Zum Hauptinhalt springen

Haftung von Beschäftigten bei Phishing-Mails – ein Fall aus der Praxis

Der Arbeitnehmer einer Mandantin fiel auf eine Phishing-Mail rein, was bei der Mandantin finanziellen Schaden anrichtete.
Wir wurden gefragt, ob der Arbeitnehmer den Schaden ersetzen muss.
Gerne möchten wir unsere Überlegungen mit Ihnen teilen:
 
Da die Phishing-Mail eine scheinbar dienstliche Mail war, gelten die Grundsätze zum innerbetrieblichen Schadensausgleich. Der innerbetriebliche Schadensausgleich ist ein viergliedriges Haftungssystem, das im Grundsatz Folgendes besagt:

  • Bei leichter Fahrlässigkeit haften Beschäftigte gar nicht.
  • Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Beschäftigten und Arbeitgeber aufgeteilt. Als Faustformel können Sie sich merken, dass der Schaden bei mittlerer Fahrlässigkeit in der Regel hälftig zwischen Beschäftigten und Arbeitgeber geteilt wird. Je nach den Umständen des Einzelfalls kommt aber auch eine andere Verteilung bzw. Quotelung in Betracht.
  • Bei grober Fahrlässigkeit haften Beschäftigte in der Regel voll.
  • Bei Vorsatz haften Beschäftigte erst recht voll.

Ein wichtiges Kriterium beim innerbetrieblichen Schadensausgleich ist also der Verschuldensgrad. Dieser ist aber nur ein Kriterium bei der Arbeitnehmerhaftung. Ein weiteres ist die Schadenshöhe. Die Rechtsprechung sagt nämlich, dass auch bei mittlerer oder gar grober Fahrlässigkeit eine summenmäßige Haftungsbegrenzung in Betracht kommen kann. Darüber entscheiden wieder die Umstände des Einzelfalls, bei denen folgende Aspekte eine besondere Rolle spielen:

  • Gefahrgeneigtheit der Tätigkeit,
  • evtl. Missverhältnis zwischen Gehalt und Schadenshöhe,
  • Versicherbarkeit der Risiken sowie
  • die persönlichen Verhältnisse der Beschäftigten (Dauer der Betriebszugehörigkeit, Alter, Familienverhältnisse und bisheriges Verhalten). 

In unserem Fall war es so, dass die Phishing-Mail täuschend echt gemacht war. Wir kamen daher zu dem Ergebnis, dass dem Arbeitnehmer vermutlich nur leichte, allenfalls mittlere Fahrlässigkeit vorgeworfen werden kann.
 
Eine Cyber-Versicherung (Stichwort: Versicherbarkeit des Risikos) hatte unsere Mandantin bislang nicht.
Deshalb, und weil es sich um einen sonst guten Mitarbeiter handelte, wurde kein Schadensersatz geltend gemacht.
 
Was lernen wir daraus?
➡ IT-Sicherheit und entsprechende Schulungen der Beschäftigten sind wichtig.
➡ Gute Cyber-Versicherungen sind ebenso wichtig. Idealerweise sollte eine Cyber-Versicherung abgeschlossen werden, die z. B. auch die Kosten für die Wiederherstellung von Daten, Betriebsunterbrechungen, Lösegeldforderungen bei Ransom-Ware-Angriffen, fehlerhaften Überweisungen etc. pp. übernimmt.

Unsere Blogbeiträge gibt es auch als Newsletter. Melden Sie sich hier an und erhalten Sie aktuelle Informationen aus der Welt des Arbeitsrechts kostenfrei in Ihren Posteingang!

  • Erstellt am .