Vorsicht vor Viren auf dem Dienst-PC
Mit Viren ist es so eine Sache: Wenn man merkt, dass man sie sich eingefangen hat, ist es meistens schon zu spät. Das gilt für den menschlichen Körper genau so wie für den PC. Und auch das gilt für die virtuelle wie für die richtige Welt: Es gibt Viren, die sind lästig und andere die sind sehr gefährlich. Richtig heikel kann es werden, wenn so ein ungebetener Gast plötzlich auf dem Dienst-Rechner auftaucht. Der kann nicht nur die Arbeit behindern, sondern schlimmstenfalls zu einem riesigen Schaden im Unternehmen führen, wenn der Virus erst einmal das interne Netzwerk befallen hat. Dann stellt sich schnell die Frage, wer kommt für den Schaden auf. Trifft es die Arbeitnehmerin oder der Arbeitnehmer oder muss das Unternehmen dafür gerade stehen? DOKTUS hat sich das näher angeschaut.
Laxe Handhabung gefährdet Unternehmen
Seit der Umgang mit dem PC auch in den eigenen Wänden selbstverständlich geworden ist, ist es auch in vielen Unternehmen gelebte Praxis, dass der Dienst-PC dann auch mal für private Zwecke gebraucht wird – sei es um eine Mail an die Oma zu schreiben, sei es, um einen Blick auf das Wetterradar oder die Verkehrsnachrichten zu werfen. In den meisten Unternehmen ist der private Gebrauch des PCs zwar nicht gestattet, aber in sehr vielen wird er auch geduldet. Die Sache wird dann etwas diffiziler, wenn nicht nur etwas nachgeschlagen wird, sondern wenn Dateien herunter geladen werden. Schon in einem Dokument oder einer Bilddatei kann ein kleiner Code mit riesiger Wirkung mitreisen. Spätestens da kann sich die laxe Handhabung eines Unternehmens rächen. In Rheinland-Pfalz wurde ein Arbeitnehmer fristlos gekündigt, weil er privat einen Audiograbber heruntergeladen hatte. Der enthielt aber einen Virus, der sich im Intranet ausbreitete. Der Schaden blieb gering – etwa 850 Euro. Während in der ersten Instanz die fristlose Kündigung nicht als zulässig galt, weil das Surfen im Internet in der Firma zwar auch verboten war, aber geduldet wurde, bestätigte die zweite Instanz das Urteil und machte klar, dass es einen großen Unterschied zwischen dem einfachen Surfen und dem Herunterladen gäbe. Verschärfend kam hinzu, dass der Virenscanner bei dem Audiograbber sogar angeschlagen hatte. Das Warnsignal wurde aber einfach weggeklickt.
Virus im Dienste eingefangen
Während die Haftung bei einem Virusschaden noch relativ einfach zu klären ist, wenn er auf fahrlässigen und privaten Gebrauch des Dienst-PCs zurück zu führen ist, wird es in einem anderen Fall schwieriger. Jeden Tag werden Millionen und Abermillionen Dokumente, Bilder, Präsentationen und andere Dateien zwischen Firmenrechnern hin und her geschickt. Jeder Anhang an eine E-Mail, jeder Click auf einen Link kann einen Virus einschleusen. Schon deswegen ist es unabdingbar notwendig, dass sich Unternehmen mit Virenscannern und Firewalls absichern. Ebenso wenig wie es einen Virenscanner gibt, der 100 Prozent aller Viren erkennt, gibt es eine wirklich undurchdringliche Firewall. Was also passiert, wenn sich eine Mitarbeiterin oder ein Mitarbeiter im Rahmen seiner ganz alltäglichen Arbeit einen Computervirus einfängt? Drohen ihnen arbeitsrechtliche Konsequenzen, müssen sie für den Schaden aufkommen?
Die Fahrlässigkeit ist entscheidend
Wer seinen Dienst am Computer gewissenhaft verrichtet, im Zweifelsfall eine verdächtige Datei auch selbst noch einmal über den Virenscanner laufen lässt, sollte eigentlich immer auf der sicheren Seite stehen. Anders sieht es schon aus, wenn jemand fahrlässig gehandelt hat. Das könnte möglicherweise der Fall sein, wenn jemand auf eine gut gemachte Phishing-Mail hereinfällt. Das Oberlandesgericht Zweibrücken sah in einem Urteil 2022 bei einer Geschäftsführerin, die einer sehr gut gemachten Phishing-Mail aufsaß, zwar eine leichte Fahrlässigkeit, urteilte aber, dass sie dafür nicht haftbar gemacht werden könne (Aktenzeichen 4 U 198/21). Wer allerdings Warnungen eines Virenscanners ignoriert und eine Datei trotzdem öffnet, der handelt grob fahrlässig, weil er ja auch ein eigens eingerichtetes Warnsystem unbeachtet ließ.
Welche Schäden drohen
Viren werden aus völlig unterschiedlichen Gründen in ein System eingeschleust. Das kann Spy-Ware sein, die ein Unternehmen ausspionieren soll. Geldgier ist meist die Motivation, wenn ein Computer durch einen Virus in Geiselhaft genommen und lahm gelegt wird und erst nach Zahlung eines Lösegelds wieder in Gang gesetzt wird. Es kann aber auch der reine Übermut sein, die vermeintlich sportliche Motivation eines Hackers, in ein System eindringen zu können. Doch selbst in letzterem Fall können die Kosten erheblich werden. Lässt sich der Virus nicht isolieren und eliminieren, muss möglicherweise das System komplett herunter gefahren werden, um es zu reinigen und wieder neu zu starten. Und schließlich gibt es noch eine Variante, die Unternehmen in Schwierigkeiten bringen können. Wenn sich Mitarbeiter etwa heimlich verbotene Inhalte, wie etwa Kinderpornos oder rechtsradikalen Content, herunterladen und die IP-Adresse direkt in das Unternehmen führt, dann sieht sich die Firma plötzlich polizeilichen Ermittlungen ausgesetzt.
Peter S. Kaspar
Bildquelle: Fotolia