An US-Börsen notierte Unternehmen sind grundsätzlich dazu verpflichtet, ihre Investoren über Vorfälle im Bereich der Cyber Security zu informieren (sog. Disclosure). Dies betrifft insbesondere interne oder externe Angriffe auf die internen IT- oder Datenschutzsysteme von Unternehmen. Die US-Börsenaufsicht United States Securities & Exchange Commission (SEC) hat zu diesem Thema am 21. Februar 2018 einen neuen Leitfaden veröffentlicht. Der Auslegungsleitfaden soll Unternehmen dabei unterstützen, ihren Informationspflichten gegenüber ihren Investoren ordnungsgemäß nachkommen zu können. Die SEC konkretisiert damit ihre bisherige Auslegungshilfe aus dem Jahr 2011.

Abgrenzung zu Informationspflichten bei Datenschutzverletzungen nach der DSGVO

Die von der SEC kontrollierte Pflicht zur Offenlegung von Cyber Security-Vorfällen besteht parallel zu Informationspflichten gegenüber Aufsichtsbehörden und betroffenen Personen nach Art. 33 und Art. 34 DSGVO. Sofern Unternehmen (etwa wegen des Marktortprinzips nach Art. 3 Abs. 2 DSGVO) sowohl nach EU- als auch nach US-Recht Pflichten unterliegen, sollten sie ihre Prozesse und Notfallpläne entsprechend ausrichten. Dabei sollten sie auch mögliche Schadensersatzansprüche nach Art. 82 DSGVO nicht übersehen.

Zeitraum für Offenlegung

Die SEC fordert von Unternehmen, dass sie Vorfälle im Zusammenhang mit Hacker- oder sonstigen Cyber-Angriffen “zeitnah” offenlegen. Die SEC räumt den Unternehmen hier einen gewissen zeitlichen Spielraum ein. Denn Unternehmen benötigen im Regelfall einige Zeit, um Vorfälle aufdecken und die richtigen Schlüsse hieraus ziehen zu können. Diese praktischen Schwierigkeiten führen allerdings nicht dazu, dass die Offenlegung von vornherein unterbleiben könnte.

Beurteilungsmaßstab

Unternehmen sind im Allgemeinen nur dann zur Offenlegung verpflichtet, wenn der Vorfall “wesentlich” ist. Nach Ansicht der SEC ist hierbei zu fragen, welche Bedeutung dem Vorfall für das betroffene Unternehmen zukommt. Maßgebliche Kriterien sind hier unter anderem die Art des Vorfalls, dessen Reichweite und der potentielle Schaden für das Unternehmen und Betroffene.

Korrektur der Offenlegung

Nach der Offenlegung kann Unternehmen in Einzelfällen die weitergehende Pflicht treffen, die bisherige Offenlegung zu gegebenenfalls zu korrigieren beziehungsweise zu aktualisieren. Unternehmen sind insbesondere dann zu einer Korrektur verpflichtet, wenn sie erkennen, dass die Offenlegung zunächst unzutreffend oder irreführend war.

Relevanz für viele Unternehmenseben

Cyber Security betrifft viele Unternehmensbereiche, unter anderem auch das Reporting oder die Finanzabteilung. Diese Abteilungen sollten in ihren jeweiligen Planungen und Berichten ebenfalls auf das Thema Cyber Security eingehen. Um potentiellen Angreifer keine unnötigen Anhaltspunkte zu liefern, sollten Unternehmen in diesen Mitteilungen aber keine spezifischen technischen Informationen zu ihren IT-Systemen offenlegen.

Einbindung des Aufsichtsrats

Nach Ansicht der SEC müssen die Unternehmen sicherstellen, dass sie ihren Aufsichtsrat über Vorfälle und Risiken im Bereich der Cyber Security informieren und bei der Problemlösung einbinden. Unternehmen sollten gegenüber ihren Investoren zudem deutlich machen, welche Rolle dem Aufsichtsrat bei dem Thema Cyber Security zukommt.

Fazit

Der neue Leitfaden der SEC enthält keine wesentlichen Neuerungen zu der Auslegungshilfe aus dem Jahr 2011. Unternehmen sind aber dennoch gut beraten, ihre bisherigen Richtlinien und Verfahren auf den Prüfstand zu stellen. Die Unternehmen sollten effiziente Verfahrens- und Verhaltensrichtlinien entwerfen, um sicherstellen zu können, dass sie Vorfälle im Bereich der Cyber Security ihren Investoren gegenüber zeitnah und hinreichend konkret offenlegen können. Gegebenenfalls kann es zweckmäßig sein, die Strukturen für Informationspflichten nach dem US-Recht und der DSGVO aneinander anzugleichen, sofern Unternehmen Pflichten nach beiden Rechtssystemen unterliegen.

Die vollständige Kommunikation der SEC können Sie hier abrufen.

Ausblick

Das Thema Cyber Security wird aller Voraussicht nach sehr dynamisch weiter an Bedeutung gewinnen. Gerade Verbraucheranwälte werden voraussichtlich auch Schadensersatzansprüche nach Art. 82 DSGVO wegen tatsächlichen oder vermuteten Cyber Security Incidents als lukratives Tätigkeitsfeld entdecken und nutzen. Einen Überblick hierzu finden Sie hier.