Ist ein Unternehmen Opfer eines erfolgreichen Cybercrime-Angriffes geworden, kommt regelmäßig etwas später die Frage auf, wer für den Schaden haftet. Die wissenschaftliche Antwort hierauf, nämlich der Täter, der die „unerlaubte Handlung“ begangen hat, hilft in der Praxis nicht. Der Täter ist entweder nicht zu ermitteln oder hat kein nennenswertes Vermögen, das man pfänden könnte.
Mögliche Anspruchsgegner
Gibt es keine Cyber-Versicherung, muss ein sekundärer Schuldiger her. Denkbar sind hier IT-Dienstleister, die die Aufgaben eines externen Administrators übernommen haben, leitende Mitarbeiter oder Organe eines Unternehmens, die im Vorfeld keine ausreichenden Sicherheitsmaßnahmen ergriffen und so den Angriff erst ermöglicht haben. Ein Schadensersatzanspruch setzt aber regelmäßig eine schuldhafte Pflichtverletzung voraus. Derjenige, der haften soll, muss also eine Pflicht gehabt haben, etwas zu tun, und er muss „geschludert“, also nicht mit genügender Sorgfalt, gearbeitet haben.
Häufige Ursachen
Häufige Ursachen dafür, dass Cybercrime-Angriffe erfolgreich sind oder der eingetretene Schaden größer ist, als er vielleicht sein müsste sind a) unbedarftes Verhalten im Umgang mit E-Mails ungewissen Inhalts oder Herkunft, b) fehlerhafte Konfiguration der IT-Systeme c) aktuelle Sicherheitsupdates sind nicht eingespielt oder eine Schutzsoftware ist nicht installiert, d) allgemeine Sicherheitsvorgaben wurden missachtet und e) es gibt kein Backup des Systems, das Backup ist nicht vollständig oder es ist fehlerhaft, so dass eine Wiederherstellung aus dem Backup nicht möglich ist.
Die Fallkonstellation a) lässt sich für die Begründung von Schadensersatzansprüchen meist nur dann fruchtbar machen, wenn es seitens des Arbeitgebers konkrete Vorgaben zum Umgang mit E-Mails unbekannter Herkunft gibt und der Arbeitgeber darüber hinaus selbst eigene Sicherungsmaßnahmen, wie einen Virenschutz, ergriffen hat.
Leichter wird dies, wenn im Nachhinein eine fehlerhafte Konfiguration des IT-Systems festgestellt wird, durch die die Angreifer in das Unternehmen eindringen konnten. Ist es anerkannt, dass bestimmte Ports geschlossen werden oder eine bestimmte Berechtigungsstruktur eingeführt wird, wurde dies aber entgegen der geltenden Standards nicht umgesetzt, lässt sich eine Pflichtverletzung für IT-Administratoren begründen. Der angestellte IT-Administrator wird, wie alle Arbeitnehmer, privilegiert. Eine Haftung bei ihm kommt nur ab besonders groben Verstößen in Betracht. Anders verhält es sich bei externen IT-Dienstleistern. Diese haften bereits für jede fahrlässige Pflichtverletzung. Allerdings haften sie auch nur dann, wenn ihnen vom jeweiligen Dienstleistungsvertrag her tatsächlich diese Aufgabe übertragen wurde. Die Leistungsverzeichnisse in solchen Verträgen sind meist sehr grob gefasst, so dass sich aus ihnen nicht immer sicher ergibt, ob die Einrichtung und vollständige Konfiguration tatsächlich auch zum Leistungssoll des Dienstleisters gehörte.
Gleiches gilt für Variante c), den nicht eingespielten Sicherheitsupdates. Bei Variante e), der Backupproblematik, kommt es darauf an, ob dem IT-Dienstleister tatsächlich die Überwachung des Backupvorgangs übertragen oder dies vom Auftraggeber-Unternehmen selbst übernommen wurde. Dann hätte spätestens nach ein paar Sicherungsläufen auffallen müssen, dass das Backup nicht so erstellt wird wie gewollt. Der Auftraggeber muss sich dann ein Mitverschulden anrechnen lassen, was den Schadensersatz mindert.
Einfallstor Mitarbeiter-PC im Homeoffice
Die Fallvariante d), die Missachtung von Sicherheitsvorgaben, hat mit dem zunehmenden Anteil von mobilem Arbeiten bzw. Homeoffice in der Covid-19-Pandemie an Relevanz gewonnen. Hier stellt sich besonders die Frage, ob der Mitarbeiter für einen Cyber-Schaden haften muss, der über seine IT-Infrastruktur in das Unternehmen gelangte.
Wie im Betrieb gelten aber auch hier die vom Bundesarbeitsgericht entwickelten Grundsätze über die Haftungsprivilegierung eines Arbeitnehmers. Stark verkürzt bedeutet das: Den Arbeitnehmer trifft bei leichter Fahrlässigkeit keine Haftung. Beispiel: Der Arbeitnehmer löscht versehentlich Daten. Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitnehmer und Arbeitgeber geteilt. Beispiel: Der Arbeitnehmer öffnet entgegen einer Warnung der IT Abteilung an seinem Dienstlaptop den Anhang einer E-Mail mit unbekanntem Absender. Ein Trojaner befällt das IT Netzwerk des Arbeitgebers. Wenn er sich an die Anweisungen gehalten hätte, hätte der Schaden vermieden werden können. Allerdings hatte der Arbeitgeber versäumt, einen Virenschutz zu installieren.
In Fällen grober Fahrlässigkeit trägt der Arbeitnehmer den Schaden in der Regel voll. Beispiel: Der Arbeitnehmer spielt entgegen der Weisung kostenlose Software aus dem Internet auf den Dienst-PC. Diese Software enthält Schadcode, der das Unternehmensnetzwerk befällt..
Diese eingeschränkte Arbeitnehmerhaftung greift (nur) bei Tätigkeiten, die der Arbeitnehmer im betrieblichen Interesse des Arbeitgebers ausführt. Das hat vor allem Bedeutung für die dienstliche oder private Nutzung unternehmenseigener Hardware: Bei einer Privatnutzung kann die Haftung nur beschränkt werden, wenn es sich um eine erlaubte Privatnutzung handelt. Ist die Privatnutzung verboten, haftet der Arbeitnehmer unbeschränkt. Der Arbeitnehmer haftet daher voll, wenn er verbotenerweise den dienstlichen E-Mail-Account zu privaten Zwecken nutzt und dadurch Viren in das Unternehmensnetzwerk gelangen. Für die Praxis empfiehlt es sich daher dringend, vertragliche Haftungsvereinbarungen zu treffen und Regelungen zur Privatnutzung vorzusehen, um Klarheit zu schaffen.
Datenschutzrechtliche Haftung
Auch im Home-Office bleibt der Arbeitgeber datenschutzrechtlich Verantwortlicher und muss für die Umsetzung datenschutzrechtlicher Vorgaben Sorge tragen. Er hat die Verpflichtung, alle technischen und organisatorischen Maßnahmen zu ergreifen, die für den Datenschutz erforderlich sind, zumal ein Datenmissbrauch oder eine unbefugte Einsichtnahme Dritter bei der Arbeit außerhalb des Betriebs leichter möglich ist. Das Unternehmen haftet seinen Vertragspartnern für Datenschutzverstöße, die in seinem Verantwortungsbereich auftreten.
Um die datenschutz- und arbeitsrechtlichen Anforderungen an eine rechtskonforme Nutzung des Home-Office zu ermöglichen, sollte – flankierend zu den technisch sinnvollen und aus Gründen der IT-Sicherheit notwendigen technischen Maßnahmen – eine „Home-Office-Richtlinie“ vereinbart werden, die den Umgang mit sensiblen Daten, Haftungsfragen und Nutzungsregelungen für Hardware zum Gegenstand hat.
Jens Stanger, Rechtsanwalt, Fachanwalt für IT-Recht
Roberta Meyer, Rechtsanwältin, Fachanwältin für Arbeitsrecht
Appelhagen Rechtsanwälte Steuerberater PartGmbB
Wir freuen uns, wenn Sie mir Ihrem Beitrag das AGV WissensNetz weiter wachsen lassen. Um im „Expertenrat" veröffentlicht zu werden, muss der Beitrag, das Video oder der Podcast einen echten Mehrwert für den Nutzer bieten. Kontaktieren Sie uns gerne, mit unsere AGV Service- und Beratungsgesellschaft stehen wir auch für die Aufzeichnung von Bild und Ton zur Verfügung.
Themen Einreichen