Vorsicht Falle – Haftung von Arbeitnehmern bei CEO-Fraud

| |
Foto: Getty Images / welcomia
Foto: Getty Images / welcomia

Unternehmen und Angestellte sehen sich immer häufiger mit versuchten Betrügereien von außerhalb konfrontiert. Eine beliebte Vorgehensweise ist dabei, dass sich die Betrüger per E-Mail beispielsweise als Geschäftsführer ausgeben, um unter Vorspiegelung dringender Sachverhalte die Überweisung hoher Summen auf ein fremdes Konto zu veranlassen (sogenannte „CEO-Fraud“).

Die Opfer derartiger Betrugsmaschen sind in der Regel Mitarbeiter aus der Buchhaltung oder dem Rechnungswesen, die berechtigt sind, Überweisungen zu tätigen. Das Landesarbeitsgericht (LAG) Sachsen (13. Juni 2017 – 3 Sa 556/16) hat nunmehr eine Mitarbeiterin zur Zahlung von Schadenersatz in Höhe von 150.000 Euro an den Arbeitgeber verurteilt.

Die Arbeitnehmerin war bei dem Unternehmen als Finanzdirektorin angestellt. Sie erzielte dabei ein Jahresbruttogehalt in Höhe von 100.000 Euro. Im Sommer 2014 warnte die Konzernspitze per Rund-E-Mail vor Betrugsmaschen nach der „CEO – Fraud-Methode“. Etwa ein Jahr später erhielt die Arbeitnehmerin mehrere vermeintlich vom Geschäftsführer stammende E-Mails, in denen sie angewiesen wurde, insgesamt 800.000 Euro auf ein ausländisches Konto zu überweisen. Die Zahlungen sollten zur Begleichung einer angeblichen Geldstrafe im Rahmen einer Steuerprüfung erfolgen. Die Mitarbeiterin wies daraufhin die ihr fachlich unterstellte kaufmännische Leiterin an, die Überweisungen vorzunehmen ohne die erforderliche Zweitunterschrift einzuholen. Für den Arbeitgeber entstand ein Schaden in Höhe von 420.000 Euro.

Das LAG Sachsen hat entschieden, dass die Arbeitnehmerin zumindest grob fahrlässig gehandelt habe. Sie habe nicht auf die Ernsthaftigkeit der E-Mails vertrauen können. Die Fälschung habe sich deshalb aufdrängen müssen. Das Gericht hielt in diesem Zusammenhang insbesondere folgende Grundsätze fest: Je mehr der Arbeitgeber zur Vermeidung solcher Vorfälle unternimmt, desto größer wird die Wahrscheinlichkeit, dass der Arbeitnehmer einen Großteil des Schadens tragen müsse. Daher sei vorliegend zu berücksichtigen, dass das Unternehmen keine ausreichenden Schutzmaßnahmen implementiert habe. Ein einmaliger Hinweis auf die Betrugsmasche per E-Mail sei jedenfalls nicht ausreichend gewesen. Die fehlende Prävention hatte somit zur Folge, dass das Unternehmen einen Großteil des Schadens selbst tragen muss, sofern in dem zugelassenen Revisionsverfahren keine Aufhebung des Urteils erfolgt.

Unternehmen sind daher gut beraten, die Mitarbeiter in den entscheidenden Schlüsselpositionen der Finanzbuchhaltung und des Rechnungswesens nachweisbar zu schulen. Für Arbeitgeber empfiehlt sich zudem die Erteilung klarer Arbeitsanweisungen und eine transparente Aufklärung über mögliche „Betrugsfallen“. Dies sollte durch technische Maßnahmen wie verschärfte E-Mail-Spamfilter und ähnliches flankiert werden.

Weiterbildungen zum Thema Arbeitsrecht