de en ru it fr

When is a law firm liable for a data breach? An exploration into the legal liability or ransomware and cybersecurity

Der Artikel befasst sich mit der Haftung von Anwaltskanzleien im Falle eines Hackerangriffs, insbesondere in Hinblick auf die Sorgfaltspflichten im Rahmen des Anwaltsgeheimnisses. Der Artikel wurde von Dr. iur. Dr. rer. pol. Fabian Teichmann in Zusammenarbeit mit Chiara Wittmann verfasst und im Journal of Financial Crime im April 2022 publiziert. Gefahren aus dem Internet betreffen jeden Nutzer von elektronischen Geräten, die über eine Internetverbindung verfügen. Gemäss einer Studie fielen 54% aller Organisationen Hackerangriffen zum Opfer. Selbst wenn diese Gefahr allgegenwärtig ist und die überwiegende Mehrheit aller Angriffe abgewehrt werden kann, müssen Anwaltskanzleien besonders auf der Hut sein, da diese über äusserst vertrauliche, schutzbedürftige Informationen verfügen. Gerade im angelsächsischen Raum kann der Datenverlust einer Anwaltskanzlei aufgrund eines Hackerangriffs strafrechtliche Konsequenzen mit sich tragen. Viele Unternehmen versuchen, ihre Haftung auf der Basis einer Force-majeure-Klausel einzuschränken. «Force majeure» oder höhere Gewalt bezieht sich auf ein schadenverursachendes Ereignis, welches unabwendbar ist und selbst mit der vernünftigen Einhaltung von Sorgfaltspflichten nicht hätte vermieden werden können. Jedoch werden Force-majeure-Klauseln von Gerichten sehr restriktiv ausgelegt. Was die Tragweite der Force-majeure-Klausel abelangt, gilt es zu erwähnen, dass die Voraussehbarkeit eines schadenverursachenden Ereignisses gewöhnlicherweise die Anwendung der genannten Klausel ausschliesst. Die Anwaltskanzlei ist somit in der Pflicht, sämtliche Massnahmen zu ergreifen, die geeignet sind, einen Hackerangriff abzuwehren und im Falle eines gelungenen Angriffes die schädigende Einwirkung möglichst einzudämmen. Folglich handelt eine Anwaltskanzlei, die solche Massnahmen unterlässt, grob fahrlässig, weswegen diese im Falle eines Hackerangriffes haftet. Die meisten Hackerangriffe werden erst ermöglicht, weil ein Mitarbeiter innerhalb der Zielorganisation ein E-Mail öffnet, welches einen Virus enthält, der anschliessend in das System eindringt. Folglich ist es in Hinblick auf den Haftungsausschluss von höchster Priorität, dass Unternehmen ihre Mitarbeiter schulen, damit deren Sensibilität auf verdächtige E-Mails erhöht wird.

Zum Autor: Fabian Teichmann ist Rechtsanwalt in der Schweiz, Notar in St. Gallen sowie niedergelassener Europäischer Rechtsanwalt in Liechtenstein. Ferner ist er Mitglied von Verwaltungsräten mehrerer Unternehmen im In- und Ausland.

Mehr zu diesem Thema finden Sie in Teichmann, F. & Wittmann, C (2022). When is a law firm liable for data breach? An exploration into the legal liability or ransomware and cybersecurity. Journal of Financial Regulation and Compliance. https://doi.org/10.1108/JFC-04-2022-0093.