Datendiebstahl bei Yahoo - Management muss Schadenersatz zahlen - Wie wäre das in der Schweiz?
Hacker haben bei Yahoo Daten von 3 Milliarden Kunden gestohlen. Das hatte persönliche Konsequenzen für das Management. Während in den meisten Fällen die betroffenen Kunden Schadenersatzforderungen gegen die Company geltend machen konnten, gingen die Aktionäre meist leer aus. Im Fall Yahoo hatten die Aktionäre erstmals im Namen des Unternehmens das Management – auch die Yahoo-Chefin Marissa Mayer – unter anderem wegen Verletzung der treuhänderischen Pflichten eingeklagt. Die ehemalige Führungsmannschaft muss nun den Anteilseignern wegen der Cyberattacke Millionen bezahlen. Der Prozess ist mit einer Geldzahlung von 29 Mio. $ beigelegt worden (der von Versicherungen übernommen wird).
Kunden können bei einer Verletzung der Datenschutzpflichten gestützt auf gestützt auf Art. 15 DSG gegen die Gesellschaft klagen (Unterlassungsklage, Beseitigungsklage, Feststellungsklage, Klage auf Genugtuung, Gewinnherausgabe, Recht auf Gegendarstellung). Je nach Vertragsverhältnis bestehen zudem vertragliche (oder ausservertragliche) Schadenersatzansprüche.
Die Aktionäre könnten auch in der Schweiz gegen die Geschäftsführung klagen (Verantwortlichkeitsklage; Art. 754 OR). Der Anspruch geht aber auf Leistung an die Gesellschaft (Art. 756 OR).
Im revidierten Datenschutzgesetz sind zudem Bussen für Leitungspersonen vorgesehen.
Das Management tut gut daran, dem Datenschutz und Cyber Risiken die gebührende Aufmerksamkeit zu schenken (risk-based approach):