Ja, Sie können auf verschiedene Weise auf Cash App betrogen werden, einschließlich Cash Flipping, versehentliche Zahlungen und Phishing-Nachrichten. Cash App-Betrügereien sind schädlich, da sie Sie um
Unternehmen werden immer öfter für Verletzungen des Schutzes von Mitarbeiterdaten zur Rechenschaft gezogen. Arbeitgeber können jedoch Maßnahmen ergreifen, um das Risiko und die Folgen von Datenschutzverletzungen zu verringern.
Alle Unternehmen, die ein elektronisches Lohn- und Gehaltsabrechnungssystem verwenden, speichern und verarbeiten sensible Mitarbeiterdaten. Das gilt heute für fast jedes Unternehmen. Ein Cyberangriff, bei dem Mitarbeiterdaten kompromittiert werden, birgt viele Risiken, darunter gesetzliche Haftung, Betriebsunterbrechungen und Rufschädigung.
Was versteht man unter Haftung des Arbeitgebers?
Die Haftung des Arbeitgebers ist die rechtliche Verantwortung eines Unternehmens, Gesetze und Vorschriften einzuhalten. Die Haftung des Arbeitgebers gilt in der Regel für Aspekte wie Löhne, Lohnsteuern, Belästigung und Diskriminierung.
Beispielsweise können Mitarbeiter ihren Arbeitgeber verklagen, wenn das Unternehmen ein unsicheres oder feindliches Arbeitsumfeld fördert. Das Unternehmen müsste Schadensersatz zahlen, wenn das Gericht zugunsten der Mitarbeiter entscheidet.
Was bedeutet Haftung des Arbeitgebers in Bezug auf Cybersicherheit?
Mit Blick auf Cybersicherheit sind Unternehmen im Rahmen der Haftung des Arbeitgebers dazu verpflichtet, die personenbezogenen Daten (PII) von Mitarbeitern zu schützen. Was PII-Daten sind, variiert je nach Rechtsprechung. Im Allgemeinen ist es sinnvoll, alle Daten aus den Bereichen Personalwesen und Buchhaltung als personenbezogene Daten zu betrachten.
Gängige Arten personenbezogener Daten von Mitarbeitern sind:
- Sozialversicherungsnummern (SSNs)
- Führerscheine
- Pässe
- Steuer-Identifikationsnummern
- Privatadressen
- Persönliche Finanzdaten (wie Gehalt oder Aktienkapital), Bankkonten und Kredit-/Debitkarten
- Medizinische Akten
- E-Mail-Adressen und Telefonnummern
Die Haftung des Arbeitgebers wächst
Vieles von dem, was unter personenbezogene Daten von Mitarbeitern fällt, ist das Gleiche wie bei personenbezogenen Daten von Kunden. Bis vor Kurzem ging es bei vielen der gegen Unternehmen nach einem Datenleck eingereichten Klagen um die Offenlegung von Kundendaten.
Sammelklagen, in denen Arbeitgebern Fahrlässigkeit, Vertragsbruch oder unfaire Geschäftspraktiken gegenüber Mitarbeitern vorgeworfen werden, kommen immer häufiger vor Gericht und bringen Arbeitgeber in Zugzwang. Seit der Pennsylvania Supreme Court im November 2018 entschied, dass Arbeitgeber nach dem Common Law dazu verpflichtet sind, die personenbezogenen Daten ihrer Mitarbeiter zu schützen, sind diesem Beispiel Gerichte auf Bundes-, Landes- und lokaler Ebene gefolgt.
Besonders wichtig ist: Wenn Mitarbeiterdaten kompromittiert werden, haften Arbeitgeber dafür – nicht Drittanbieter.
In einem Verfahren, das von einem ehemaligen Mitarbeiter eines biopharmazeutischen Unternehmens angestrengt wurde, befand das Berufungsgericht der Vereinigten Staaten im Dritten Bezirk, dass es reicht, wenn ein Datenleck ein potenzielles Risiko darstellt, um einen Arbeitgeber haftbar zu machen. Als die Gehaltsabrechnungssoftware des Biopharma-Unternehmens Daten offenlegte, wurde für die Preisgabe der Mitarbeiterdaten im Darknet der Arbeitgeber haftbar gemacht, nicht das Softwareunternehmen.
Schutz von Mitarbeiterdaten
Datenschutzbestimmungen, die weltweit Standards setzen, wie der California Consumer Privacy Act (CCPA) und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, enthalten ebenfalls Bestimmungen, die Arbeitgeber dazu verpflichten, die Privatsphäre von Mitarbeiterdaten genauso streng zu schützen wie Kundendaten.
Gemäß der DSGVO müssen Unternehmen für das Sammeln, Speichern und Verwenden von Mitarbeiterdaten eine freiwillige und klare Einwilligung einholen. Außerdem müssen sie zum Beispiel erklären, wie HR-Daten verwendet werden.
Wie sieht es mit der Haftung des Arbeitgebers nach einem Cyberangriff aus?
CommonSpirit Health, einer der größten Gesundheitsdienstleister in den Vereinigten Staaten, wurde im Oktober 2022 Opfer eines Ransomware-Angriffs, der mehr als 623.000 Personen betraf. Die Krankenhauskette schaltete das befallene System, das das elektronische Zeiterfassungs- und Gehaltsabrechnungssystem umfasste, ab, um weitere Schäden in der IT-Umgebung zu verhindern. Dem Unternehmen entstand durch den Angriff ein Verlust von 150 Mio. US-Dollar.
Nachdem man die Systeme wieder in Betrieb genommen hatte, berichteten Pflegekräfte an verschiedenen Standorten in Oregon, dass sie in den Zahlungsperioden nach dem Angriff zu wenig Lohn erhielten. In einem laufenden Verfahren verlangt die Gewerkschaft, die die Mitarbeiter an den betroffenen Standorten der Kette in Oregon vertritt, für über 600 Mitarbeiter Schadensersatz in Höhe von 1,5 Mio. US-Dollar wegen nicht bezahlter Löhne, verspäteter Zahlungen und anderer Schäden.
Während diese Klage darauf abzielt, Entschädigungen für unbezahlte Löhne einzufordern, gibt es andere Klagen von Mitarbeitern, deren Daten bei einem Angriff gestohlen wurden. Sie fordern Schadensersatz für das erhöhte Risiko oder das Auftreten von Identitätsdiebstahl.
Zu den aufsehenerregendsten Klagen in jüngster Zeit, bei denen die Haftung des Arbeitgebers nach einem Cyberangriff geltend gemacht wurde, gehören:
- Five Guys – Offenlegung der Sozialversicherungsnummern und Führerscheine von Stellenbewerbern
- San Francisco 49ers – Diebstahl von Namen, Geburtsdaten und Sozialversicherungsnummern der Mitarbeiter
- Macmillan – Ransomware-Angriff, der zur Offenlegung von Mitarbeiterdaten im Darknet und Identitätsdiebstahl führte
Die geschäftlichen Auswirkungen eines Cyberangriffs
Wie im Fall der Sicherheitsverletzung bei CommonSpirit wirken sich Cyberangriffe auf Unternehmen in vielen verschiedenen Bereichen aus.
- Gesetzliche Haftung – Unternehmen können nach einem Datenleck, von dem Mitarbeiterdaten betroffen sind, schadensersatzpflichtig sein. Zu den Schäden können Kosten für den Ersatz von Kredit- oder Debitkarten, Ausgaben für Überwachungsberichte und andere Kosten gehören, die mit emotionalem Stress durch das Risiko von Identitätsdiebstahl zusammenhängen.
- Behördliche Geldbußen – Behörden können Unternehmen Geldbußen auferlegen, darunter für Verletzungen oder das Versäumnis, eine Verletzung gegenüber betroffenen Parteien zu offenbaren.
- Rufschädigung – Rufschädigung kann das Kundenvertrauen und Geschäftsergebnisse nachhaltig beeinträchtigen. Ein beschädigter Ruf in der Öffentlichkeit kann langfristig die Gesundheit eines Unternehmens gefährden.
- Ausfall, Wiederherstellung und Überholung von IT-Systemen – Auch wenn das FBI davon abrät, bezahlen viele Unternehmen Lösegeld, um den Zugriff auf ihre Umgebung wiederzuerlangen. In den meisten Fällen müssen Unternehmen nach einer Verletzung jene IT-Systeme, die Mitarbeiter- und andere sensible Daten verarbeiten, modifizieren, ersetzen oder aufrüsten, was die Forensik- und Wiederherstellungskosten weiter erhöht.
So lässt sich die Haftung des Arbeitgebers im Falle eines Cyberangriffs reduzieren
Die Haftung des Arbeitgebers und die Einhaltung von Datenschutzbestimmungen erhöhen das Risiko und die Kosten der ohnehin schon hohen Kosten für die Reaktion auf einen Cyberangriff noch zusätzlich.
Laut dem US Cybersecurity Census 2022 von Keeper muss ein durchschnittliches US-Unternehmen jedes Jahr drei Cyberangriffe abwehren. Die durchschnittlichen Kosten übersteigen 75.000 US-Dollar, wobei 37 % der Unternehmen 100.000 US-Dollar oder mehr pro Cyberangriff ausgeben mussten. Für kleine bis mittelgroße Unternehmen können solche Ausgaben fatal sein.
Arbeitgeber können ihre Haftung bei einem Cyberangriff auf Mitarbeiterdaten verringern, indem sie sicherstellen, dass sie auf folgende Weise abgesichert sind:
- Schulungen zum Thema Cybersicherheit – Wenn Mitarbeiter einen verdächtigen Link oder Anhang erkennen können, tragen sie dazu bei, ihren Arbeitgeber zu schützen. Mitarbeiterschulungen zu häufigen Anzeichen von Phishing oder Ransomware schützen Mitarbeiter und Unternehmen davor, Opfer von Angriffen zu werden.
- Datenschutzerklärung für Mitarbeiter – In Manchen Gegenden kann eine Datenschutzerklärung für Daten von Mitarbeitern gesetzlich vorgeschrieben sein. In Datenschutzerklärungen für Mitarbeiter wird erläutert, wie Mitarbeiterdaten gesammelt, gespeichert und verwendet werden.
- Verwendung starker Passwörter – Über 80 % der Datenschutzverletzungen sind auf schwache, gestohlene oder wiederverwendete Passwörter zurückzuführen. Wenn Sie Mitarbeitern die Möglichkeit geben, starke, zufällige Passwörter zu erstellen und zu speichern, können Sie die häufigste Ursache für Datenschutzverletzungen vermeiden.
- Berechtigungsverwaltung – Mit einer Lösung zur Verwaltung von Berechtigungen können Unternehmen Berechtigungen für kritische Konten verwalten und deren Nutzung überwachen, was das Risiko unbefugter Zugriffe auf sensible Daten verringert.
- Sicherheit bei Zulieferern – Sie sollten wissen, dass Arbeitgeber für Datenschutzverletzungen haftbar sind, bei denen Zulieferer, nicht Dritte, Daten offenlegen. Die Sicherheit bei Zulieferern ist entscheidend für den Aufbau einer starken IT-Umgebung.
- Reaktionsplan für Vorfälle – Ein Reaktionsplan für Vorfälle, in dem die Verantwortlichkeiten für kritische Aufgaben wie Systemforensik, Datenwiederherstellung und strategische Kommunikation klar definiert sind, sollte die Haftung und die allgemeinen Folgen einer Datenschutzverletzung für einen betroffenen Arbeitgeber verringern.
- Cyberversicherung – Eine Cyberversicherung kann die Folgen einer Verletzung mindern, indem sie Unternehmen dabei hilft, ihr Risiko zu verringern, und die Ausgaben für Gegenmaßnahmen übernimmt. Für Unternehmen mit geringer IT-Reife, die ein erhöhtes Risiko haben, Opfer einer Verletzung zu werden, bieten viele Cyberversicherungspolicen eine Bewertung der Bereitschaft an, um Sicherheitspraktiken und Mitarbeiterschulungsprogramme zu verbessern.
Haftung des Arbeitgebers und Privileged Access Management
Arbeitgeber können Haftung und Risiken minimieren, indem sie den Zugriff auf sensible Konten und Daten verwalten und überwachen.
Keeper Privileged Access Manager (KeeperPAM) dient dazu, perimeterlose Multi-Cloud-Umgebungen vor Cyberangriffen zu schützen. KeeperPAM ist eine einfache Plattform für die Verwaltung von Passwörtern, Geheimnissen und privilegierten Verbindungen und ermöglicht es Unternehmen, ihre Angriffsfläche kosteneffektiv zu reduzieren und Mitarbeiter und Geräte zu schützen.