Nach Hackerangriff
28.02.2014, 15:38 Uhr
Uni Zürich versäumte Informationspflicht
Wie müssen Unternehmen und Organisation beim Verlust von Daten informieren? Anhand des Hackerangriffs auf die Uni Zürich erklärt ein Anwalt, wie sich die Rechtssituation verhält.
Nach einem erfolgreichen Hackangriff auf die ETH und Uni Zürich, entschied man sich, die Betroffenen nicht zu informieren. Ein juristischer Fehler?
Die Server der Uni Zürich wurden im April letzten Jahres Opfer eines Hackangriffs. Email-Adressen, Passwörter und weitere Zugangsdaten von Angehörigen der Hochschule sowie der ETH, des Kinderspitals und des Universitätsspitals Zürich wurden gestohlen und im Internet veröffentlicht. Die Uni Zürich informierte zuerst nicht alle Betroffenen, weil man überzeugt war, dass die Daten veraltet waren. Weil Medien letzten Monat berichteten, dass sich diese Annahme als falsch herausstellte, hat die Uni Zürich mittlerweile alle Betroffenen informiert. Hätte sie direkt so reagieren müssen? «Hat ein Unternehmen Kenntnis davon, dass Daten gehackt wurden, deren Missbrauch mit einem Schädigungspotential verbunden ist, so müssen die betroffenen Personen so rasch als möglich informiert werden, damit diese die notwendigen Vorkehrungen treffend können, um allfällige Schäden möglichst abzuwenden», sagt Konrad Bähler von der Anwaltskanzlei Dr. Widmer & Partner. Sonst würde die Sorgfaltspflicht verletzt werden. Wie informiert werden soll, hänge davon ab, wer betroffen ist. «Wenn man die Betroffenen kennt, müssen diese per Email angeschrieben werden. Weiss man es nicht, reicht eine öffentliche Information.» Im Fall der Uni Zürich wäre es wohl möglich gewesen, im internen Kreis zu informieren, sagt Bähler.
Strafe oder nicht?
Kommen auf die Uni Zürich nun Sanktionen zu? «Falls es Geschädigte gegeben hat, können diese Schadenersatz verlangen, wenn von Seiten der Uni Zürich ein sorgfaltswidriges, schuldhaftes Verhalten vorlag », sagt Bähler. «Ob die Uni Zürich die Sachlage mit ihrem Entscheid, die Betroffenen zuerst nicht zu informieren, richtig eingeschätzt hat, sei dahingestellt. Dafür kenne ich die genauen Umstände des Falls zu wenig.» In der Schweiz fehlt im Gegensatz zu Deutschland, Österreich oder den USA eine sogenannte «Data Breach Notification», die regelt, wie im Fall von Datenlecks informiert werden muss. «Man müsste sich überlegen, das einzuführen», sagt Bähler. «Wenn beispielsweise Mail-Accounts oder Bankkonten gehackt werden, wäre es angebracht, die Leute zu informieren.» Eine solche Regelung könnte im Rahmen des vom Bundesrat dem EJPD erteilten Auftrags zur Prüfung gesetzgeberischer Massnahmen zur Stärkung des Datenschutzes berücksichtigt werden.
