeitspraktiken, des steigenden Anteils an Homeoffice-Mitarbeitern und der zunehmenden Mobilität sind neben den Sicherheitsmaßnahmen auch die Sensibilisierung und Aufklärung der Mitarbeiter von grundlegender Bedeutung.“
Dafür werden wiederum erste juristische Tools wie beispielsweise IT-Chartas benötigt, die bewährte Praktiken festlegen, sämtliche grundlegenden Verhaltensregeln erfassen [müssen], an die sich der Nutzer bei Verwendung der IT-Ressourcen halten soll, sowie jegliche grundlegenden Regeln für die digitale Kommunikation definieren, darunter auch die Rechte der Nutzer selbst. Doch oftmals werden diese Leitfäden zur digitalen Hygiene nicht in die Praxis umgesetzt. Der Rückgriff auf Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder schlechter digitaler Hygiene könnte in den kommenden Jahren deshalb häufiger vorkommen – und jeden Mitarbeiter treffen, egal welche Position er im Unternehmen bekleidet.
Das könnte Sie auch noch interessieren:
LIVE-WEBINAR AM 23.10.2019 UM 11:00 UHR
DIE ROLLE PROAKTIVER TECHNOLOGIEN BEI DER ABWEHR VON CYBERANGRIFFEN
Wenn Sie mit veralteten Anwendungen und Betriebssystemen arbeiten müssen und mit einer sich ständig verändernden IT-Infrastruktur konfrontiert sind, erweist sich die Bereitstellung einer proaktiven Netzwerksicherheitslösung als unabdingbare Schutzmaßnahme gegen unbekannte Bedrohungen.
>> JETZT ANMELDEN
Verzweifelte Zeiten, verzweifelte Maßnahmen?
Beispiele dafür, dass ein Unternehmen für Compliance-Verstöße haften und anschließend für den Schaden einen seiner Arbeitnehmer oder seinen Geschäftsführer zur Verantwortung ziehen kann, gibt es zur Genüge. „Je nach Fall kann es von der Suspendierung über die Auflösung des Arbeitsvertrages bis hin zur Klageerhebung gehen“, unterstreicht Gries. Die Rechtslage ist klar, wie auch die Tatsache, dass die interne Verhängung von Sanktionen dem Ermessen eines jeden Unternehmens obliegt. Es ist jedoch ziemlich wahrscheinlich, dass sich in den kommenden Jahren das Rahmenwerk für die Haftbarmachung einzelner Personen durch die Regulierung und die Rechtsprechung verändern wird.
Obgleich tatsächlich immer wieder in Erinnerung gerufen wird, dass es noch nie umfangreichere Risiken gab und dass die Aufgabe, eine Cybersicherheitskultur im Unternehmen zu etablieren, noch nie so wichtig war, werden Ransomware- und Phishing-Attacken nach wie vor sehr erfolgreich geführt. Die Cyberkriminalität kommt Privatpersonen wie Unternehmen immer teurer zu stehen. Angesichts dessen ist fraglich, ob im Fahrlässigkeitsfall überhaupt noch ein Weg an der Haftbarmachung des Einzelnen vorbeiführt.
www.stormshield.com