open search
close
Compliance

Update zur „Chef-Masche“: Sächsisches LAG verurteilt Arbeitnehmerin zum Schadensersatz in Höhe von 150.000 €!

Print Friendly, PDF & Email
CEO-fraud

Die „Chef-Masche“, auch „CEO-Fraud“ oder „Fake President Trick“ genannt, war schon mehrfach Gegenstand von Beiträgen auf diesem Blog. Bei dieser Betrugsmasche kontaktieren die Täter Mitarbeiter von Unternehmen mittels gefälschter E-Mails, geben sich als Geschäftsführer oder Führungskraft aus und veranlassen die Mitarbeiter unter Vorspiegelung eines betrieblichen Anlasses zur Überweisung größerer Geldsummen ins Ausland. In vielen Fällen sehen die Unternehmen die überwiesenen Gelder nie wieder. Die Schäden gehen teilweise in die Millionen. Wie man sich als Unternehmen gegen die „Chef-Masche“ schützt, erfahren Sie hier.

Doch was tun, wenn das sprichwörtliche Kind schon in den Brunnen gefallen ist? Wird ein Unternehmen Opfer einer derartigen Betrugsmasche, stellt sich häufig die Frage nach (arbeits-)rechtlichen Konsequenzen für die in die unberechtigten Zahlungsvorgänge involvierten Mitarbeiter (siehe auch hier). Neben der Kündigung des Arbeitsverhältnisses spielen dabei insbesondere Schadensersatzansprüche eine entscheidende Rolle. Diese sind aufgrund der arbeitsrechtlichen Besonderheiten, insbesondere der Grundsätze des innerbetrieblichen Schadensausgleichs, indes nicht immer leicht zu realisieren. Nunmehr hat – soweit ersichtlich – erstmals ein Landesarbeitsgericht eine Arbeitnehmerin im Zusammenhang mit der „Chef-Masche“ zum Schadensersatz verurteilt (Sächsisches LAG vom 13.6.2017, Az. 3 Sa 556/16).


Der Fall: Finanzdirektorin veranlasst Überweisungen in Höhe von insgesamt 800.000 €

Der in den Details recht komplexe Sachverhalt stellt sich stark vereinfacht wie folgt dar: Die beklagte Arbeitnehmerin war bei einer konzernangehörigen Managementgesellschaft, die für andere Konzernunternehmen Verwaltungs- und Finanzdienstleistungen erbrachte, als Finanzdirektorin zu einem Jahresbruttogehalt von 100.000 € angestellt. Zu ihren Aufgaben gehörte unter anderem das Finanzmanagement der Unternehmensgruppe sowie die Organisation und Sicherung des Geldbestandes aller Unternehmen.

Im Sommer 2014 warnte die Konzernspitze per E-Mail vor Betrugsversuchen nach der sog. „Fake-President-Methode“. Ca. ein Jahr später erhielt die Finanzdirektorin mehrere vermeintlich vom CEO der Konzernmutter stammende E-Mails, in denen sie angewiesen wurde,  420.000 €, später 230.000 € und schließlich 150.000 € auf ausländische Konten zu überweisen. Zur Begründung wurde angegeben, es handele sich um eine Geldstrafe in Folge einer Steuerprüfung. Um Misstrauen durch andere Abteilungen zu vermeiden, solle die Zahlung über eine Schwestergesellschaft erfolgen. Das Geld werde nur vorübergehend genutzt und nach 48 Stunden wieder zurückgezahlt. In seinen E-Mails wies der vermeintliche CEO wiederholt auf die besondere Vertraulichkeit der Angelegenheit hin.

Daraufhin wies die beklagte Finanzdirektorin die ihr fachlich unterstellte kaufmännische Leiterin an, die Überweisungen vorzunehmen und verpflichtete sie zu strengem Stillschweigen. Die nach den konzerninternen Vorgaben für Zahlungsanweisungen über mehr als 100.000 € erforderliche Zweitunterschrift holte die Finanzdirektorin nicht ein. Als sie die angekündigte Rückzahlung des Geldes zwei Wochen später noch immer nicht feststellen konnte, ging ihr offenbar ein Licht auf und sie bemühte sich um Schadensbegrenzung. Dies gelang indes lediglich für die beiden zuletzt überwiesenen Beträge in Höhe von 230.000 € und 150.000 €, die zurückerlangt werden konnten. 420.000 € blieben hingegen verschwunden.

Die Entscheidung: Arbeitnehmerin haftet, aber nur anteilig

Anders als die Vorinstanz, die die Arbeitnehmerin zum vollen Schadensersatz verurteilt hatte, gelangt das Sächsische Landesarbeitsgericht zu einer anteiligen Haftung.

Durch Veranlassung der Überweisung habe die Finanzdirektorin zum einen gegen die Rücksichtnahmepflicht aus § 241 Abs. 2 BGB verstoßen. Diese gebiete es, keine Überweisung aus Geldbeständen der Unternehmensgruppe zu veranlassen, die nicht im geschäftlichen Interesse der Gruppe liege. Zum anderen sei der Finanzdirektorin ein Verstoß gegen die Konzernvorgabe zur Einholung einer Zweitunterschrift anzulasten.

Insgesamt habe die Arbeitnehmerin grob fahrlässig gehandelt. Sie habe objektiv die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt, indem sie die Fälschung der E-Mails nicht erkannte. Der Inhalt der E-Mails sei teilweise sinnlos und verdächtig gewesen. Daher habe sich die Arbeitnehmerin beim CEO der Ernsthaftigkeit der erhaltenen Anweisungen versichern müssen. Sogar Vorsatz sei der Arbeitnehmerin nach Ansicht des Gerichts vorzuwerfen, soweit sie gegen die Konzernvorgabe zur Einholung einer Zweitunterschrift verstoßen habe. Im Hinblick auf den Schadenseintritt habe die Finanzdirektorin wiederum grob fahrlässig gehandelt. Angesichts der vorliegenden Verdachtsmomente und der bewussten Hinwegsetzung über die Konzernvorgabe zur Einholung einer Zweitunterschrift sei die Gefahr eines Verlustes des angewiesenen Geldes für jedermann erkennbar gewesen.

Anspruchsminderung wegen Mitverschuldens

Allerdings sei der Schadensersatzanspruch wegen Mitverschuldens um insgesamt 50 % zu mindern. 10 % davon entfielen auf den Arbeitgeber, der es unterlassen habe, im Hinblick auf den „Fake President Trick“ ausreichende Schutzmaßnahmen zu implementieren. Angesichts des drohenden Schadens genüge ein einmaliger Hinweis auf die Betrugsmasche per E-Mail jedenfalls nicht. Zudem habe der Arbeitgeber existierende technische Möglichkeiten, um die Versendung von gefälschten E-Mails aufzudecken und zu verhindern (z.B. Identity Spoof Recognition), nicht eingesetzt.

Ein weiterer Mitverschuldensanteil in Höhe von 40 % entfalle auf die kaufmännische Leiterin, die die Überweisung letztlich vornahm. Denn diese habe das Vorhandensein einer Zweitunterschrift vor der Überweisung ebenfalls nicht geprüft, obwohl sie nach der Konzernvorgabe hierzu verpflichtet gewesen sei.

Haftungsbegrenzung nach den Grundsätzen der Arbeitnehmerhaftung

Eine weitere Haftungsbegrenzung folgt nach Auffassung des LAG aus den von der Rechtsprechung entwickelten Grundsätzen der eingeschränkten Arbeitnehmerhaftung. Hiernach ist die Haftung des Arbeitnehmers bei allen betrieblichen Tätigkeiten beschränkt, und zwar abhängig vom Grad seines Verschuldens. Zwar sei der Finanzdirektorin insgesamt grobe Fahrlässigkeit vorzuwerfen, was grundsätzlich eine ungeminderte Haftung zur Folge habe. Unter Abwägung der Umstände des Einzelfalls sei vorliegend indes eine Haftungsbegrenzung geboten. Der entstandene Schaden stehe außer Verhältnis zu der Vergütung der Arbeitnehmerin. Überdies habe sie ohne Eigennutz gehandelt. Vor dem Hintergrund, dass die Finanzdirektorin bereits eine neue Tätigkeit ausübe, noch lange im Erwerbsleben stehe und keine Unterhaltspflichten habe, sei eine Haftungsbegrenzung auf 150.000 € angemessen.

Fazit

Abgesehen davon, dass die vom LAG vorgenommen Haftungsreduzierungen recht beliebig anmuten, ist dem Urteil im Grundsatz zuzustimmen. Liegen deutliche Verdachtsmomente vor, müssen Mitarbeiter – zumal solche in herausgehobenen Führungspositionen – stutzig werden und zumindest weitergehende Nachforschungen anstellen. Erst recht dürfen sie sich in einer solchen Situation nicht über eindeutige arbeitgeberseitige Vorgaben zur Handhabung von Zahlungsvorgängen hinwegsetzen.

Pauschale Wertungen verbieten sich indes. Letztlich hängt die Haftung eines Arbeitnehmers stets von den Umständen des Einzelfalls, insbesondere dem Grad seines individuellen Verschuldens ab. Dies zeigt sich an einem anderen aktuellen Betrugsfall, bei dem eine Arbeitnehmern Opfer eine sog. „Spoofing-Attacke“ wurde und weisungswidrig Prepaidcodes im Wert von 3.720 € herausgab. Hier lehnte das LAG Düsseldorf (Urteil vom 29.8.2017 – 14 Sa 334/17) einen Schadenersatzanspruch ab, weil die Arbeitnehmerin nach Auffassung der Kammer nicht grob fahrlässig gehandelt hatte.

Auch in dem vom Sächsischen LAG entschiedenen Fall ist das letzte Wort noch nicht gesprochen: Die Revision der verurteilten Arbeitnehmerin ist bereits beim Bundesarbeitsgericht anhängig. Es bleibt also abzuwarten, wie die Richter aus Erfurt das Fehlverhalten der Arbeitnehmer bewerten.

Um es erst gar nicht zu einem risikobehafteten Schadensersatzprozess kommen zu lassen, gilt für Unternehmen mehr denn je: Geeignete Schutzmaßnahmen gegen Angriffe durch Trickbetrüger sind das A und O. Welche Vorkehrungen Arbeitgeber unter anderem ergreifen können, lesen Sie hier.

Jochen Saal

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Partner
Jochen Saal berät Arbeitgeber und Füh­rungs­kräfte vor allem bei der Umsetzung jeglicher Umstruk­tu­rie­rungsmaßnahmen. Besondere Expertise besitzt Jochen Saal zudem im Bereich der betrieb­li­chen Alters­ver­sor­gung. Hier unterstützt er unter anderem bei der Ver­ein­heit­li­chung von Pen­si­ons­plä­nen, dem Out­sour­cing von Pensionsverpflichtungen sowie betriebs­ren­ten­recht­li­chen Fragen im Zusam­men­hang mit Betriebs­über­gän­gen. Er ist Mitglied der Fokusgruppe "Betriebliche Altersversorgung".
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert