CK • Washington.   Eine Fünfpersonenbank wurde trotz Sicherheits­vor­keh­run­gen ein Trojaneropfer. Nachts erfolgten zwei Über­weisungen vom Bankrech­ner nach Polen, von denen die Zentralbank eine aufhalten konnte. Wegen der zwei­ten wandte sie sich an ihren Versicherer, der Deckungsschutz für den Hackeran­griff als unversichertes Risiko verweigerte. In State Bank of Bellingham v. Banc­In­su­re Inc. erfährt der Leser mehr über die Police und Haftungs­aus­schlüs­se für IT-Risiken.

Das Bundesberufungsgericht des achten Bezirks der USA in St. Louis prüfte die Klage wegen Vertragsverletzung und die Widerklage auf Feststellung des Haf­tungs­ausschlusses, der fehlenden Mitwirkung und der böswilligen Meldung beim Versicherungsaufsichtsamt im Wirtschaftsministerium von Minnesota. Die Revision bestätigte am 20. Mai 2016 die Forderung der Bank und wies die An­sprüche der Versicherung ab.

Die Entscheidungsbegründung setzt sich detailliert mit dem Konzept der paral­lelen Kausalität auseinander, die vertraglich, doch hier nicht wirksam, abbe­dun­gen werden kann. Selbst wenn eine gut gesicherte Rechneranlage der Aus­gangs­punkt der Überweisungen war und unter den Ausschluss von IT-Risiken fiel, zumal eine Angestellte einen Dongle über Nacht im Rechner vergaß, war der vorrangige, direkte Grund für den Ein­tritt der Versicherungsfalls die Straf­tat eines Hackers, die nicht vorhersehbare Folgen auslöste:

Even if the employees' negligent actions "played an essential role" in the loss and those actions created a risk of intrusion into Bel­ling­ham's computer system by a malicious and larcenous virus, the in­trusion and the ensuing loss of bank funds was not "certain" or "in­evi­table." The "overriding cause" of the loss Bellingham suffered re­mains the criminal activity of a third party. AaO 10.

CK • Washington.   Das bombastisch Defend Trade Secrets Act genannte Gesetz regelt erstmals den Schutz von Geschäftsgeheimnissen im Bundesrecht. Ein­zel­staatliches Recht will der Act nicht aushebeln, doch erlaubt er nun Klagen auch in Bundesgerichten. Eine sofortige Auswirkung betrifft Arbeitsverhältnisse. Ar­beit­geber müssen ihre Arbeitnehmer auf ein Whistle-Blower-Recht hin­wei­sen. Eine neue Haftungsbefreiung gilt nun beim Verrat von Trade Secrets durch ih­re Offenlegung gegenüber staatlichen Stellen. Diese Pflicht ist mit gesetz­li­chen Nachteilen für Unternehmen verbunden:

Notice.-
(A) In general
An employer shall provide notice of the immunity set forth in this sub­section in any contract or agreement with an employee that go­verns the use of a trade secret or other confidential information.
(B) Policy document
An employer shall be considered to be in compliance with the no­tice requirement … if the employer provides a cross-reference to a policy document provided to the employee that sets forth the em­ploy­er's reporting policy for a suspected violation of law.
(C) Non-compliance
If an employer does not comply with the notice requirement in sub­paragraph (A), the employer may not be awarded exemplary da­ma­ges or attorney fees … in an action against an employee to whom no­tice was not provided.
(D) Applicability
This paragraph shall apply to contracts and agreements that are en­ter­ed into or updated after the date of enactment of this subsec­tion.

Besondere Aufmerksamkeit ist nun beim Entwurf von Non-Disclosure Agree­ments und Confidentiality Agreements den materiellen und prozes­su­alen Re­gelungen des DTSA zu widmen, allerdings nicht mit demselben Zeit­druck wie bei den arbeitsrechtlichen Paragrafen. Das Verhältnis vom Bundesgesetz zu den einzelstaatlichen Regelungen über Geschäftsgeheimnisse, wie dem weithin ge­folgten Uniform Trade Secret Act, und dem Common Law Trade Secret-Schutz wird sich über die Rechtsprechung der kommenden Jahre klären.