Das Cyber-Risiko umfasst alle Risiken, die sich aus der Nutzung von Technologie und den damit verbundenen Daten ergeben können. In den letzten Jahren haben die Cyber-Bedrohungen und -Angriffe in Thailand zugenommen. Berichten zufolge gab es im Königreich allein im vergangenen Jahr 20 Millionen Cyberangriffe. Laut TrendMicro sind die fünf Kategorien, die in Thailand am anfälligsten für Hackerangriffe sind, Finanzdaten, Geschäftskommunikation, Verbraucherdaten, Mitarbeiterdaten sowie Forschungs- und Entwicklungsdaten.
Auf globaler Ebene sind sich die Länder der Auswirkungen von Verstößen gegen die Cybersicherheit auf Länder und Unternehmen bewusst. Es werden Gesetze erlassen, die Geldstrafen für Unternehmen vorsehen, die Daten falsch verwalten oder keine ausreichenden Sicherheitsmaßnahmen ergreifen. Die Allgemeine Datenschutzverordnung („GDPR“) ist ein Paradebeispiel dafür, dass Unternehmen bei der Verwaltung ihrer Nutzerdaten höhere Standards einhalten müssen.
Bis vor kurzem war unklar, inwieweit Geschäftsführer für diese Verstöße haftbar gemacht werden können. Einige Rechtsordnungen haben begonnen, ihre Rechtslage zu klären. Im Vereinigten Königreich, in Kanada, in den USA und in Australien können die Geschäftsführer eines Unternehmens wegen „mangelnder Sorgfalt und Gewissenhaftigkeit“ in Bezug auf Cyber-Risiken persönlich haftbar gemacht werden, wobei die Standards und das Ausmaß der Haftung variieren[1]. Auch in Deutschland können Geschäftsführer haftbar gemacht werden, wenn sie es versäumen, die im Bundesdatenschutzgesetz [2] und im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik [3] vorgeschriebenen technischen und organisatorischen Maßnahmen zu ergreifen.
Im thailändischen Recht sind in verschiedenen Gesetzen spezifische Pflichten der Geschäftsführer im Falle von Cyberangriffen festgelegt. Gesellschaften mit beschränkter Haftung unterliegen dem Zivil- und Handelsgesetzbuch („CCC“). Die Direktoren einer Gesellschaft mit beschränkter Haftung müssen ihre Geschäfte mit der Sorgfalt eines ordentlichen Geschäftsmannes führen.[4] Sie haben außerdem eine treuhänderische Pflicht und müssen nach Treu und Glauben handeln, um die Interessen des Unternehmens zu wahren, sowie eine allgemeine Sorgfaltspflicht, um verantwortungsvoll und mit der gebotenen Vorsicht zu handeln. Die Direktoren von Aktiengesellschaften sind nach dem Gesetz über Aktiengesellschaften B.E. 2535 (dem „PLCA“) für Verstöße gegen ihre Treuepflichten haftbar. Nach dem Gesetz über die Wertpapier- und Börsenaufsichtsbehörde (Securities and Exchange Commission Act B.E. 2535) in seiner geänderten Fassung (das ‚SEC‘-Gesetz) müssen die Direktoren ihre Pflichten mit Verantwortung, Sorgfalt und Loyalität erfüllen[5].
Bei der Erfüllung dieser Aufgaben müssen die Direktoren für eine solide Sicherheitspolitik sorgen. Dazu gehören die unverzügliche Meldung von Sicherheitsverletzungen, die effiziente Verwaltung von Daten, eine starke Infrastruktur und die Schulung von Mitarbeitern. Als eine erste Komponente von Thailand 4.0, einem Wirtschaftsplan mit Schwerpunkt auf der digitalen Infrastruktur, hat die Regierung Gesetze erlassen, um sich an diese Angriffe und Veränderungen in der digitalen Welt anzupassen. Im Mai 2019 trat das Gesetz zum Schutz personenbezogener Daten (2019) („PDPA“) in Kraft und gibt den einzelnen Nutzern eine gewisse Kontrolle über die Verarbeitung ihrer personenbezogenen Daten. Die Durchsetzung des PDPA wurde jedoch aufgrund von Covid-19 um ein weiteres Jahr verschoben.
In Thailand ist nach dem PDPA der für die Datenverarbeitung Verantwortliche „eine natürliche oder juristische Person, die bestimmt, zu welchen Zwecken und in welcher Weise personenbezogene Daten verarbeitet werden oder werden sollen“. Der für die Datenverarbeitung Verantwortliche ist nach dem PDPA direkt für die Datensicherheit verantwortlich. Das PDPA sieht jedoch auch die Haftung eines Geschäftsführers vor, wenn eine Straftat von einer juristischen Person aufgrund von Anweisungen des Geschäftsführers oder aufgrund des Versäumnisses des Geschäftsführers, angemessene Anweisungen zu erteilen, begangen wird[6].
Das PDPA hat auch eine extraterritoriale Reichweite. In Anbetracht des Ziels der thailändischen Regierung, eine starke digitale Regierungspolitik umzusetzen, müssen sich die Direktoren ihrer Verantwortung und Haftung in Bezug auf Cyberrisiken und -sicherheit bewusst sein.
Thailand hat sich zum Ziel gesetzt, Thailand 4.0 zu entwickeln und umzusetzen und dabei digitale Innovation und Automatisierung zu fördern. Dieses Ziel wird starke Datenkanäle erfordern. Als Teil der Entwicklung der digitalen Infrastruktur im Rahmen dieses Plans wird die Cybersicherheit eines der wichtigsten Elemente für alle an diesem Plan beteiligten Unternehmen sein. Direktoren sollten sich ihrer wachsenden Verantwortung und Haftung in Bezug auf Cyberbedrohungen und die Sicherheit der von ihnen erfassten Daten bewusst sein.
[1] Statutory duties, UK, Companies Act (2006), Canada, Canada Business Corporation Act RSC 1985 (CBCA) – s 239(1), US, Delaware General Corporation Law – s 141(a), Australia, Corporations Act 2001 (Cth) – s 180, in addition to fiduciary duties.
[2] Bundesdatenschutzgesetz, § 62, Auftragsverarbeitung.
[3] Bundessicherheits- und Informationstechnikgesetz, § 8a, Sicherheit in der Informationstechnik Kritischer Infrastrukturen.
[4] CCC, §1168.
[5] SEC Act, §§ 89 VII, 89 VIII, 89 IX.
[6] PDPA, § 81.