Arbeitnehmer haften
Cyberkriminelle sind immer erfolgreicher mit ihren Attacken auf Unternehmen. Wegen pandemiebedingtem Homeoffice können Sicherheitslücken ausgenutzt werden und der Arbeitnehmer kann bei Cyberangriffen haftbar werden. In diesem Zusammenhang werden die IT-Sicherheit bzw. die Datensicherheit sowie der Datenschutz immer wichtiger.
Der Arbeitnehmer muss mit der Benutzung der IT-Infrastruktur zur Verhinderung von Cyberattacken verschiedene Massnahmen ergreifen, damit der Arbeitgeber nicht geschädigt wird. In diesem Zusammenhang stellt sich zuerst die Frage, wessen IT-Infrastruktur im Homeoffice verwendet wird.
Geräte des Arbeitgebers
Das Arbeitsrecht sieht vor, dass sofern im Arbeitsvertrag nichts anderes vereinbart ist, der Arbeitgeber die Geräte und das Material für den Arbeitseinsatz bereitstellen muss. Stellt der Arbeitnehmer das Material und die Geräte zur Verfügung, so hat er hierfür Anspruch auf eine Entschädigung, sofern nichts anderes vereinbart oder üblich ist.
Arbeitet eine Person ausschliesslich von zu Hause aus, muss der Arbeitgeber dafür sorgen, dass der Mitarbeiter einen vollwertigen Arbeitsplatz hat. Der Arbeitgeber müsste also den Arbeitnehmer entschädigen, wenn dieser privat die Geräte (insbesondere PCs) zur Verfügung stellt, es sei denn, es sei etwas anderes vereinbart.
Diese Geräte sind in der Regel so ausgerüstet, dass mit diesen auf die zentralen Daten des Arbeitgebers zugegriffen werden kann.
Schutzmassnahmen gegen Cyberangriffe
Im Zusammenhang mit der Datensicherheit und dem Schutz vor Cyberattacken werden verschiedene Schutzmassnahmen postuliert (insbesondere von den kantonalen Datenschutzbeauftragten), welche es Cyberhackern erschweren sollen, unberechtigt Zugriff auf fremde Daten zu erlangen, was oft in Erpressungsversuchen mündet, sofern es diesen Cyberhackern gelingt, die Daten bzw. den Zugang zu diesen durch den Berechtigten zu blockieren.
In der Praxis kommen vor allem die nachfolgenden Schutzmassenahmen in Betracht, welche auch von einzelnen Arbeitnehmern umgesetzt werden können:
Updates: Es ist darauf zu achten, dass regelmässig Updates installiert werden. Dadurch können in der Regel Softwareschwachstellen eliminiert werden.
Passwörter: Es sind sogenannte starke Passwörter zu verwenden. Zudem sollten nicht für alle Services die gleichen Passwörter verwendet werden. Die Passwörter sollten nicht weitergegeben werden. Dies kann sich insbesondere als schwierig erweisen, wenn der Geschäftscomputer auch noch für das Homeschooling verwendet werden soll.
Schutz von Personendaten und Informationen: Die Daten sind auch zu Hause vertraulich zu behandeln und es sollte darauf geachtet werden, dass diese auch vor Familienmitgliedern verborgen bleiben. Geschäftliche Daten sind zu verschlüsseln, Privates ist von Geschäftlichem zu trennen, auch bei der Ablage.
Einsatz von E-Mails: Es wird dringend davon abgeraten, den geschäftlichen E-Mail-Account auch für private Zwecke zu verwenden.
Schutz vor Phishing: Verdächtige bzw. unbekannte E-Mails, insbesondere deren Anhänge, sollten auf keinen Fall geöffnet werden. Ebenso sollten keine unbekannten Links geöffnet werden.
Datenverlust: Unbeabsichtigter Datenverlust ist den Datenverantwortlichen sofort zu melden, damit adäquate Schutzmassnahmen ergriffen werden können.
Durch regelmässige Updates können Softwareschwachstellen eliminiert werden.
Haftung des Arbeitnehmers
Im Rahmen des Arbeitsvertragsrechts haftet grundsätzlich jede Partei der anderen für Schäden, welche sie durch Vertragsverletzung verursacht. Das Prinzip ist das gleiche wie im übrigen Vertragsrecht. Als Vertragsverletzungen kommen insbesondere die Verletzung der Arbeitspflicht, der Treuepflicht und der Sorgfaltspflicht in Frage. Gemäss Art. 321e Abs. 1 OR ist ein Arbeitnehmer für Schäden verantwortlich, die er dem Arbeitgeber absichtlich oder fahrlässig zufügt. Allerdings hat der Arbeitnehmer nur für das in Art. 321e Abs. 2 OR vorgegebene Sorgfaltsmass einzustehen. Das Mass der Sorgfalt, für die der Arbeitnehmer einzustehen hat, bestimmt sich nach dem einzelnen Arbeitsverhältnis, unter Berücksichtigung des Berufsrisikos, des Bildungsgrades oder der Fachkenntnisse, die zu der Arbeit verlangt werden, sowie der Fähigkeiten und Eigenschaften des Arbeitnehmers, die der Arbeitgeber gekannt hat oder hätte kennen sollen. Es gibt somit keine allgemein gültige Regel und es gilt der individuelle Sorgfaltsmassstab.
Für die Beurteilung des Verschuldens sowie der konkreten Schadenersatzbemessung ist jeder Fall anders. Berücksichtigt werden muss stets das tatsächliche, einzelne Arbeitsverhältnis, das entsprechende Berufsrisiko, der notwendige Bildungsgrad respektive die nötigen Fachkenntnisse, sowie die persönlichen Fähigkeiten und Eigenschaften des Arbeitnehmers, soweit sie der Arbeitgeber gekannt hat oder hätte kennen sollen.
Daraus folgt etwa, dass der nicht ausgebildete Hilfsarbeiter für den gleichen Fehler nicht im gleichen Mass haftbar ist wie der langjährige, bestens qualifizierte Mitarbeiter. Auf der anderen Seite ist die Überwachungspflicht des Arbeitgebers entsprechend grösser, wenn er mit unqualifizierten Arbeitnehmern zu tun hat.
Hält der Arbeitnehmer die vorgenannten Schutzmassnahmen im Zusammenhang mit der Datensicherheit nicht ein und kommt es zu einem Cyberangriff, welcher nachweislich auf die Unterlassung des Arbeitnehmers zurückzuführen ist, so ist der Arbeitnehmer grundsätzlich haftbar, wo er in der Regel nur bei Vorsatz den vollen Schaden ersetzen muss. Zu prüfen ist allerdings stets, ob es dem Arbeitnehmer möglich ist, die Abwehrmassnahmen selbst, ohne Mitwirkung des Arbeitgebers, zu ergreifen. Insbesondere im Zusammenhang mit notwendigen Updates liegt die primäre Verantwortung klar beim Arbeitgeber.
Überwachung im Homeoffice?
Aufgrund der räumlichen Distanz sind Arbeitgeber vermehrt versucht, ihre Arbeitnehmer im Homeoffice mittels technischer Hilfsmittel zu überwachen. Die technische Überwachung von Arbeitnehmern, insbesondere im Homeoffice, unterliegt jedoch verschiedenen rechtlichen Schranken.
Wegen der allgemeinen Fürsorgepflicht ist der Arbeitgeber gemäss Art. 328 OR verpflichtet, die Gesundheit und die Persönlichkeit seiner Arbeitnehmer zu schützen und zu achten. Darum hat er alle Eingriffe in die Persönlichkeit seiner Arbeitnehmer zu unterlassen, die nicht durch den Arbeitsvertrag gerechtfertigt sind. Die Überwachung des Arbeitnehmers im Homeoffice stellt zudem eine Datenerhebung dar. Deshalb sind die entsprechenden datenschutzrechtlichen Einschränkungen zu beachten. Der Arbeitgeber darf Daten über den Arbeitnehmer nur bearbeiten, soweit sie dessen Eignung für das Arbeitsverhältnis betreffen oder zur Durchführung des Arbeitsvertrages erforderlich sind. Das Datenschutzgesetz verlangt die Verhältnis- und Zweckmässigkeit sowie die Transparenz von Datenbearbeitungen.
Sodann dürfen Überwachungs- und Kontrollsysteme, die das Verhalten von Arbeitnehmern am Arbeitsplatz überwachen, nicht eingesetzt werden. Sofern solche Systeme aus anderen Gründen erforderlich sind, sind diese so anzuordnen, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer dadurch nicht beeinträchtigt würden. Auf die Verwendung der ermittelten Daten sei sodann das Datenschutzgesetz anwendbar.
Der technischen Überwachung im Homeoffice sind daher erhebliche Schranken gesetzt.