Darf digitale Sorglosigkeit im Unternehmen ausschließlich zu Lasten der Organisation gehen? Wir erörtern das heikle Thema von Sanktionen gegen Mitarbeiter bei fahrlässigem Verhalten.
In diesem Blog wurde bereits an verschiedenen Stellen darauf hingewiesen, wie wichtig die Mitarbeiter bei der Etablierung einer IT-Sicherheitsstrategie sind. Die ausgefeiltesten technischen Lösungen zum Schutz der eigenen Systeme und Daten sind nichts wert, wenn Anwender leichtsinnige Fehler begehen. Aus diesem Grund sind auch regelmäßige Schulungen so wichtig. Doch auch hier geht es nur nicht nur um die Vermittlung reinen Wissens. Es geht um Sensibilisierung und den verantwortungsbewussten Umgang mit Unternehmenswerten. Nicht erst mit der Einführung der Datenschutzgrundverordnung (DSGVO) ist daher das Thema Haftung für die Verantwortlichen akuter geworden. Es mag zwar radikal anmuten, jedoch ist die stärkere Verpflichtung von Mitarbeitern bei der Regulierung von Schäden durchaus eine Diskussion, die lohnenswert erscheint. Sanktionen aufgrund von Fahrlässigkeit, Verantwortungslosigkeit oder unzureichender digitaler Hygiene könnten in den kommenden Jahren durchaus häufiger vorkommen.
Auszug aus dem Strafenkatalog
Die DSGVO hat eine Vielzahl von Sanktionsmöglichkeiten definiert, die gegen Unternehmen und andere Organisationen verhängt werden können. EU-Länder erhalten über Artikel 58 die Befugnis, gegen Compliance-Verstöße vorzugehen und abschreckende Maßnahmen umzusetzen. In Artikel 83 ist wiederum geregelt, unter welchen Voraussetzungen die Verhängung von Geldbußen erlaubt ist. Diese kann bis zu vier Prozent des weltweit erzielten Unternehmensumsatzes betragen. Hier sind mittlerweile auch schon höhere Strafzahlungen verhängt worden. So wurde Google in Frankreich im Januar 2019 zur Zahlung einer Geldbuße von 50 Millionen Euro verurteilt. Auch British Airways ist im Vereinigten Königreich mit von der Partie: die zuständige Datenschutzbehörde erklärte im Sommer 2019 ihre Absicht, gegen die Fluggesellschaft eine Strafe in Höhe von über 200 Millionen Euro auszusprechen. Doch das ist nur der Anfang, denn bislang scheint nur wenigen Eingeweihten zu dämmern, dass Artikel 84 der DSGVO auch strafrechtliche Konsequenzen vorsieht. Hier ist bisher jedoch noch kein Fall zur Anzeige gekommen. Das muss aber nichts bedeuten.
Fahrlässigkeit hat durchaus Konsequenzen
Es gibt zahlreiche Beispiele dafür, dass Organisationen für Compliance-Verstöße haftbar gemacht wurden und dann Arbeitnehmer oder auch Geschäftsführer für den entstandenen Schaden haftbar gemacht haben. Von Fall zu Fall unterschiedlich kann die Konsequenz dann Suspendierung, Auflösung des Arbeitsvertrages oder auch Klageerhebung sein. Hier ist die Rechtslage genauso klar wie die Tatsache, dass die interne Verhängung von Sanktionen im Ermessen jedes einzelnen Unternehmens liegt. Ziemlich wahrscheinlich ist, dass sich in der Zukunft das Regularium für die Haftbarmachung einzelner Personen durch die Rechtsprechung ändern wird. In den Unternehmen wurde vermutlich das Thema Cybersicherheit noch nie stärker gepredigt als heute. Gleichzeitig gab es jedoch auch noch nie umfangreichere Risiken und noch nie war es so wichtig eine Cybersicherheitskultur im Unternehmen zu etablieren. Fakt ist, dass Ransomware- und Phishing-Attacken weiterhin sehr erfolgreich durchgeführt werden und die zunehmende Cyberkriminalität kommt Privatpersonen und Unternehmen immer teurer zu stehen. Im Angesicht dieser Tatsachen ist es fraglich, ob im Fall von Fahrlässigkeit überhaupt noch ein Weg an der Haftbarmachung einzelner Personen vorbeiführt.
Kontaktieren Sie uns gerne und diskutieren Sie das Thema mit unseren Beratern über unser Kontaktformular.