CYBERATTACKEN – UND DEREN ARBEITSRECHTLICHEN FOLGEN FÜR DEN ARBEITGEBER
Dr. iur. Stephan Fröhlich, Rechtsanwalt unter Mithilfe von MLaw Daniela Bächli
Die zunehmende Digitalisierung birgt viele neue Risiken für Arbeitgeber. Insbesondere sogenannte Cyberangriffe haben in den letzten Jahren zugenommen. Dabei sind vermehrt auch KMUs ins Visier der kriminellen Organisationen geraten. Kann im Betrieb aufgrund einer Cyberattacke mehrere Tage nicht gearbeitet werden, kann dies insbesondere für kleinere Unternehmen kaum verkraftbare finanzielle Folgen haben. Nachfolgend wird aufgezeigt, ob und inwiefern ein Arbeitgeber im Falle einer Cyberattacke eine Lohnfortzahlungspflicht trifft und den Bezug von Überstunden und Ferien anordnen kann.
.
I. LOHNFORTZAHLUNG
Kann ein Arbeitgeber seinen Arbeitnehmenden aufgrund eines Cyberangriffs keine Arbeit anbieten, liegt ein sogenannter Arbeitgeberverzug vor. Nach Art. 324 OR ist der Arbeitgeber zur Entrichtung des Lohnes weiterhin verpflichtet, wenn die Arbeit infolge Verschuldens des Arbeitgebers nicht geleistet werden kann oder er aus anderen Gründen mit der Annahme der Arbeitsleistung in Verzug gerät. Die Arbeitnehmenden haben somit weiterhin Anspruch auf ihren Lohn, auch wenn der Arbeitgeber kein Verschulden trifft (z.B. indem letzterer technische und organisatorische Massnahmen ergriffen hat, um die Daten zu schützen). Darüber hinaus können Arbeitnehmende nach überwiegender Lehrmeinung nicht verpflichtet werden, die Arbeitsleistung zu einem späteren Zeitpunkt nachzuholen. Dahingegen müssen Arbeitnehmende sich anrechnen lassen, was sie in der Zeit des Arbeitgeberverzugs eingespart bzw. hätten einsparen können oder was sie anderweitig verdient haben oder hätten verdienen können.
.
II. NACHARBEIT OHNE GESONDERTE ENTSCHÄDIGUNG (EXKURS ZU EINER VEREINZELT ANZUTREFFENDEN LEHRMEINUNG)
In der Literatur wird vereinzelt die Lehrmeinung vertreten, dass Arbeitnehmende in Fällen «höherer Gewalt» zu einem entschädigungslosen Nacharbeiten der Minusstunden angehalten werden können sollen, weil den Arbeitgebern am Arbeitgeberzug kein Verschulden treffe. Nach dieser Lehrmeinung wären die nach der Wiederaufschaltung der IT-Systeme anfallenden Mehrstunden nicht zu entschädigen; und zwar im Umfang der nicht geleisteten Stunden während des Ausfalls. Dies natürlich unter der Bedingung, dass der Lohn während des Ausfalls weiterhin bezahlt wurde. Ob diese Meinung einer gerichtlichen Überprüfung standhalten würde, wird (stark) bezweifelt. Schliessen sich Arbeitgeber dieser Meinung an, gehen sie ein imminentes Risiko der Rückforderung durch ihre Arbeitnehmenden ein. Je nach Dauer des IT-Ausfalls (und damit je nach Volumen der potentiellen Rückforderung) könnte dies für das Unternehmen existentiell werden.
.
III. ÜBERSTUNDENKOMPENSATION
Aus den oben gemachten Ausführung ergibt sich, dass während eines Cyberangriffs Lohn geschuldet ist. Um den finanziellen Schaden möglichst gering zu halten, stellt sich daher die Frage, ob während dieser Zeit gegenüber den Arbeitnehmenden die Kompensation von Überstunden angeordnet werden kann. Grundsätzlich setzt die Kompensation von Überstunden durch Freizeit die (stillschweigende) Zustimmung von Arbeitgeber und Arbeitnehmenden voraus. Allerdings kann dem Arbeitgeber vertraglich das Recht eingeräumt werden, Kompensation einseitig anzuordnen, z.B. mit entsprechender Regelung im Arbeitsvertrag oder Personalreglement. Ohne Regelung beurteilt sich die Frage der Zulässigkeit danach, ob die Arbeitnehmenden von der gewonnenen Freizeit noch sinnvoll Gebrauch machen können. Dies wird auch bei kurzfristigen Anordnungen regelmässig der Fall sein, weil beim Überstundenbezug (anders als bei Ferien, dazu nachfolgend) kein Anspruch darauf besteht, die Gestaltung der Freizeit vorab langfristig zu planen.
Wenn einzelne Mitarbeiter etwa ein Jahreszeitarbeitsmodell haben, liesse sich gegebenenfalls gar die Anordnung von Minusstunden rechtfertigen, welche dann durch Mehrarbeit zu kompensieren wäre, sobald die IT wieder funktioniert. Das wäre insbesondere dann (sofern im zumutbaren Mass) der Fall, wenn sich die Lage der Jahresarbeitszeit vertraglich explizit auch nach den betrieblichen Bedürfnissen richtet.
.
IV. FERIENBEZUG
Der Zeitpunkt der Ferien bestimmt grundsätzlich der Arbeitgeber, wobei er aber auf die Interessen seiner Arbeitnehmenden Rücksicht zu nehmen hat. Der Arbeitgeber hat die Arbeitnehmenden zur zeitlichen Lage anzuhören und auf deren Wünsche möglichst Rücksicht zu nehmen. In der Praxis hat sich eine Mindestankündigungsfrist der Ferienanordnung von drei Monaten etabliert, da den Arbeitnehmenden im Regelfall eine ausreichende Vorlaufzeit zur Planung der Ferien zu gewähren ist. Dies insbesondere deshalb, weil Ferien explizit einen Erholungscharakter haben müssen. Die Ferienanordnung von einem Tag auf den anderen wird dem Anspruch auf frühzeitige Anordnung kaum gerecht. Schliesslich wird bereits eine Ferienanordnung 14 Tage vor Ferienbeginn in der Lehre als zu kurzfristig erachtet. Anders liesse sich die Sachlage allenfalls dann beurteilen, wenn es dem Arbeitgeber gelingen würde, höherwertige Interessen des Betriebes auf Schadensabwendung gegenüber jenen Interessen des Arbeitnehmers auf frühzeitige Ferienplanung geltend zu machen, wenn der betroffene Arbeitnehmer einen Berg von angehäuften Ferien vor sich herschiebt. Schlussendlich wurde die Frage noch nicht höchstrichterlich beurteilt, weshalb u.E. von der Kompensation von Ferienguthaben abgesehen werden sollte. In der Praxis wird somit auf die Kooperationsbereitschaft der eigenen Arbeitnehmenden zu hoffen sein.
.
V. FAZIT
Um den finanziellen Schaden eines Cyberangriffes möglichst gering zu halten, kann der Arbeitgeber gegenüber seinen Arbeitnehmenden für den Zeitraum, in welchem infolge des Angriffes keine Arbeit geleistet werden kann, die Kompensation von Überstunden anordnen. Idealerweise, befindet sich bereits im Arbeitsvertrag oder im Personalreglement eine entsprechende Regelung zur einseitigen Anordnung von Überstundenkompensation. Ist dies nicht der Fall, dürfte die kurzfristige Kompensationsanordnung in Ausnahmesituationen, wie einem Cyberangriff, aber dennoch zulässig sein. Auf eine einseitige und kurzfristige Ferienanordnung sollte hingegen verzichtet werden, da eine solche u.E. aus rechtlicher Sicht nicht zulässig ist.
10. Oktober 2022 / Dr. iur. Stephan Fröhlich unter Mithilfe von MLaw Daniela Bächli