Haftungsfalle Cyberattacke: Wann können Beschäftigte in Regress genommen werden?

Technische Sicherheitsmaßnahmen zum Schutz vor Cyberattacken funktionieren nur so gut, wie sich auch die Beschäftigten an konkrete und verbindliche Vorgaben des Unternehmens zur Nutzung der IT halten. Welche Konsequenzen drohen Beschäftigten, wenn sie sich – unbewusst oder sogar vorsätzlich – nicht an diese Vorgaben halten? Und wann kann das Unternehmen sie gegebenenfalls haftbar machen?

„Kann nachgewiesen werden, dass die Unachtsamkeit eines Mitarbeiters die Cyberattacke ermöglicht hat, kann dies arbeitsrechtliche Konsequenzen bis hin zur Kündigung nach sich ziehen“, warnt Bernd Pirpamer, Partner der Kanzlei Eversheds Sutherland in München. „Die genauen Konsequenzen hängen von den Umständen des Einzelfalls ab.“ Ein wesentlicher Aspekt sei, ob dem Beschäftigten die konkret notwendigen Schutzmaßnahmen bekannt sind und ausreichend vermittelt wurden, erläutert der Arbeitsrechtler. Denn letztendlich stellt der Arbeitgeber die IT-Organisation zur Verfügung, und er sollte die Beschäftigten nachweislich über die „Dos & Don'ts“ im Umgang mit Mobiltelefonen, Internet, E-Mail und Videokonferenzen geschult haben.

Schweigen verstärkt das Haftungsrisiko

Verschweigt ein Beschäftigter, der beispielsweise eine Phishing-Mail geöffnet hat, das Problem aus Angst vor Konsequenzen, kann dies die Situation verschlimmern. „Denn in diesem Fall hat der Mitarbeiter einen doppelten Fehler begangen: zum einen die fehlerhafte Nutzung und zum anderen die Verzögerung schneller Schutzmaßnahmen“, so Bernd Pirpamer. Vermeiden lasse sich solch ein Fall nur durch eine gesunde Unternehmenskultur, in der auch der Grundsatz verankert ist: Keine Angst vor Fehlermeldungen! „Denkbar ist auch, ausdrückliche Anreize zu setzen und den Mitarbeiter vor Sanktionen freizustellen, wenn er erkanntes Fehlverhalten unverzüglich meldet“, sagt der Arbeitsrechtler.

Regressansprüche des Unternehmens

Fehlerhafte Nutzungen von IT-Landschaften durch Beschäftigte, die einen Cyberangriff ermöglichen, können im Falle eines Regelverstoßes nicht nur arbeitsrechtliche Sanktionen wie eine Abmahnung oder Kündigung rechtfertigen. Sie können grundsätzlich auch einen Regressanspruch des Unternehmens gegenüber dem Beschäftigten auslösen. „Ob und in welchem Umfang Schadensersatzansprüche bestehen, hängt stark vom Grad des Verschuldens und der Position des Beschäftigten ab“, erläutert der Rechtsanwalt. Bei geringerem Fahrlässigkeitsgrad sei der Beschäftigte vor einer Haftung geschützt. „Bei mittlerer bis grober Fahrlässigkeit und natürlich erst recht bei Vorsatz sind Haftungsansprüche anteilig oder vollständig vertretbar.“

Erhöhte Risiken für Vorgesetzte und Management

Vorgesetzte und das Management unterliegen auch bei Cyberangriffen einem erhöhten Haftungsrisiko. Machen sie selbst einen Fehler, sind sie mit dem Vorwurf einer Pflichtverletzung durch ihr eigenes Handeln konfrontiert. Darüber hinaus kann ihnen ein Organisationsverschulden beziehungsweise die Verletzung der Aufsichtspflicht vorgeworfen werden. „Ansätze hierbei können fehlende oder unzureichende IT-Sicherheitsmaßnahmen und Schulungen sein“, nennt Bernd Pirpamer Beispiele. Er rät dazu, Verhaltens- oder IT-Richtlinien unbedingt um das Thema „Hackerangriffe“ zu erweitern und die Beschäftigten entsprechend zu schulen. Dabei sollte es nicht bei der einen Schulung bleiben. Die Schnelllebigkeit der Weiterentwicklung technischer Fallen verlange es vielmehr, die Beschäftigten regelmäßig up to date zu halten.

Betriebsvereinbarungen ergänzen, Rechte einschränken

Bei der Einführung und Nutzung technischer Einrichtungen, die zur Verhaltens- und Leistungskontrolle im Unternehmen geeignet sind, hat der Betriebsrat ein weitreichendes Mitbestimmungsrecht. Um Cyberangriffe verhindern und nachverfolgen zu können, nimmt der Einsatz entsprechender IT-Tools zu. Weil mit der technikgestützten Analyse auch Verhaltensweisen von Mitarbeitern erfasst werden können, sollten Unternehmen den Umgang mit Cyberangriffen ergänzend in Betriebsvereinbarungen zu IT-Systemen oder zum Datenschutz aufnehmen. Darüber hinaus empfiehlt Arbeitsrechtler Pirpamer Mitarbeitern gezielter und passender Zugriffsrechte auf die IT einräumen. „Selbstverständlich sollte jedem Mitarbeiter das IT-Werkzeug zur Verfügung gestellt werden, das er für die Ausübung seiner Tätigkeit benötigt. Es kann aber ratsam sein, den Zugang zu bestimmten Diensten oder Websites nicht allen Mitarbeitern zu gewähren, um die Zahl der möglichen Einfallstore für Hacker und Datenlecks zu verringern.“

Homeoffice und Gremienarbeit

Besonders die starke Ausbreitung von mobilen Arbeitsmodellen und Home-Office verlangen klare Vereinbarungen über die Nutzung der IT-Infrastruktur. „Gerade Beschäftigte, die remote arbeiten, sind für den sicheren Umgang mit Unternehmensdaten oder personenbezogenen Daten verstärkt zu sensibilisieren“, betont Bernd Pirpamer. Zudem dürften die Vorgaben des Unternehmens auch vor der Gremienarbeit im Unternehmen nicht halt machen. „Die Arbeit in oder zwischen den Betriebsratsgremien, des Wirtschaftsausschusses oder die Zusammenarbeit mit Gewerkschaften können ebenfalls Schwachstellen bei der IT-Sicherheit bedeuten, die geschlossen werden sollten. Sanktionen oder Regressansprüche sind auch gegenüber Betriebsräten oder der Gewerkschaft nicht ausgeschlossen.“

Kurz zusammengefasst

Cyberangriffe können von arbeitsrechtlichen Sanktionen über Haftungs- und Regressrisiken bis hin zu strafrechtlichen Konsequenzen für Beschäftigte, Vorgesetzte, das Management, Betriebsräte und Gewerkschaftsvertreter führen. Neben dem persönlichen Verschulden der handelnden Personen hängt das Haftungsrisiko auch von der Qualität der Sicherheitsorganisation des Unternehmens ab.