Nach einem Hackerangriff der Gruppe „ALPHV“, auch „Black Cat“ genannt, auf das Unternehmen „Motel One“ sind Millionen Daten von Hotelgästen (Namen, Kreditkartendaten, Anschriften, Geburts- und Reisedaten, Handynummern etc.), insgesamt sechs Terabyte gestohlen worden. Teile der Daten, die mitunter bis in das Jahr 2016 zurückreichen, sind bereits im Darknet zur Verwertung durch Cyberkriminelle aufgetaucht. Für einen ähnlichen Vorfall bei der US-Hotelkette Marriott im Jahr 2020 verhängte Großbritanniens Datenschutzbehörde eine Busse in Höhe von ursprünglich GBP 100 Mio. (später GBP 18,4 Mio.) gegen das Unternehmen. Neben dem Bussgeld sind Schadenersatzklagen betroffener Personen zu erwarten.
Besondere Brisanz erhält dieser Fall zusätzlich durch die bald erwartete Entscheidung des Europäischen Gerichtshofes zu den Vorlagefragen in Sachen Scalable Capital GmbH (Az.: C-182/22 und C-189/22). Der EuGH ist hierbei angerufen, Klarheit darüber zu schaffen, ob schon das Abhandenkommen von Daten (bspw. durch einen erfolgreichen Hackerangriff) an sich genügt, um einen Identitätsdiebstahl und damit einen Schadenersatzanspruch zu begründen.
Diese Risiken und Fragen betreffen auch schweizer Unternehmen, sofern sie Waren oder Dienstleistungen auf dem europäischen Binnenmarkt anbieten oder das Verhalten von Personen im räumlichen Geltungsbereich der DSGVO beobachten (sog. Marktortprinzip). Dies wirft automatisch die Frage der haftungsrechtlichen Situation von Unternehmen und Management bei Datendiebstählen zum Nachteil schweizer Unternehmen nach nationalen Haftungsregelungen, bei rein schweizbezogenen Sachverhalten, auf.
Datenschutzgesetz
Ab dem 1. September 2023 gilt in der Schweiz das totalrevidierte Bundesgesetz über den Datenschutz (DSG). Das DSG behebt Schwächen, die sich bei der Anwendung des „alten“ Datenschutzgesetzes auf aktuelle Sachverhalte ergaben. Zudem findet eine Angleichung an die Regelungen der DSGVO auf vielen Ebenen statt. Das DSG bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden (Art. 1 DSG). Das Gesetz gilt gemäss Art. 2 Abs. 1 DSG für die von Personendaten natürlicher Personen durch private Personen und Bundesorgane („Verantwortliche„).
Pflicht zur Datensicherheit
Die Datenverarbeitung ist so auszugestalten, dass Datenschutzvorschriften, vor allem die Grundsätze des DSG nach Art. 6 DSG, eingehalten werden, Art. 7 Abs. 1 DSG. Gemäss Art. 8 DSG haben der Verantwortliche und der Auftragsbearbeiter durch geeignete technische und organisatorische Massnahmen eine dem Risiko angemessene Datensicherheit zu gewährleisten. Diese Massnahmen müssen Verletzungen der Datensicherheit zu vermeiden.
Haftung des Unternehmens
Wenn mit den vom Datenleck betroffenen Personen eigene vertragliche Abreden bestehen und diese auch Rechtsfolgen an einen Datenvorfall knüpfen, sind diese vertraglichen Haftungsmechanismen durch den Datenvorfall aktiviert. Insbesondere bei verschuldensunabhängiger Haftungsabrede werden die vereinbarten Haftungsinstrumente schnell und unmittelbar wirksam.
Sofern genügend Anzeichen dafür bestehen, dass eine Datenverarbeitung gegen Datenschutzvorschriften verstossen könnte, eröffnet der EDÖB von Amts wegen eine Untersuchung, Art. 49 DSG. In dieser Untersuchung ist der Verantwortliche zur Mitarbeit verpflichtet. Kommt er dieser Pflicht nicht ordnungsgemäss nach oder missachtet er Verfügungen des EDÖB, droht ein Bussgeld von bis zu CHF 250.000.
Das DSG enthält in Art 32 DSG eine Öffnung zu den klassischen Instrumenten des ZGB (dort. Art. 28, 28a sowie 28g-28l ZGB) für die zivilrechtliche Verfolgung widerrechtlicher Personendatenverarbeitungen. Betroffene Personen können negatorische Ansprüche durchsetzen, also Unterlassungs-, Beseitigungs- oder Feststellungsklage erheben. Zudem haben betroffene Personen reparatorische Ansprüche, also Anspruch auf Schadenersatz (bzgl. Vermögensschäden) und Genugtuung (bzgl. Immaterieller Schäden). Hierneben treten die Ansprüche auf Gewinnherausgabe und Gegendarstellung.
Haftung des Managements
Anders als unter dem Regime der DSGVO, richten sich die Bussgeldvorschriften des DSG nicht in erster Linie gegen die Unternehmen, sondern gegen die verantwortlichen natürlichen Personen. Die Bussen können, nach derzeitigem Kenntnisstand, weder versichert noch vom Unternehmen des gebüssten Mitarbeiters übernommen werden. Rückt bei der Aufarbeitung der Hintergründe des Datenlecks eine Strafbestimmung nach den Art. 60-66 DSG in den Fokus, so droht hieraus zunächst die persönliche Haftung des Managements/Leitungsorgans. Für die Verwirklichung dieser Strafbestimmung reicht Eventualvorsatz aus. Die Verantwortlichkeit hiernach trifft aber nicht in erster Linie die Unternehmensleitung, sondern die Person, die in ausführender Position konkret entscheidet, was getan wird. Durch die Delegation datenschutzrechtlicher Pflichten lässt sich die Haftungsgefahr für Leitungsorgane nach den Strafbestimmungen des DSG daher deutlich verringern.
Eine nicht durch Delegation zu minimierende Gefahr besteht im Zuge der Haftung von Leitungsorganen durch den Anstellungsvertrag und nach dem Obligationenrecht. Namentlich Art. 754 OR hält fest, dass die Mitglieder des Verwaltungsrates und alle mit der Geschäftsführung befassten Personen sowohl der Gesellschaft als den einzelnen Aktionären und Gesellschaftsgläubigern für Schäden verantwortlich sind, die sie durch absichtliche oder fahrlässige Pflichtverletzungen verursachen. Für den Verwaltungsrat folgt eine Verantwortlichkeit für den Datenschutz im Unternehmen schon aus Art. 716a Abs. 1 Ziff. 1 OR.
Die gleiche Gefahr ergibt sich gemäss Art. 827 OR für Geschäftsführer (einer GmbH), sofern im Rahmen des Datendiebstahls die vier Haftpflichtvoraussetzungen Pflichtverletzung, Schaden, Kausalzusammenhang und Verschulden erfüllt sind. War dem Geschäftsführer bspw. die Pflicht zur Herstellung gesetzlicher Datensicherheitsmechanismen per Beschluss der Gesellschaft zugeordnet und hat der Geschäftsführer diese Pflicht durch Unterlassen schuldhaft verletzt, wäre dieses Verhalten bei einem Schaden durch den Datendiebstahl ersatzpflichtbegründend.
Empfehlungen
Das Management sollte dem Datenschutz und Cyberrisiken daher angemessene Aufmerksamkeit widmen. Die dargestellte Rechtslage drängt eine Delegation bestimmter Aufgaben zur Vermeidung von Risiken aus den Strafbestimmungen des DSG auf. Für das betroffene Leitungsorgan ist dies ein Vorteil. Für das Betriebsklima könnte dies zur Herausforderung werden. Im Hinblick auf zivilrechtliche Haftungsmechanismen ist keine Wegdelegation möglich. Leitungsorgane sollten daher unbedingt die nachfolgend dargestellten Empfehlungen beachten.
Ausgehend von der dargestellten Haftungssituation sollten Leitungsorgane, auf Basis einer eingehenden Risikoanalyse, die Implementierung eines gründlich vorbereiteten und auf die Bedürfnisse des Unternehmens zugeschnittenen Datenschutzkonzeptes verantworten. Dabei muss vor allem die wichtigen Fragen nach der Anwendung von DSG und/oder DSGVO beantwortet werden, da hier eine Doppelhaftung droht. Die Verantwortlichkeiten im Unternehmen sollten verbindlich festgelegt und die Entscheidung hierüber gut dokumentiert sein.
Auch Cyberrisiken müssen berücksichtigt werden. Cybersicherheits- und Datenschutzanstrengungen müssen daher Gegenstand der Sitzungen verantwortlicher Gremien werden. Dass dies geschehen ist, muss anhand der Versammlungs- und Sitzungsprotokolle nachvollziehbar darstellbar sein. Hierbei sollten die Leitungsorgane stets das Datenschutzkonzept sowie angemessene Abwehrmassnahmen gegen Angriffe und Datendiebstähle ebenso fokussieren wie einen Aktionsplan im Fall eines Angriffes, der den Versuch eines Datendiebstahls vermuten lässt. Auch um notwendigen angemessenen Versicherungsschutz (bspw. Cyberrisiko-Policen) sollten sich die Leitungsorgane bemühen.
Sollte es zu einem Vorfall kommen, muss klar sein, wer welche Umstände wann an wen zu melden hat. Zudem muss schon zur Vermeidung eigener Haftung und zur Sicherstellung potenziellen Versicherungsschutzes Strafanzeige (bspw. mit Verdacht auf Straftaten aus den Art. 162, 179-179novies, 273 StGB) gestellt und dem D&O-Versicherer ein potenzieller Schaden gemeldet werden.
In jedem Fall lohnt es sich, sowohl bei der Erarbeitung und Prüfung der genannten Konzepte als auch beim Auftreten eines Datendiebstahls, anwaltliche Hilfe in Anspruch zu nehmen. Im oben genannten Fall der Marriott-Kette konnte das Bussgeld durch anwaltliche Verfahrensführung von knapp GBP 100 Mio. auf GBP 18,4 Mio. reduziert werden.
