Schadensersatzanspruch gegen Arbeitnehmer nach Spoofing-Angriff?

Bei Cyberkriminalität im Unternehmen: Wann haftet der Arbeitnehmer für eingetretene Schäden? Dass das nicht so einfach ist und die Beweislast sehr klar verteilt ist, hat das LAG Düsseldorf herausgearbeitet.

Ein Urteil des Landesarbeitsgerichts Düsseldorf (Az. 14 Sa 334/17) beschäftigt sich mit einem Schadensersatzanspruch im Zusammenhang mit einem „“- und der Frage, ob der grob fahrlässig gehandelt hat, was eine Haftung begründen würde. Hierbei wurde im konkreten Fall die grobe Fahrlässigkeit verneint.

Hintergrund

Die Beklagte war als Kassiererin in einer Tankstelle tätig und wurde Opfer eines „Spoofing“-Betrugs. Betrüger gaben sich telefonisch als Mitarbeiter einer Telefongesellschaft aus und veranlassten die Beklagte, Codes von Prepaid-Telefonkarten herauszugeben, was zu einem Vermögensschaden von 3.720 Euro führte. Die Klägerin, eine Versicherung, machte gegen die Beklagte Schadensersatzansprüche geltend, nachdem sie der Arbeitgeberin den Schaden ersetzt hatte.

Kern der Frage war, was grob fahrlässig ist seitens eines Arbeitnehmers:

Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt nach den gesamten Umständen in ungewöhnlich hohem Maße verletzt und unbeachtet lässt, was im gegebenen Fall jedem hätte einleuchten müssen. Im Gegensatz zum rein objektiven Maßstab bei einfacher Fahrlässigkeit sind bei grober Fahrlässigkeit auch subjektive Umstände zu berücksichtigen (BAG, Urt. v. 04.05.2006 – 8 AZR 311/05, NZA 2006, 1428; BAG, Urt. v. 12.11.1998 – 8 AZR 221/97, AP Nr. 117 zu § 611 BGB Haftung des Arbeitnehmers).

Es kommt also nicht nur darauf an, was von einem den durchschnittlichen Anforderungen entsprechenden Angehörigen des jeweiligen Verkehrskreises in der jeweiligen Situation erwartet werden konnte, wozu auch gehört, ob die Gefahr erkennbar und der Erfolg vorhersehbar und vermeidbar war; abzustellen ist auch darauf, ob der Schädigende nach seinen individuellen Fähigkeiten die objektiv gebotene Sorgfalt erkennen und erbringen konnte (BAG, Urt. v. 04.05.2006 – 8 AZR 311/05, NZA 2006, 1428; BAG, Urt. v. 12.09.1998 – 8 AZR 221/97, AP Nr. 117 zu § 611 BGB Haftung des Arbeitnehmers).

Rechtliche Probleme im Überblick

  1. Haftung des Arbeitnehmers und grobe Fahrlässigkeit:
    Das zentrale Problem war die Frage, ob die Beklagte grob fahrlässig gehandelt hatte. Laut der Rechtsprechung des Bundesarbeitsgerichts (BAG) kommt es für die grobe Fahrlässigkeit darauf an, ob die Beklagte die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt hat. Grobe Fahrlässigkeit wird angenommen, wenn der Arbeitnehmer die Gefahrenlage hätte erkennen müssen und ohne Weiteres vermeiden können.

    Das Gericht stellte fest, dass die Beklagte nicht grob fahrlässig gehandelt hatte. Es wurde anerkannt, dass die Beklagte relativ neu in ihrer Position war und lediglich eine kurze Einarbeitung erhalten hatte. Zudem war die Anrufsituation von den Betrügern geschickt arrangiert, indem sie eine vertraute Firma nannten und in kurzer Abfolge handelten. Die Beklagte war durch diese „Überrumpelungssituation“ strukturell im Nachteil und konnte nicht ohne Weiteres erkennen, dass es sich um einen Betrug handelte. Daher handelte es sich maximal um einfache Fahrlässigkeit, was eine Haftung ausschließt.
  2. Haftungsprivilegierungen im Arbeitsverhältnis:
    Die Rechtsprechung des BAG sieht in Fällen einfacher Fahrlässigkeit eine weitgehende Haftungsfreistellung des Arbeitnehmers vor. Arbeitnehmer haften nur bei Vorsatz oder grober Fahrlässigkeit für Schäden, die sie im Rahmen ihrer beruflichen Tätigkeit verursachen. Diese Haftungsprivilegierung ist Ausdruck des „Betriebsrisikos“, das der Arbeitgeber zu tragen hat. Da die grobe Fahrlässigkeit im vorliegenden Fall verneint wurde, kam eine Haftung der Beklagten gemäß den Grundsätzen des BAG nicht in Betracht.
  3. Regressverzicht der Versicherung:
    Zudem enthielt der Versicherungsvertrag eine Klausel, die bei einfacher Fahrlässigkeit auf einen Regress gegen den Arbeitnehmer verzichtet. Dieser Verzicht schützte die Beklagte vor einer Inanspruchnahme.

Sicherheitsanweisungen allein genügen nicht – und müssen beweisbar sein!

Am Ende wird sich in diesem Bereich wohl regelmässig – und so auch hier – die Streitfrage darum drehen, ob der Mitarbeiter ausreichend auf Sicherheitsrichtlinien hingewiesen und auch geschult wurde. Letzteres ist ein stetes Beweisproblem, was das LAG auch herausarbeitet:

Die Beklagte war erst seit kurzer Zeit und lediglich in geringfügigem Umfang dort beschäftigt.

Soweit die Klägerin die Angaben der Beklagten bestritten hat, sie sei lediglich in ein bis zwei Schichten und „nicht vernünftig“ eingearbeitet worden, verkennt sie, dass sie für den Grad des Verschuldens der Beklagten gem. § 619a BGB die Darlegungs- und trifft (…) und es daher notwendig und zumutbar gewesen wäre, die konkrete Dauer der Einarbeitung und dabei erfolgte Schulungen darzulegen und erforderlichenfalls zu beweisen. Stattdessen hat sie lediglich die Behauptung, es habe keine „vernünftige“ Einarbeitung stattgefunden, bestritten und für die Behauptung, die Einarbeitung sei „vernünftig“ gewesen, Beweis durch Zeugenvernehmung angeboten.

Dieser Beweisantritt war jedoch nicht zu verfolgen. Wird ein Beweis angetreten, bei dem es an der Bestimmtheit der zu beweisenden Tatsachen fehlt, und sollen durch die beabsichtigte Beweiserhebung erst die Grundlagen für substantiierte Tatsachenbehauptungen gewonnen werden, ist der Beweisantritt unzulässig und unbeachtlich. Gemäß § 373 ZPO muss die beweispflichtige Partei diejenigen Tatsachen bezeichnen, zu denen der vernommen werden soll. Tatsachen sind konkrete, nach Zeit und Raum bestimmte, der Vergangenheit angehörige Geschehnisse oder Zustände. Entsprechen die unter Beweis gestellten Behauptungen nicht diesen Anforderungen, dient die Beweiserhebung der Ausforschung und hat zu unterbleiben (…). Hier zielte der Beweisantritt ersichtlich darauf ab, durch die Beweisaufnahme denjenigen Sachverhalt erst herauszuarbeiten, den man hätte schriftsätzlich behaupten müssen. Das in § 412 BGB i.V.m. § 399 ff. BGB und § 86 Abs. 2 VVG zugrunde gelegte System der cessio legis sollte so umgangen werden.

Die Kammer konnte vor diesem Hintergrund jedenfalls keine Einarbeitung annehmen, die über den von der Beklagten eingeräumten Umfang und die eingeräumte Qualität hinausging. Vor diesem Hintergrund spricht einiges dafür, dass die Beklagte die Abläufe in der Tankstelle noch nicht so kannte. Nach einer jahrelangen Beschäftigung wäre es ihr sehr wahrscheinlich ungewöhnlicher vorgekommen, dass eine von den Anrufern behauptete Systemumstellung gemacht werden müsse. Auch ist nachvollziehbar, dass sie sich in einer solchen Situation weniger als eine erfahrene Mitarbeiterin getraut hat, nachzufragen, ob alles seine Richtigkeit habe. Schließlich will man aus nachvollziehbaren Gründen in den ersten Monaten eines Arbeitsverhältnisses keinen besonders unselbständigen Eindruck machen.

Zu Gunsten eines Arbeitnehmers sind dabei auch die konkreten Umstände zu Berücksichtigen, die deutlich entspannter sind als sonst im geschäftlichen Verkehr – so ist die Frage, ob man „hereinfallen durfte“ durchaus von Relevant, während sie sich in Haftungssituationen sonst nicht stellt:

Zu berücksichtigen ist ferner das strukturelle Ungleichgewicht, welches durch die Anrufsituation entstanden ist: Die Beklagte weist zu Recht darauf hin, dass sie sich professionellen Betrügern gegenüber sah.

Nicht zufällig wurde durch einen ersten Anruf ein zweiter angekündigt, um so den Anschein einer in sich schlüssigen und seriösen Vorgehensweise zu erwecken. Ebenfalls nicht zufällig folgten die Anrufe so kurz hintereinander, dass in dieser Zeit ernsthafte Überlegungen, es könne etwas nicht mit rechten Dingen zugehen, bei der Beklagten gar nicht erst aufkommen konnten.

Dass die Anrufe spätabends erfolgten, spricht entgegen der Einschätzung der Klägerin gerade nicht dafür, dass die Beklagte hätte davon ausgehen müssen, es liege ein Betrug vor. Umstellungen, bei denen auch elektronische Systeme involviert sind, werden üblicherweise gerade dann durchgeführt, wenn Arbeitnehmer, Kunden und Umsatz möglichst wenig beeinträchtigt werden. Insofern war dieser Umstand allein auch nicht ungewöhnlich. Abgesehen davon ist davon auszugehen, dass ein Arbeitnehmer abends gegen 23:00 Uhr nicht mehr zwangsläufig die Möglichkeit hat, sich zu vergewissern, ob tatsächlich eine Systemumstellung geplant sei.

Unstreitig ist hierbei auch, dass der zweite Anrufer sich – ankündigungsgemäß – als Mitarbeiter der Firma T. & C. ausgegeben hat. Dies zeigt, dass der Sachverhalt, den die Betrüger der Beklagten geschildert haben, jedenfalls in sich schlüssig war und ein gewisses Maß an vorheriger Recherche vonnöten war. Denn immerhin konnte der Anrufer den Namen der Firma T. & C. erwähnen, welcher auch der Beklagten geläufig war. Dies machte es der Beklagten jedenfalls subjektiv schwieriger, den Betrug aufzudecken.


Fazit

Das LAG Düsseldorf hat in Übereinstimmung mit der ständigen Rechtsprechung des BAG festgestellt, dass Arbeitnehmer in Fällen von „Spoofing“ nicht automatisch grob fahrlässig handeln, wenn sie Opfer eines ausgeklügelten Betrugs werden. Vielmehr sind es gerade solche Betrügereien, denen Arbeitnehmer gefahrgeneigt ausgesetzt sind und die deswegen nicht – zur Entlastung des Arbeitgebers! – auf diese abgewälzt werden.

Ein Urteil des Landesarbeitsgerichts Düsseldorf (Az. 14 Sa 334/17) beschäftigt sich mit einem Schadensersatzanspruch im Zusammenhang mit einem „Spoofing“-Betrug und der Frage, ob der Arbeitnehmer grob fahrlässig gehandelt hat, was eine Haftung begründen würde. Hierbei wurde im konkreten Fall die grobe Fahrlässigkeit verneint.

Arbeitgeber sind gut beraten, diese Rechtsprechung insgesamt zu kennen! Es genügt nicht, einfach nur lieblos Sicherheitsrichtlinien herumzuschicken; und vor allem ist es eine schlechte , seine schlecht versorgten Arbeitnehmer dafür haften lassen zu wollen, dass man selbst sich nicht ordentlich um ein längst bekanntes Problem gekümmert hat. Vernünftige Schulungen und Anweisungen, immer ordentlich dokumentiert, sind die absolute Basis zum Umgang mit Cyberkriminalität im Unternehmen.

Das Urteil verdeutlicht, dass der Schutz des Arbeitnehmers vor übermäßiger Haftung in solchen Fällen eine entscheidende Rolle spielt, insbesondere wenn die Umstände auf eine Überforderung des Arbeitnehmers durch professionelle Betrüger hinweisen. Insoweit reiht es sich auch ein in eine Mehrzahl weiterer derartiger Entscheidungen, die hier in unserem Blog auch gesammelt werden.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.