Virus auf dem Firmenserver – wer haftet?

[image]

Mittlerweile dürfen Beschäftigte vieler Unternehmen keine Software oder Programme mehr aus dem Internet herunterladen. Zu groß ist die Gefahr, dass ein Angestellter sich dabei einen Schädling – also z. B. einen Virus oder Trojaner – einfängt, der dann wiederum die gesamte Computeranlage lahmlegt. Kommt es dennoch zu einem Schädlingsbefall auf dem Firmenserver und hat der Arbeitgeber eine bestimmte Person als Verursacher in Verdacht, stellt sich jedoch die Frage, ob dieser Schadenersatz leisten muss.

Virenbefall als Racheakt?

Kurz nachdem einem Informatikkaufmann gekündigt worden war und dieser das Betriebsgelände verlassen hatte, entdeckte der Arbeitgeber einen Virus im Datensystem, der die gesamte Computeranlage des Unternehmens lahmlegte. Die Reparaturkosten durch eine Spezialfirma beliefen sich auf über 15.000 Euro. Den Betrag verlangte der Arbeitgeber vom Informatikkaufmann ersetzt.

Schließlich habe der an seinem letzten Arbeitstag gegenüber mehreren Kollegen behauptet, auf dem firmeneigenen Server einen Virus hinterlassen zu haben, der die Firma lahmlegen wird – was ja auch tatsächlich passiert sei. Kurze Zeit später habe er auch noch eine – mit dem gleichen Virus – verseuchte E-Mail an den Arbeitgeber geschrieben, die aufgrund einer Warnmeldung des Virenscanners jedoch nicht geöffnet worden sei. Mit diesem Verhalten habe er seine arbeitsvertraglichen Pflichten erheblich verletzt – er müsse daher Schadenersatz zahlen. Der Informatikkaufmann bestritt jegliche Vorwürfe und weigerte sich zu zahlen – woraufhin der frühere Arbeitgeber vor Gericht zog.

Schuld des Exmitarbeiters nicht nachgewiesen

Das Landesarbeitsgericht (LAG) Mecklenburg-Vorpommern wies sämtliche Ansprüche des Arbeitgebers zurück – er konnte also keinen Schadenersatz verlangen.

Der Arbeitgeber konnte nämlich schlicht und ergreifend nicht nachweisen, dass sein ehemaliger Beschäftigter gegen seine arbeitsvertraglichen Pflichten verstoßen hat. Stattdessen hat er nur pauschal behauptet, dass allein der Gekündigte als Täter infrage kommt, weil er gegenüber Kollegen die Installation des Virus zugegeben und eine E-Mail an den Chef geschickt hat, die den gleichen Schädling enthielt. Das warf nach Ansicht der Richter zwar erhebliche Zweifel auf, reichte aber nicht aus, um ihn unstreitig als „Schädlingsverbreiter“ zu identifizieren – vor allem, weil dieser den Vorwurf ausdrücklich bestritt.

Um eine Schadensherbeiführung durch den Informatikkaufmann zu beweisen, hätte der Arbeitgeber z. B. im Rahmen der Reparaturmaßnahmen ermitteln können, wo der Virus herkam und wie er in das Datensystem eingeschleust wurde, indem etwa der PC sowie das Notebook des Gekündigten durchsucht werden. Denn selbst wenn der Exmitarbeiter gegenüber den Kollegen tatsächlich mit der Virusinstallation geprahlt haben sollte, darf er allein deswegen nicht automatisch als Täter „abgestempelt“ werden. Im Übrigen könnte der Virus auch versehentlich verbreitet worden sein, indem der Informatikkaufmann über seinen verseuchten Rechner eine E-Mail samt Schädling verschickt hat. Da es somit keinen Beweis für die Schuld des Exmitarbeiters gab, konnte das Gericht ihn auch nicht zur Zahlung von Schadenersatz verurteilen.

Fazit: Arbeitnehmer sollten über ihren Firmenrechner vor allem nichts herunterladen, E-Mail-Anhänge niemals ungeprüft öffnen und Links in verdächtigen E-Mails nicht anklicken. Ist die Malware nämlich erst einmal auf einem Firmenrechner, können damit große Schäden angerichtet werden. Wurden die von einem Beschäftigten absichtlich herbeigeführt, muss er dafür geradestehen.

(LAG Mecklenburg-Vorpommern, Urteil v. 27.04.2016, Az.: 3 Sa 115/15)

(VOI)