Haftung der Mitarbeiter bei Schäden durch Cybercrime
Viele Dinge, die man später bereut, können im Bruchteil von Augenblicken passieren. Im Zeitalter der Cyberkriminalität gehört leider auch ein unbedarfter Klick dazu, der schwerwiegende, oft weitreichende Folgen haben kann.
Es ist nicht neu, dass Kriminelle oder Menschen mit zu viel Freizeit versuchen, über das Internet Schaden anzurichten bzw. sich selbst Vorteile zu verschaffen. Die Bandbreite reicht dabei von der Übermittlung von Viren, die Daten sammeln bis zur Sperre ganzer Computersysteme und damit verbundenen Lösegeldforderungen.
Die Gefahr kommt von außen
Gerade wenn Unternehmen betroffen sind, kann es schnell zu ernstzunehmenden Schäden kommen. Typischerweise gelangt Schadsoftware von außen in das System. Sie muss sohin „eingeschleppt“ werden. In der letzten Zeit erfolgte dies häufig in der Form von Anhängen an E-Mails, die an die offizielle Adresse des Unternehmens bzw. direkt an Mitarbeiter des Unternehmens gesendet wurden.
Was aber tun, wenn man als Mitarbeiter ein E-Mail mit Schadsoftware öffnet und dadurch der Schadsoftware das Eindringen in das System ermöglicht, wodurch ein Schaden für den Arbeitgeber entsteht?
Regelung der Dienstnehmerhaftung
Die Haftung des Dienstnehmers gegenüber dem Arbeitgeber ist in Österreich im Dienstnehmerhaftpflichtgesetz (DHG) geregelt. Das DHG findet Anwendung auf sämtliche Mitarbeiter, wobei leitende Angestellte ausgeschlossen sind. Das DHG beschränkt unter gewissen Voraussetzungen die Haftung des Mitarbeiters bzw. schließt diese sogar zur Gänze aus. Maßstab dafür ist immer der Grad des Verschuldens, der dem Mitarbeiter anzulasten ist. Ist dem Mitarbeiter lediglich eine entschuldbare Fehlleistung vorzuwerfen, so haftet er seinem Arbeitgeber nicht für den dadurch entstandenen Schaden. Handelt er leicht fahrlässig, so haftet er zwar, das Gericht kann seine Schadenersatzpflicht jedoch mäßigen bzw. zur Gänze entfallen lassen. Handelt ein Mitarbeiter grob fahrlässig, so kann seine Schadenersatzverpflichtung ebenfalls gemäßigt werden, jedoch nicht zur Gänze entfallen. Ein Mitarbeiter, der seinem Arbeitgeber vorsätzlich einen Schaden zufügt, kommt nicht in den Genuss des sog. richterlichen Mäßigungsrechts und hat den gesamten Schaden zu ersetzen. Was in der Theorie relativ einfach klingt, ist natürlich in der Praxis immer anhand des jeweiligen Einzelfalls zu beurteilen.
Unterscheidung in der Praxis
Ein Mitarbeiter in einem Unternehmen, das bisher nicht Ziel eines Cyberangriffs war und auch keine besonderen Vorkehrungen dafür getroffen hat (z.B. Schulung der Mitarbeiter), der ein E-Mail von einem vermeintlichen Kunden bzw. den Mailanhang öffnet, wird wohl lediglich eine entschuldbare Fehlleistung zu verantworten haben. Öffnet derselbe Mitarbeiter trotz Schulungen seines Arbeitsgebers und nach mehrfachen Cyberangriffen unbedarft ein E-Mail von einer ihm unbekannten und suspekt erscheinenden Mailadresse mit einem ihm unbekannten Betreff, so könnte ihm das bereits als grob fahrlässig angelastet werden.
Bei der Beurteilung des Verschuldens, kommt es daher immer auf die jeweiligen Umstände des Einzelfalls an. Wurden die Mitarbeiter vom Unternehmen hinsichtlich der Gefahr von Cyberangriffen sensibilisiert, gab es bisher schon Attacken, gibt es klare Vorgaben des Unternehmens zum Umgang mit E-Mails unbekannter Absender, sind die Mails verdächtig, etc.?
Problematisch ist es, wenn ein Mitarbeiter trotz gegenteiliger Anweisung seine private Mailkorrespondenz an seinem Arbeitsplatz erledigt und damit Einfallstor für Schadsoftware wird. Abgesehen davon, dass ihm dies bereits als grob fahrlässiges Verhalten angelastet werden könnte, kann es auch arbeitsrechtliche Konsequenzen nach sich ziehen.
Arbeitgeber und -nehmer sind gefordert
Im Allgemeinen gilt daher für Arbeitnehmer, dass diese entsprechende Vorsicht beim Umgang mit E-Mails walten lassen sollten. Arbeitgeber hingegen sollten klare Vorgaben zum Umgang mit E-Mails machen und ihre Mitarbeiter hinsichtlich der Gefahren von Schadsoftware sensibilisieren.
Jedes Unternehmen muss sich überlegen, welche Sicherheitsvorkehrungen es treffen kann bzw. treffen muss, um sich zu schützen. Ist es dennoch zu einem erfolgreichen Angriff gekommen, so kann bei jeder Polizeidienststelle in Österreich Anzeige erstattet werden. Zusätzlich dazu können sich Betroffene an die Meldestelle für Internetkriminalität beim Bundesministerium für Inneres wenden (against-cyberkrime@bmi.gv.at), welche Hilfe und entsprechende Informationen bietet.
Meldepflicht nicht vergessen!
Wenn es im Zuge eines Angriffes zu einem Datenleck kommt, also z.B. Kundendaten gestohlen werden, so liegt ein „data breach“ im Sinne der DSGVO vor, welcher eine Meldepflicht des vom Angriff betroffenen Unternehmens an die Aufsichtsbehörde auslöst. Diese Meldung hat binnen 72 Stunden nach Bekanntwerden des „data breach“ zu erfolgen. Auch eine Benachrichtigung der betroffenen Kunden ist durchzuführen.
Bedenkt man die Folgen, die ein unbedarfter Klick haben kann, ist es vielleicht doch besser, auf eine Erbschaft aus Nigeria, günstige Potenzmittel oder Nacktbilder zu verzichten.
So schnell sich die Sicherheitstechnik entwickelt, so schnell entwickeln sich auch die Möglichkeiten von Cyberkriminellen. Eine hundertprozentige Sicherheit gibt es nicht, eine entsprechende Versicherung kann allerdings helfen, die schlimmsten Folgen abzumildern.
Quellen:
§ 2 Dienstnehmerhaftpflichtgesetz (DHG),
Bundesministerium für Inneres (https://bundeskriminalamt.at/306/)
Art 33 u. Art 34 DSGVO