Kann ein Arbeitnehmer gegenüber seinem Arbeitgeber haften, wenn durch sein Fehlverhalten Schadsoftware wie etwa Ransomware oder ein Virus installiert werden? Die Rechtsprechung ist durchaus bereit, dies zuzubilligen, wobei es auf den Einzelfall ankommt. Tatsächlich kann für Arbeitnehmer ein erhebliches Haftungsrisiko bestehen.
Im Fall einer angenommenen Haftung des Arbeitnehmer sollen die üblichen Regeln der privilegierten Arbeitnehmerhaftung jedenfalls dann nicht gelten, wenn der Arbeitnehmer entgegen einer Betriebsvereinbarung gehandelt hat:
Wie oben ausgeführt hat der Kläger seine arbeitsvertraglichen Pflichten verletzt, weil er (…) zu privaten Zwecken Software aus dem Internet heruntergeladen und auf dem Dienst-PC installiert hat. Dadurch hat er den Rechner mit Schadsoftware infiziert. Diesen Schaden hat er zumindest fahrlässig verursacht, weil von einem durchschnittlichen Anforderungen entsprechenden Arbeitnehmer erwartet werden kann, dass er die Gefahr kennt, die mit der Installation kostenloser Software aus dem Internet verbunden ist. Der Kläger haftet für den der Beklagten entstandenen Schaden voll. Seine Haftung ist nicht nach den Grundsätzen über die Arbeitnehmerhaftung entsprechend § 254 BGB gemindert, weil die Installation der Software nicht betrieblich veranlasst war.
Landesarbeitsgericht Rheinland-Pfalz, 5 Sa 10/15
In der Praxis zeigt sich, dass Arbeitgeber angesichts der zunehmenden Vorfälle mit erheblichem Schadenseinschlag gut beraten sind, feste und rechtssichere Betriebsvereinbarungen vorzugeben. Mitarbeiter sollten hinsichtlich der Risiken informiert sein.
Cybersicherheit bei uns im Blog
Aufgrund unserer Spezialisierung auf Cybersecurity-Rechtsfragen (RA JF ist zertifizierter Experte für Cybersicherheit, SRH) sowie Managerhaftung beschäftigen wir uns regelmäßig in Beiträgen mit dem IT-Sicherheitsrecht:
- NIS2-Umsetzung in Deutschland 2026
- NIS2-Richtlinie und NIS-Richtlinie
- CER-Richtlinie und DORA
- IT-Sicherheitgesetz 2.0 und IT-Sicherheitsgesetz 1.0
- Cybersecurity-Act und Cyber Solidarity Act
- EU-Verordnung zur Informationssicherheit
- BSI-Gesetz als Grundlage der Cybersecurity (derzeit veraltet)
- Haftung der Geschäftsführung für Sicherheitsmängel
- Softwareupdates gesetzlich geregelt
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Bug-Bounty-Programme
- Wirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit
- Fahrlässige Tötung durch Schadsoftware im Krankenhaus?
- Haftung des Arbeitnehmers für Installation von Ransomware oder Virus
- Ransomware-Angriffe im Alltag
- Vertrag über Penetrationstest
Um Schaden vom Unternehmen fernzuhalten sollten Betriebe, unabhängig von ihrer Größe, ein brauchbares Sicherheitskonzept entwickeln, Mitarbeiter schulen und sich nicht nur auf die reine „Verbotspolitik“ zurück ziehen.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
