Unternehmenserver gehackt, Tat absichtlich verschleiert - Nun ab ins Gefängnis?
Gespeichert von Dr. Axel Spies am
Hier das (wahrscheinlich gar nicht so seltene) Szenario: In Ihren Unternehmensserver wird virtuell eingebrochen, Daten werden gestohlen. Ihr IT-Mann verschleiert vorsätzlich den „Einbruch“, der dann nie gemeldet wird. Ein kausaler Schaden bei den Kunden ist nicht nachweisbar. Soll der IT-Mann trotzdem dafür ins Gefängnis, wenn die Sache herauskommt?
In Deutschland gibt derzeit begrenzte Meldepflichten bei „Bruch der Datensicherheit" gemäß § 109 Abs. 5 Satz 1 TKG: Danach hat derjenige, der öffentliche Telekommunikationsnetze betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, der Bundesnetzagentur eine Verletzung der Sicherheit von Telekommunikationsnetzen oder –diensten unverzüglich mitzuteilen, sofern hierdurch beträchtliche Auswirkungen auf den Betrieb der Telekommunikationsnetze oder –dienste entstehen. § 42a BDSG enthält ebenfalls eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten in bestimmten Fällen.
In den USA gibt es nunmehr Bestrebungen, die o.g. Taten ausdrücklich strafrechtlich zu ahnden. Eine Änderung von Senator Patrick Leahy (D-VT) zu dem vorgeschlagenen Cybersecurity Act geht dahin, ein Verbrechen im strafrechtlichen Sinne für ein Unternehmen und Manager vorzusehen, die einen Datenmissbrauch von ihren Kunden verbergen. Die vorgeschlagene Änderung würde es ermöglichen, für "jeden, der gezielt einen Bruch der Datensicherheit verschleiert, durch den finanziellen Schaden " entsteht, eine bis zu fünfjährige Haftstrafe aufzuerlegen. Senator Leahy will andere Änderungen des Gesetzes versuchen, eine nationale Meldepflicht für einen Bruch der Datensicherheit(bislang gibt es nur einzelstaatliche Vorschriften) und die Unternehmen dazu zu bringen, interne Datenschutz- Programme zu etablieren, wenn sie sensible persönliche Informationen speichern. Eine Debatte über die Cybersecurity Act wird im Senat in den nächsten Tagen im Senat erwartet.