Fast jedes Unternehmen war schon einmal Opfer einer Cyberattacke. Geschieht eine solche, steht nicht nur die Schadensbegrenzung im Fokus – auch die Beschäftigten können auf verschiedenste Weise in den Mittelpunkt rücken.
Angriffsziel Unternehmen
Wie das Bundeskriminalamt in seinem jüngsten „Bundeslagebild Cybercrime“ berichtet, wurde im Jahr 2022 im Durchschnitt täglich mindestens ein deutsches Unternehmen Ziel eines Ransomware-Angriffs. Die Dunkelziffer liegt naturgemäß höher, die verursachten Schäden gehen in die Milliarden. Meist zielt ein Hackerangriff auf eine Lösegeldzahlung ab, nicht selten hat eine Attacke aber auch rein destruktiven Charakter oder dient gar der Betriebsspionage. Die Methoden für Cyberangriffe sind mannigfaltig und entwickeln sich stetig fort. Phishing-Instrumente und Ransomware sind weiterhin die beliebtesten Formen, aber auch Botnetze und Advanced Persistent Threats kommen zum Einsatz, um eine erweiterte oder langwierigere Infiltration zu ermöglichen. Das zentrale Einfallstor ist dabei nicht nur eine veraltete bzw. ungenügende Sicherheitssoftware, häufig ermöglichen auch Beschäftigte durch fahrlässiges Verhalten den Zugriff auf das System. Gerade Phishing-E-Mails sehen immer authentischer aus, weshalb viele Arbeitgeber inzwischen dazu übergehen, intensivere Schulungen anzubieten oder durch Testmails den richtigen Umgang ihrer Mitarbeiter mit dubiosen Nachrichten zu überprüfen.
Meldepflichten
Die Reaktion auf eine Cyberattacke erfordert Schritte auf mehreren Ebenen. Neben der internen Ursachenforschung und dem Versuch, den Angriff selbst wieder zu beenden, haben Unternehmen vor allem datenschutzrechtliche Meldepflichten. Geschieht eine Verletzung des Schutzes persönlicher Daten, die laut EU-Datenschutzgrundverordnung auch im Verlust von Daten liegen kann, muss dies unverzüglich und möglichst innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden – in der Regel dem Landesdatenschutzbeauftragten. Dies gilt nur dann nicht, wenn die Verletzung voraussichtlich nicht oder nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Mitzuteilen sind sowohl die Ergebnisse der Untersuchung des Angriffs als auch die ergriffenen Maßnahmen zur Abhilfe, durch die künftige Datenpannen möglichst ausgeschlossen werden oder wenigstens das Risiko dafür erheblich minimiert wird. Erfolgt die Meldung nicht oder nicht rechtzeitig, droht ein Bußgeld von bis zu 10.000.000 Euro oder von bis zu zweiProzent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Eine Kooperation mit der Aufsichtsbehörde kann dabei oft zu einer Reduzierung des Bußgeldes führen.
Daneben müssen betroffene Personen informiert werden, wenn der Datenverlust voraussichtlich ein hohes Risiko für deren persönliche Rechte und Freiheiten hat. Dies ist etwa dann der Fall, wenn Bankdaten geleakt wurden. Nicht verpflichtend, aber stets sachdienlich ist die Einbindung der Personalabteilung und des Datenschutzbeauftragten, zudem hat der Betriebsrat ein Unterrichtungsrecht. Im Hinblick auf eine schnelle und effektive Reaktion empfiehlt sich präventiv der Abschluss von Betriebsvereinbarungen für den Umgang mit Cyberattacken, in denen Notfallprotokolle, Aufgabenzuweisungen und datenschutzrechtliche Aspekte konkretisiert werden können.
Anzeige
Schadensersatzpflicht des Unternehmens
Bei einem Hackerangriff drohen zunächst Schadensersatzforderungen von Kunden und Geschäftspartnern – neben dem Image- und Vertrauensschaden, der sich mittelbar ebenso wirtschaftlich wie essenziell auswirken kann. Gleichzeitig können sich auch Ansprüche von Arbeitnehmern gegenüber dem Arbeitgeber ergeben.
Ein solcher Anspruch auf Schadensersatz folgt ebenfalls aus der Datenschutzgrundverordnung, die indes eine Haftungsbefreiung ermöglicht, wenn nachgewiesen wird, dass man für die der Datenschutzverletzung zugrunde liegenden Umstände in keiner Weise verantwortlich ist. Ein mögliches Fehlverhalten der Mitarbeiter wird dem Arbeitgeber in diesem Zusammenhang gleichwohl zugerechnet. Eine Befreiung kommt konkret nur in Betracht, wenn alle erforderlichen Sicherungsmaßnahmen gemäß dem geltenden Datenschutzrecht ergriffen wurden. Der Europäische Gerichtshof bestätigte allerdings erst jüngst, dass aus einem unbefugten Zugriff auf Daten und deren Veröffentlichung nicht automatisch folgt, dass keine geeigneten Schutzmaßnahmen getroffen worden sind. Es werde nicht verlangt, dass Vorfälle vollständig verhindert werden, vielmehr müsse die Datenschutzverletzung durch Missachtung des Datenschutzrechts ermöglicht worden sein.
Damit folgt nicht automatisch eine Schadensersatzpflicht des Unternehmens – selbst wenn eine solche auch für immaterielle Schäden wegen des Verlusts der Kontrolle über personenbezogene Daten und der Furcht vor Missbrauch möglich ist, was vor allem einschlägig sein kann, wenn Daten im Darknet auftauchen. Dieses und Kryptowährungen erschweren die Ermittlung der Angreifer und eine Geltendmachung von Schadensersatz gegenüber den wirklichen Verantwortlichen.
Haftung der Arbeitnehmer?
Umgekehrt können Arbeitnehmer schadensersatzpflichtig sein, wenn sie etwa durch das fahrlässige Öffnen eines fragwürdigen E-Mail-Anhangs oder ein unterlassenes Softwareupdate die Cyberattacke ermöglicht haben. Bei einem derartigen Fehler im Zuge der Ausführung der geschuldeten Arbeit finden jedoch die Grundsätze des innerbetrieblichen Schadensausgleichs Anwendung, das heißt, selbst bei grober Fahrlässigkeit wird die Haftung auf drei Monatsgehälter reduziert – was normalerweise in keinem Verhältnis zur Schadenshöhe steht. Dass Arbeitnehmer die Attacke ermöglicht oder gefördert haben, ändert nichts daran. Etwas anders gilt nur, wenn das Fehlverhalten des Mitarbeiters bei der Nutzung der betrieblichen IT für private Zwecke geschieht: In diesem Fall liegt keine betrieblich veranlasste Tätigkeit vor, sodass der Arbeitnehmer – theoretisch – vollständig haftbar ist. In Betracht kommt schließlich eine Schadensersatzpflicht des betrieblichen Datenschutzbeauftragten, wenn dieser etwa der Beratung des Arbeitgebers nicht (ausreichend) nachgekommen ist.
Kündigung bei Fehlverhalten?
Eine „Sanktionierung“ von Arbeitnehmern bei der Möglichmachung eines Hackerangriffs kommt währenddessen auch durch arbeitsrechtliche Schritte in Betracht. Ein leicht fahrlässiges Verhalten wird in der Regel nur eine Abmahnung rechtfertigen, eine fristlose Kündigung kann hingegen angemessen sein, wenn der oder die Betroffene wiederholt und/oder grob fahrlässig handelt, zum Beispiel entgegen aufgestellten Regeln zur Nutzung der digitalen Infrastruktur im Betrieb. Die Einordnung der Fahrlässigkeit muss sich in diesem Kontext auch an der Position des Arbeitnehmers orientieren: Es liegt auf der Hand, dass von IT-Mitarbeitern eher erwartet wird, Hackingversuche zu erkennen. Vor den Arbeitsgerichten kommt es unterdessen oftmals dazu, dass Kündigungen für unwirksam erklärt werden, wenn der technische Sachverhalt eine gewisse Komplexität aufweist – dabei kann die Trennung von einem Beschäftigten gar als Schritt zur künftigen Verhinderung von Datenschutzverstößen angezeigt sein. Das Ergebnis ist die kuriose Situation, dass ein Arbeitnehmer trotz des enormen Vertrauensverlustes weiterbeschäftigt werden muss. Der Arbeitgeber kann sich dann nur noch durch eine Abfindung von dem „Dilemma“ freikaufen.
Cyberattacken auf Unternehmen können somit letztlich sowohl zu Schadensersatzansprüchen der eigenen Arbeitnehmer gegen den Arbeitgeber führen als auch umgekehrt – zumindest in der Theorie. Ein Unternehmen haftet lediglich dann nicht, wenn es alle seine datenschutzrechtlichen Pflichten erfüllt hat. Dies bedeutet vor allem, Schutzsoftware und Firewalls auf neustem Stand zu halten. Ermöglicht oder erleichtert ein Arbeitnehmer einen Hackerangriff, kann umgekehrt auch dieser schadensersatzpflichtig sein; allerdings greifen in der Regel die allgemeinen Haftungserleichterungen. Schließlich sind arbeitsrechtliche Reaktionen möglich, auch wenn sie nicht immer leicht durchzusetzen sind.
—————————————-
Gastautoren: Axel Braun, Rechtsanwalt, Fachanwalt für Arbeitsrecht und Partner,
Dr. Christoph Corzelius, Rechtsanwalt, Luther Rechtsanwaltsgesellschaft, Köln
Gastautoren: Axel Braun, Rechtsanwalt, Fachanwalt für Arbeitsrecht und Partner,
Dr. Christoph Corzelius, Rechtsanwalt, Luther Rechtsanwaltsgesellschaft, Köln
Dieser Artikel erschien in der Ausgabe DIE WIRTSCHAFT 03 / 2024
