Das Sächsische LAG bestätigt die grundsätzliche Haftung einer getäuschten Arbeitnehmerin bei "CEO Fraud" oder "Fake President Fraud".
Nach wie vor ist die Betrugsmasche „CEO Fraud″ oder „Fake President Fraud″ aktuell. In einer ersten Entscheidung zur Frage der Haftung für entstandene Schäden hatte das ArbG Chemnitz eine getäuschte Finanzdirektorin für den entstandenen Schaden in Höhe von EUR 420.000 voll haften lassen.
Das Sächsische LAG hat diese Entscheidung teilweise abgeändert. Im Ergebnis verbleibt es aber auch nach dem Urteil des Sächsischen LAG bei einer erheblichen Haftung der getäuschten Arbeitnehmerin.
ArbG Chemnitz: Haftungsprivilegierung greife nicht bei Fake President Frauds
Das ArbG Chemnitz (Az.: 13 Ca 895/16) kam in seinem Urteil zu einer vollen Haftung der Arbeitnehmerin und verneinte hierbei insbesondere das Eingreifen der Haftungsprivilegierung bei Fake President Frauds.
Das Gericht stütze sich zum einen darauf, dass die Zahlungsanweisung der Arbeitnehmerin nicht betrieblich veranlasst gewesen sei. Zum anderen habe sie besonders grob fahrlässig gehandelt („gröbste Fahrlässigkeit″).
Berufung vor dem Sächsischen LAG teilweise erfolgreich
Das Sächsische LAG (Az.: 3 Sa 556/16) hat das erstinstanzliche Urteil teilweise aufgehoben und der Arbeitnehmerin eine Haftung in Höhe von EUR 150.000,00 auferlegt.
Zutreffend sah auch das LAG in dem Verhalten der Finanzdirektorin eine erhebliche Pflichtverletzung. Die Finanzdirektorin habe sich im Rahmen der Überweisungen über interne Befugnisgrenzen hinweggesetzt und hierarchisch nachgeordnete Arbeitnehmer daran gehindert, die Sicherungsmaßnahmen einzuhalten.
Aber: (Geringes) Mitverschulden der Arbeitgeberin
Das LAG berücksichtigte in einem ersten Schritt zugunsten der Arbeitnehmerin ein Mitverschulden der Arbeitgeberin. Diese treffe nach Auffassung des LAG ein Organisationsverschulden, da sie das Unternehmen nicht ausreichend vor der Betrugsmasche des Fake President Fraud geschützt habe. Nach Auffassung der Richter war ein einmaliger Hinweis auf die Betrugsmasche in einer E-Mail nicht ausreichend.
Das LAG sieht den Arbeitgeber in Anbetracht der hohen Schadensfolgen verpflichtet, entsprechend gefährdete Mitarbeiter zu sensibilisieren, zu schulen und technische Möglichkeiten zu nutzen (z. B. sog. „Identity Spoof Recognition″), um den Empfang gefälschter E-Mails aufzudecken und zu verhindern.
Aufgrund des weit überwiegenden Verschuldens der Finanzdirektorin sah das Gericht jedoch nur ein geringes Mitverschulden bei der Arbeitgeberin und minderte den Schadensersatzanspruch um 10 %.
Auch Berücksichtigung des Mitverschuldens der anweisenden Mitarbeiterin
Darüber hinaus minderte das LAG den Schadensersatzanspruch um weitere 40 % wegen eines angenommenen Mitverschuldens der untergeordneten Mitarbeiterin, die die Überweisung letztlich tätigte und ihrerseits ebenfalls die internen Befugnisgrenzen missachtete. Diese sei von der Finanzdirektorin nicht derart eingeschüchtert worden, dass ihr die Einhaltung der internen Vorgaben nicht möglich gewesen sei.
Weitere Haftungsreduktion wegen privilegierter Arbeitnehmerhaftung
Abschließend begrenzte das LAG die Haftung auf einen Betrag von EUR 150.000,00 (statt EUR 210.000,00 aufgrund des Mitverschuldens in Höhe von insgesamt 50 %) in Anwendung der Grundsätze der beschränkten Arbeitnehmerhaftung. Hierzu stellt das LAG überzeugend fest, dass die Tätigkeit der Finanzdirektorin betrieblich veranlasst gewesen sei, da der Schaden im Zusammenhang mit Tätigkeiten eingetreten sei, die der Finanzdirektorin arbeitsvertraglich übertragen gewesen seien.
Anders als das ArbG Chemnitz angenommen habe, sei das Verhalten der Finanzdirektorin nicht darauf gerichtet gewesen, alleine private Interessen des vermeintlichen CEO zu befriedigen. Zudem sei entscheidend, dass die Finanzdirektorin geglaubt habe, im betrieblichen Interesse handeln zu müssen.
Im Rahmen einer Auseinandersetzung mit den Umständen des Einzelfalls und der vorliegenden groben Fahrlässigkeit der Finanzdirektorin hält das LAG eine „maßvolle″ Haftungsbegrenzung in Höhe von EUR 60.000,00 für angemessen.
BAG soll zur Haftung von Arbeitnehmern bei Fake President Frauds entscheiden
Anders als das ArbG Chemnitz hat das Sächsische LAG zum einen ein Mitverschulden der Arbeitgeberin angenommen, zum anderen hält es die Grundsätze der beschränkten Arbeitnehmerhaftung auch im Falle von Fake President Frauds für anwendbar.
Das Urteil des Sächsischen LAG zeigt, dass die Rechtsprechung erhebliche Anforderungen an die Arbeitgeber im Hinblick auf Prävention stellt. Ein einmaliger Hinweis auf die Betrugsmasche Fake President Fraud dürfte hierfür wohl nicht ausreichend sein. Arbeitgeber sind verpflichtet, geeignete Schutz- und Kontrollmechanismen – auch technischer Art – einzuführen.
Gegen das Urteil des Sächsischen LAG wurde unter dem Az.: 8 AZR 379/17 Revision zum BAG eingelegt.