Ransomware: Wem drohen rechtliche Konsequenzen aus dem entstandenen Schaden?

Corporate
flux de données

Verschlüsselung von Daten ist für die Sicherheit von sensiblen und personenbezogenen Informationen die beste Lösung zum Schutz. Im Falle eines zunehmend beliebten und ganz perfiden Cyberkriminellen-Szenarios ist sie dagegen die Bedrohung: Ransomware. Von Cyberkriminellen als harmlos scheinender E-Mail-Anhang ins Unternehmen geschleust, entfaltet Ransomware seine schädliche Wirkung, sobald jemand arglos den Dateianhang öffnet. Sofort werden sämtliche Dateien auf dem Dateiserver inklusive der vorhandenen Backups verschlüsselt. Die Unternehmensdaten werden quasi in Geiselhaft genommen. Gegen die Zahlung eines Lösegelds versprechen die Kriminellen, die Daten wieder zu entschlüsseln. Der Schaden für den Zeitraum, in dem die Daten nicht zugänglich sind, kann je nachdem, um welche Branche und Art der Daten es sich handelt, verheerend sein: Prozesse könnten eingefroren werden, Termine und Lieferungen platzen, Löhne nicht ausgezahlt, lebenswichtige Behandlungen nicht fortgeführt werden… die Liste ließe sich endlos weiter führen. Technisch sind die nächsten Schritte in einem solchen Fall klar: Aufgrund der eingeschleusten Ransomware müssen die Systeme im ersten Schritt gesäubert werden. Im zweiten Schritt gilt es, die Daten wieder verfügbar zu machen. Rechtlich mag es komplizierter aussehen. Ein Kunde kann grundsätzlich etwa wegen nicht eingehaltener Liefertermine vom Vertrag zurücktreten und im Voraus gezahlte Beträge zurückfordern. Zudem kann er Schadensersatz wegen Nichterfüllung der vereinbarten Leistung verlangen. Dies gilt insbesondere dann, wenn der Kunde durch die späte Lieferung selbst einen Schaden nachweisen kann.
Und nicht nur das Unternehmen, durch das der Schaden ausgelöst wird, sondern auch der Unglücksrabe aus der Belegschaft, der beispielsweise eine schadhafte E-Mail geöffnet hat, kann unter Umständen mit Haftungsansprüchen konfrontiert werden…

Die Rechtslage: Konsequenzen für den Arbeitgeber und den Mitarbeiter
Schäden durch Ransomware (Verzögerungen in der Lieferung etc.) können sowohl für das verursachende Unternehmen als auch für den einzelnen Mitarbeiter, der etwa fahrlässig (was nachgewiesen werden muss) eine E-Mail geöffnet und damit den Schaden für seinen Arbeitgeber versursacht hat erhebliche rechtliche Folgen haben. Können geschädigte Kunden den Eintritt des Schadens beweisen und dessen Höhe beziffern und wurde vertraglich nicht etwas Abweichendes vereinbart, dann sind sie in der Lage, vom schädigenden Unternehmen Schadensersatz zu fordern. Auch dem verursachenden Mitarbeiter drohen dann unter Umständen Haftungsrisiken.

War der betreffende Mitarbeiter zuvor durch seinen Arbeitgeber nachweislich und hinreichend über die Gefahren sowie den Umgang mit den Daten belehrt worden, könnte ihm folgende Situation drohen: im Rahmen des sogenannten innerbetrieblichen Schadensausgleichs kann sich der Arbeitgeber den Betrag des Schadensersatzes, den er an einen geschädigten Kunden zu zahlen hatte von seinem Mitarbeiter zurückfordern. Dies gilt aber nach ständiger Rechtsprechung des Bundesarbeitsgerichts uneingeschränkt nur, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat. Im Falle der mittleren Fahrlässigkeit setzt das Gericht im Streitfall eine sogenannte Haftungsquote nach billigem Ermessen fest, nach der bestimmt wird, zu welchen Anteilen der Arbeitnehmer und der Arbeitgeber den Schaden tragen müssen.

Damit trägt der Arbeitgeber letztlich dennoch das Hauptrisiko, denn selbst, wenn das Gericht den Mitarbeiter wegen vorsätzlicher oder grob fahrlässiger Schädigung verurteilt, seinem Arbeitgeber den Schadensbetrag zurückzuzahlen, ist kaum davon auszugehen, dass dieser die volle Summe erhalten wird. „Ein Schadenfall in Millionenhöhe wird von einem Arbeitnehmer mit durchschnittlichem Verdienst kaum realisierbar sein. Da hilft auch ein gerichtlich erwirkter Titel nicht weiter,“ so RA Sebastian Müller aus Magdeburg. Dennoch wird ein Fehlverhalten sicher nicht ohne weitere Konsequenzen für den Mitarbeiter bleiben.

Sensibilisierung und Eigenverantwortung auch von Mitarbeitern
Unternehmen stehen in der Pflicht, ihre eigenen Daten wie auch die Daten von Dritten zu schützen. Dies gilt umso mehr, wenn die neue Datenschutz-Grundverordnung (EU-DSGVO) in Kraft tritt. Entsprechende technische Lösungen für die Datensicherheit sind daher obligatorisch. Es ist jedoch zusätzlich unerlässlich Mitarbeiter regelmäßig zu schulen sowie klare Sicherheitsrichtlinien zu implementieren. Es ist außerdem sinnvoll und wichtig, auch an die Eigenverantwortung der Mitarbeiter zu appellieren: Lieber einmal mehr nachfragen, Schulungen einfordern und wahrnehmen und sich vielleicht auch zusätzlich zu informieren kann jedem Einzelnen dabei helfen, die Gefahr eines Fehlers und die persönliche Haftbarkeit auf ein Minimum zu reduzieren.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.