Haftung von Unternehmen für IT-Sicherheit – im Fall von Neiman Marcus
Der Gerichtsfall Neiman Marcus Group LCC ist nun wieder in Verhandlung, nachdem das Verfahren gut ein Jahr ausgesetzt worden war. Für die US-Handelskette, die 2013 einem Hackerangriff zum Opfer fiel, bei dem 350.000 Kundendaten gestohlen wurden, muss nun das Verschulden bzw. die Haftung für den Vorfall geklärt werden. Speziell ist zu klären, wie weit die Kunden ein Unternehmen für solche Vorfälle in Regress nehmen können.
Gegen das Unternehmen sind Sammelklagen in der Höhe von 5 Mio. US-Dollar eingegangen. 9.200 aktuelle Fälle von Datenmissbrauch/Missbrauch der Kundenkonten wurden festgehalten. Der Fall wurde 2014 stillgelegt, weil Neiman Marcus argumentierte, dass den Kunden die finanziellen Schäden bereits durch die Kreditkartenabrechnungsfirmen erstattet wurden.
Das Gericht gab der Argumentation der Kunden den Vorrang, dass zum einen der Aufwand der Kunden nicht ersetzt wurde, um zu ihrem Recht zu gelangen, und dass zum anderen die zukünftigen Bedrohungen der Offenlegung ihrer persönlichen Daten noch nicht vorhersehbar sind.
In der Rechtsprechung zeichnet sich nun eine Richtungsänderung in den USA ab. In Zukunft werden sich die CEOs häufiger mit der Frage beschäftigen müssen, was sie für die IT-Sicherheit tun müssen, um in einem Schadensfall nicht haftbar zu sein. Der wachsende Konsens in dieser Frage ist sicher die Einhaltung von minimalen Standards, wie z.B. „Critical Security Controls for Effective Cyber Defense“, das Setzen von wichtigen Maßnahmen wie unter ASD erklärt Regierung, wie Sicherheit richtig geht bzw.
5 Schritte zur IT-Sicherheit – Wie Sie Ihre Computer gegen Hackerangriffe schützen.
Siehe auch:
- Handelshaus Neiman Marcus Ziel von Hackern
- Hackereinbruch bei Neiman Marcus – schlimmer als angenommen
- Hacker bei Neiman Marcus lösten 60.000 Mal Alarm aus, wurden aber nicht entdeckt
Artikel von wsj.com, 23.07.2015: Appeals Court Revives Neiman Marcus Data Breach Suit