Wohnen

Bin ich im HomeOffice für die Cybersicherheit verantwortlich?

Auch im HomeOffice muss sich der Arbeitnehmer an die Sicherheitsvorgaben des Unternehmens halten.

Fügt ein Arbeitnehmer seiner Arbeitgeberin einen Schaden absichtlich oder fahrlässig zu, haftet er. Wie weit die Sorgfaltspflicht des Arbeitsnehmers geht, richtet sich «nach dem einzelnen Arbeitsverhältnis, unter Berücksichtigung des Berufsrisikos, des Bildungsgrades oder der Fachkenntnisse, die zur Arbeit verlangt werden, sowie der Fähigkeiten und Eigenschaften des Arbeitnehmers, die der Arbeitgeber gekannt hat oder hätte kennen sollen». (Siehe auch: «Wer haftet, wenn ich einen Schaden am Vereinsauto verursache?»)

Diese Haftungsregelung gilt auch im HomeOffice. Während die Arbeitgeberin dafür zu sorgen hat, dass der Fernzugriff technisch sicher ist, muss der Arbeitnehmer sich an die vom Unternehmen vorgegebenen Sicherheitsmassnahmen halten. In welchen konkreten Fällen von Cyberangriffen der Arbeitnehmer haftet, entscheidet sich von Fall zu Fall.

Arbeitgeberin muss sicheren Fernzugriff gewährleisten

Sofern das Unternehmen HomeOffice erlaubt, muss es gewährleisten, dass sicheres Arbeiten möglich ist. Je nach Bedrohungslage muss es dabei unterschiedliche Massnahmen ergreifen. Das Bundesamt für Cybersicherheit (BACS) informiert in seinem Dokument «Home Office – Sicherer Umgang mit Fernzugriffen» über die relevantesten Risiken und Vorsichtsmassnahmen, so insbesondere:

Malware / Phishing. Das BACS empfiehlt hier die Zwei-Faktor-Authentifizierung und die Verwendung starker Passwörter;

Ransomware-Angriffe. Erstellt das Unternehmen laufend Offline-Backups, auch von lokal gespeicherten Dateien, kann es die erfolgreiche Blockierung des Zugriffs auf Daten verhindern.

(Siehe auch: «Wer zahlt das Arbeitsmaterial im HomeOffice?»)

Arbeitnehmer muss Sicherheitsmassnahmen umsetzen

Wie das BACS schreibt, muss das Unternehmen seine Mitarbeitenden bei der Umsetzung der Massnahmen gegen Cyberangriffe mit einbeziehen. Zum einen müssen sie ihre Mitarbeitenden für die Risiken der Cyberkriminalität sensibilisieren, sie ausbilden und anleiten. Zum anderen sollte das Unternehmen auch einen niederschwelligen Zugang zum Helpdesk sicherstellen. Namentlich müssen die Mitarbeiter wissen, an wen sie sich bei Sicherheitsfragen wenden dürfen und sollen.

Der Arbeitnehmer seinerseits muss die Schutzmassnahmen auch und gerade im HomeOffice umsetzen und die Weisungen der Arbeitgeberin befolgen. Tut er dies nicht, muss er allenfalls einen Schaden, der deswegen entsteht, ganz oder teilweise ersetzen. Ob und inwieweit er schadenersatzpflichtig ist, hängt dabei wie immer bei der Arbeitnehmerhaftung von den konkreten Umständen ab. So geht die Haftung etwa weiter, wenn der Arbeitnehmer sich bewusst über die Schutzmassnahmen hinweggesetzt hat oder wenn er selbst in der IT tätig ist und so die Gefahr von Cyberattacken einschätzen können muss. (Siehe auch: «Darf ich das nicht passwortgeschützte WLAN meines Nachbarn benutzen?»)