Datendiebstahl - Haftet das Management?

Datenschutz: Geschäftsleitung im Risiko

Yahoo Aktionäre erhalten Schadenersatz vom Management

Hacker haben bei Yahoo Daten von 3 Milliarden Kunden gestohlen. Das hatte persönliche Konsequenzen für das Management. Während in den meisten Fällen die betroffenen Kunden Schadenersatzforderungen gegen die Company geltend machen konnten, gingen die Aktionäre meist leer aus. Im Fall Yahoo hatten die Aktionäre erstmals im Namen des Unternehmens das Management – auch die Yahoo-Chefin Marissa Mayer – unter anderem wegen Verletzung der treuhänderischen Pflichten eingeklagt. Die ehemalige Führungsmannschaft muss nun den Anteilseignern wegen der Cyberattacke Millionen bezahlen. Der Prozess ist mit einer Geldzahlung von 29 Mio. $ beigelegt worden (der von Versicherungen übernommen wird).

Wie wäre die Rechtslage in der Schweiz?

Kunden können bei einer Verletzung der Datenschutzpflichten gestützt auf gestützt auf Art. 15 DSG gegen die Gesellschaft klagen (Unterlassungsklage, Beseitigungsklage, Feststellungsklage, Klage auf Genugtuung, Gewinnherausgabe, Recht auf Gegendarstellung). Je nach Vertragsverhältnis bestehen zudem vertragliche (oder ausservertragliche) Schadenersatzansprüche.

Die Aktionäre könnten auch in der Schweiz gegen die Geschäftsführung klagen (Verantwortlichkeitsklage; Art. 754 OR). Der Anspruch geht aber auf Leistung an die Gesellschaft (Art. 756 OR).

Im revidierten Datenschutzgesetz sind zudem Bussen für Leitungspersonen vorgesehen.

Was sind die Lehren für das Management?

Das Management tut gut daran, dem Datenschutz und Cyber Risiken die gebührende Aufmerksamkeit zu schenken (risk-based approach):

  • Risikoanalyse
  • Implementierung eine Datenschutzkonzeptes (Risk Management; Regelung der Verantwortlichkeiten)
  • Dokumentierung der Datenschutzanstrengungen (GL- und VR-Protokolle)
  • Sicherstellung der Einhaltung von Standards (Zertifizierungen; Datenschutzgütesiegel)
  • Überprüfung der Dokumentation und der Verträge mit Providern
  • Sicherstellung Versicherungsschutz (Cyber Risk Insurance; D&O-Insurance) 

Januar 2019 | Autor: Dr. Martin Eckert

Ihr Team

Ihr Kontakt

Wünschen Sie, dass wir Sie kontaktieren? Bitte füllen Sie das Formular aus und unsere Berater setzen sich gerne persönlich mit Ihnen in Verbindung.