Phishing-Klick: zwischen menschlichem Fehler und Systemversagen
In der Mehrzahl der Ransomware-Vorfälle steht am Anfang ein menschlicher Klick: ein gefälschter Lieferschein, eine vermeintliche Rechnung, ein angebliches Passwort-Reset. In der Schockphase nach dem Vorfall ist es nachvollziehbar, dass Geschäftsleitungen den Klick als individuelles Versagen wahrnehmen. Juristisch ist diese Wahrnehmung aber zu kurz. Eine Phishing-Mail, die durch alle technischen Schutzschichten — Mail-Gateway, Spamfilter, URL-Sandbox, Browser-Schutz — bis in den Posteingang gelangt, ist in erster Linie ein Versagen der technischen Maßnahmen. Der menschliche Klick ist die letzte, aber nicht die einzige Verteidigungslinie.
Arbeitsrecht: Abmahnung statt Kündigung
Eine verhaltensbedingte Kündigung setzt eine erhebliche und schuldhafte Pflichtverletzung voraus, regelmäßig eine vorherige Abmahnung und eine Interessenabwägung. Ein einmaliger Klick auf eine geschickt gefälschte Phishing-Mail erfüllt diese Voraussetzungen nicht. Selbst eine Abmahnung ist nur dann tragfähig, wenn der Mitarbeiter zuvor in der Erkennung von Phishing-Mails geschult worden ist und konkrete Hinweise auf die Falschheit der Mail vorlagen. Wer ohne diese Vorgeschichte abmahnt oder kündigt, riskiert eine erfolgreiche Kündigungsschutzklage — und damit zusätzlich zur Schadenslage auch ein arbeitsgerichtliches Verfahren.
Innerbetrieblicher Schadensausgleich
Die Grundsätze des innerbetrieblichen Schadensausgleichs, vom Großen Senat des Bundesarbeitsgerichts entwickelt, begrenzen die Haftung von Arbeitnehmern bei betrieblich veranlasster Tätigkeit. Bei leichter Fahrlässigkeit haftet der Arbeitnehmer überhaupt nicht. Bei mittlerer Fahrlässigkeit erfolgt eine Quotenteilung nach Billigkeitsgesichtspunkten, die das Verhältnis von Schaden, Verschulden und Vergütung berücksichtigt — in der Praxis liegt die Quote selten über 25 Prozent. Bei grober Fahrlässigkeit kann eine volle Haftung in Betracht kommen, ist aber durch die Verdienstmöglichkeit des Arbeitnehmers faktisch begrenzt. Vorsatz ist beim Phishing-Klick regelmäßig nicht zu konstruieren.
Die Schulungspflicht des Arbeitgebers
Aus Art. 32 DSGVO, § 30 BSIG und der allgemeinen Sorgfaltspflicht der Geschäftsleitung ergibt sich eine Pflicht zur regelmäßigen Sensibilisierung der Beschäftigten. Wer diese Pflicht nicht erfüllt, kann den Mitarbeiter im Innenverhältnis kaum belangen — und steht selbst in der Verantwortung. In der Aufsichtspraxis fragen die Datenschutzbehörden nach einem Vorfall regelmäßig nach dem Schulungskonzept, der Häufigkeit, den Teilnahmequoten und den Lernerfolgsmessungen. Wer hierauf keine Antworten geben kann, riskiert eine zusätzliche Bewertung als Verstoß gegen Art. 32 DSGVO, die in das Bußgeld einfließt.
Sonderfall IT-Administration
Anders gelagert sind Fehler von IT-Administratoren, die — etwa durch fehlende Patches, mangelhafte Berechtigungskonzepte oder offene Verwaltungsschnittstellen — die initiale Kompromittierung erleichtert haben. Hier ist der Sorgfaltsmaßstab höher, weil die Beschäftigten die Aufgabe haben, die Sicherheit aufrechtzuerhalten. Auch hier gelten aber die Grundsätze des innerbetrieblichen Schadensausgleichs, die eine Vollhaftung nur in Ausnahmefällen tragen.
Empfehlung: Verantwortung systemisch klären
In unserer Beratungspraxis empfehlen wir, die Frage nach individueller Schuld nicht in der Krise zu beantworten. Sie lenkt vom eigentlichen Ziel — Schaden begrenzen, Meldepflichten erfüllen, Backups wiederherstellen — ab und führt zu Konflikten, die später juristisch teuer werden. Die richtige Adresse für die Verantwortungsfrage ist die Aufarbeitung nach dem Vorfall, dann strukturiert, unter Einbeziehung des Betriebsrats und mit Blick auf die organisatorischen Defizite, die den Vorfall überhaupt erst möglich gemacht haben.
Häufige Fragen
- Können wir den Mitarbeiter, der auf den Phishing-Link geklickt hat, kündigen?
- Regelmäßig nicht. Ein einfacher Klick auf einen Phishing-Link ist als arbeitsvertragliche Pflichtverletzung allenfalls leichte Fahrlässigkeit und rechtfertigt keine Kündigung. Eine Abmahnung setzt eine entsprechende Schulungs- und Hinweispraxis voraus.
- Können wir Schadensersatz vom Mitarbeiter verlangen?
- Die Grundsätze des innerbetrieblichen Schadensausgleichs begrenzen die Mitarbeiterhaftung stark. Bei leichter Fahrlässigkeit haftet der Mitarbeiter gar nicht, bei mittlerer Fahrlässigkeit anteilig, bei grober Fahrlässigkeit voll — letzteres ist beim bloßen Phishing-Klick aber kaum zu konstruieren.
- Welche Pflichten hat der Arbeitgeber zur Schulung?
- Aus Art. 32 DSGVO, § 30 BSIG (NIS2) und der allgemeinen Sorgfaltspflicht ergibt sich eine Pflicht zur regelmäßigen Sensibilisierung der Beschäftigten in IT-Sicherheits- und Datenschutzfragen. Wer keine Schulungen nachweist, kann den Mitarbeiter im Innenverhältnis kaum belangen.
- Was ist mit IT-Administratoren?
- Bei IT-Administratoren ist der Sorgfaltsmaßstab höher. Ein Fehler bei der Patch-Verwaltung oder beim Berechtigungsmanagement kann eher als grobe Fahrlässigkeit gewertet werden — auch hier aber im Rahmen des innerbetrieblichen Schadensausgleichs.
- Müssen wir den Mitarbeiter im DSGVO-Verfahren benennen?
- Nein. In der Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO ist der konkrete Mitarbeiter nicht anzugeben. Erforderlich sind Sachverhalt, Folgen und Maßnahmen, nicht die individuelle Schuldzuweisung.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
