Cyberattacken, Datenverlust, Erpressung: Hacker nehmen kleine und mittlere Unternehmen (KMU) gerne ins Visier, da diese gegen Cybercrime weniger gut geschützt sind als Grosskonzerne. Viele Firmen vergessen zudem, dass bei Internetkriminalität auch rechtliche Fragen und Streitigkeiten auftauchen können.
Mit welchen Kriminellen habe ich es als Unternehmen im Cyberspace zu tun, und was ist deren Ziel?
Die Spanne der Cyberkriminalität reicht von Phishing-Attacken über Distributed Denial of Service Attacken (DDoS-Attacken) bis hin zu Onlinebetrug und Industriespionage. In den meisten Fällen haben es die Cyberkriminellen – wie auch Kriminelle im «echten» Leben – aufs Geld ihrer Opfer abgesehen. Manchmal geht es auch um die Rufschädigung einer natürlichen oder juristischen Person.
Die Computer unseres Start-ups wurden gehackt und wir werden erpresst. Wie kann ich rechtlich gegen die Täter vorgehen?
In diesem Fall sollten Sie umgehend die Strafbehörden einschalten. Diese verfügen mittlerweile über spezialisierte Einheiten zur Bekämpfung von Internetkriminalität.
Angenommen, meine Firma wird gehackt und vertrauliche Daten werden gestohlen. Selbst wenn der Täter gefasst wird – sind meine Daten nicht längst in dritter Hand?
Digitale Daten sind volatil und können einfach kopiert werden. Sie müssen tatsächlich damit rechnen, dass Ihre Daten schon weitergegeben wurden. Eine gute Cybersecurity ist deshalb Pflicht.
Wie sieht es mit der Strafverfolgung bei Cybercrime aus – im Vergleich zu anderen Bereichen?
Die Schweizer Strafbehörden haben spezialisierte Dienste, z. B. die Abteilung Cybercrime in Zürich. Die nationale und internationale Zusammenarbeit funktioniert gut. Man muss jedoch realistisch bleiben: Nicht alle Täter im World Wide Web werden gefasst.
Ich habe gelesen, dass Cyberkriminelle vermehrt einzelne Mitarbeitende, die Zugang zu vertraulichen Daten besitzen, via Social Media ausspähen und deren Rechner hacken. Kann ich meinen HR-Angestellten oder meinem CFO verbieten, auf Instagram oder Facebook aktiv zu sein?
Ja, das können Sie. Gestützt auf das Weisungsrecht kann die Arbeitgeberin oder der Arbeitgeber Weisungen zur Nutzung von Social Media erlassen. Als Unternehmerin oder Unternehmer können Sie Ihren Mitarbeitenden zum Beispiel verbieten, vom Computer ihres Arbeitsplatzes aus auf soziale Netzwerke zuzugreifen. Sie dürfen darüber bestimmen, wie die Arbeitsgeräte zu verwenden sind. Wird jedoch keine Weisung erlassen, dürfen die Mitarbeitenden ihre Computer in begrenztem Umfang für den Zugang zu Social-Media-Plattformen nutzen.
Ich bin Besitzer eines Restaurants. Eine Mitarbeiterin wurde auf einer Bewertungsplattform aufgrund einer angeblich schlechten Serviceleistung persönlich angegriffen und beleidigt. Wie kann ich rechtlich dagegen vorgehen und meine Angestellte schützen?
Zu Beweiszwecken sollten Sie vom Eintrag auf der Social-Media-Plattform sofort einen Screenshot machen. Danach können Sie die Löschung des Beitrags bei der Gegenpartei verlangen. In jedem Fall sollten Sie die Rechtsverletzung auch der Plattform melden, damit diese den Beitrag löschen und die Verursacherin oder den Verursacher sperren kann. Das ist meist die einzige Möglichkeit, einen Kommentar löschen zu lassen, wenn die Schreiberin oder der Schreiber der Beleidigung nicht gefunden werden kann.
Ausserdem haben Sie die Möglichkeit, Strafanzeige zu erstatten: Gemäss schweizerischem Gesetzbuch können Cybermobberinnen und Cybermobber unter anderem aufgrund von Beschimpfung, übler Nachrede und Verleumdung verklagt werden.
Was ist der Unterschied zwischen der Cyberversicherung für Unternehmen und der Zusatzversicherung «Persönlichkeits- und Internet-Rechtsschutz»?
Die Cyberversicherung für Unternehmen der AXA schützt Sie vor den unmittelbaren Schäden eines Cyberangriffs und wehrt Schadenersatzansprüche anderer Personen ab. Zum Beispiel, wenn sensible Daten von Ihren Kundinnen und Kunden gestohlen wurden, die nun ihrerseits Schadenersatz geltend machen.
Die Zusatzversicherung «Persönlichkeits- und Internetrechtsschutz» der AXA, in Ergänzung zur Betriebsrechtsschutzversicherung, hilft bei Persönlichkeitsverletzungen im Internet. Sie bietet Rechtsschutz bei Identitäts- oder Kreditkartenmissbrauch sowie bei Verträgen betreffend Internetzugang und -domain.
Ich wurde vom Anwalt einer anderen Firma aufgefordert, meine Internetdomain zu ändern: Die Markenrechte dieser Firma würden verletzt – und ich solle eine Verzichtserklärung unterschreiben. Muss ich das?
Das Markenrecht ist im Domain-Bereich hochkomplex und jeder Fall muss im Detail angeschaut werden. Als Faustregel kann man aber sagen: Je ähnlicher die Geschäftsgebiete der Parteien sind, desto verschiedener müssen deren Marken- bzw. Domainnamen sein, damit keine Verwechslungsgefahr entsteht.
Wichtig: Unter keinen Umständen sollten Sie eine Verzichtserklärung ohne vorherige Beratung durch eine Rechtsexpertin oder einen Rechtsexperten unterzeichnen.
Details finden Sie im Blogartikel «Patente, Markenrecht und Urheberschutz».
Ein Mitarbeiter hat gekündigt, aber vorher vertrauliche Kundendaten gestohlen. Mit diesen Daten will er ein eigenes Business aufbauen und Kunden abwerben. Was kann ich dagegen tun?
Der Mitarbeiter verletzt seine Treuepflicht. Sofern das Arbeitsverhältnis noch nicht beendet wurde, wäre eine fristlose Kündigung denkbar. Zudem können Sie den Mitarbeiter auf Schadenersatz und Herausgabe der Daten verklagen.
Daneben kann das Verhalten des Mitarbeiters auch strafrechtlich relevant sein. Mögliche Delikte in diesem Zusammenhang sind: unbefugte Datenbeschaffung, unbefugtes Eindringen in ein Datenverarbeitungssystem und Verletzung des Fabrikations- oder Geschäftsgeheimnisses. Begeht Ihr Mitarbeiter eines dieser Delikte, können Sie Strafanzeige erstatten.
Immer wieder bricht die Internetverbindung in meinem Unternehmen zusammen, obwohl ich die Rechnungen fristgerecht begleiche. Der Arbeitsausfall meiner Mitarbeitenden kostet mich jeden Monat mehrere tausend Franken. Welche Rechte habe ich?
Hier steht der vertragliche Schadenersatzanspruch im Zentrum. Der Schaden muss jedoch nachgewiesen werden, was nicht immer einfach ist. Erschwerend kommt hinzu, dass Schadenersatzansprüche in Verträgen mit Internetanbietern auch ausgeschlossen werden können: In diesem Fall kann auch bei einem entsprechenden Nachweis kein Schadenersatz durchgesetzt werden. Somit muss eine Juristin oder ein Jurist im Einzelfall entscheiden, ob ein Vorgehen gegen den Internetanbieter aussichtsreich ist.