Home

Intern

Deutsch|English

Themenspecial: Employer of Record – ein Länderüberblick zu Chancen und Grenzen » |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Das Kurzarbeitergeld (Cyberkurzarbeit) – wenn die Produktion still steht!

veröffentlicht am 5. April 2023 | Lesedauer ca. 5 Minuten

Zuletzt hat das Bundesamt für Sicherheit in der Informationstechnik am 22. März 2023 das Handbuch „Management von Cyber-Risiken“ veröffentlicht. Noch nie war die Bedrohungslage so ernst wie heute. Und doch sind sehr viele Unternehmen nicht darauf vorbereitet. Die Corona-Pandemie, ein Ereignis, das sich ebenfalls niemand vorstellen mochte, hat gezeigt, dass die Vorhaltung etwaiger Notfallprozesse zwingend ist. Der Staat hat den Unternehmen damals mit einer flexiblen Ausgestaltung des Kurzarbeitergeldes Leistungen gewährt. „What ever it takes“ waren die Worte aus der Politik.

Das Kurzarbeitergeld wird auch immer mehr ein greifbares Thema bei von Cyberangriffen betroffenen Unternehmen. Die Behörden sind hier bei weitem nicht so flexibel und prüfen die Voraussetzungen zur Gewährung gründlich. Das Management sollte auf Produktions- und Dienstleistungsausfälle vorbereitet sein. Dazu gehört, dass für den Fall eines entsprechenden Cyberangriffs auch ein Handlungsplan für die Gewährung von Kurzarbeitergeld vorliegt.

Die Voraussetzungen des Kurzarbeitergeldes

Unter den Voraussetzungen der §§ 95 ff. SGB III kann einem Arbeitnehmer ein Anspruch auf Gewährung von Kurzarbeitergeld gegen die Agentur für Arbeit zustehen. Der Arbeitgeber ist verpflichtet, den Anspruch des Arbeitnehmers anzuzeigen.

Die Gewährung des Kurzarbeitergeldes erfordert gem. § 95 SGB III das Vorliegen eines erheblichen Arbeitsausfalls mit Entgeltausfall, das Vorliegen von betrieblichen und persönlichen Voraussetzungen sowie die Anzeige des Arbeitsausfalls an die Agentur für Arbeit. Die Voraussetzungen werden in den §§ 96 ff. SGB III konkretisiert.

Anwendbarkeit auf Cyberangriffe

Die Möglichkeit der Gewährung von Kurzarbeitergeld kam vor allem im Rahmen der Corona-Pandemie auf. Fraglich ist jedoch, ob auch die Kürzung der Arbeitszeit nach einem Cyberangriff auf ein Unternehmen unter den Tatbestand der §§ 95 ff. SGB III subsumiert werden kann.

Der erhebliche Arbeitsausfall, §§ 95 Nr. 1, 96 Abs. 1 SGB III

Ein besonderes Augenmerk in Bezug auf die Anwendbarkeit bei Cyberangriffen liegt auf dem erheblichen Arbeitsausfall im Sinne der § 95 Nr. 1 SGB III. Dieser wird durch § 96 SGB III konkretisiert. Sind dessen Voraussetzungen erfüllt, steht einem erfolgreichen Antrag nicht mehr viel im Wege.

Ein erheblicher Arbeitsausfall ist insbesondere unter den nachfolgenden Voraussetzungen zu prüfen:

Unabwendbarkeit des Ereignisses
vorübergehend
Unvermeidbarkeit des Arbeitsausfalls
Mindestumfang

Die Unabwendbarkeit des Ereignisses

Zunächst muss der Arbeitsausfall auf einem unabwendbare Ereignis beruhen. Der Cyberangriff muss damit ein unabwendbares Ereignis darstellen. Der Begriff des Ereignisses setzt eine Spontanität und zeitliche Abgrenzbarkeit voraus. Soweit der Cyberangriff zeitlich abgrenzbar ist, kann er folglich ein Ereignis im Sinne des § 96 Abs. 1 Nr. 1, Abs. 3 SGB III darstellen. Entscheidend ist, dass es sich nicht um einen langfristigen, sich entwickelnden Trend handelt.

Problematisch und bisher nicht höchstrichterlich entschieden ist die Frage, ob ein Cyberangriff unabwendbar sein kann. § 96 Abs. 3 SGB III normiert: Ein unabwendbares Ereignis liegt insbesondere vor, wenn ein Arbeitsausfall auf ungewöhnlichen, von dem üblichen Witterungsverlauf abweichenden Witterungsverhältnissen beruht oder durch behördliche oder behördlich anerkannte Maßnahmen verursacht ist, die der Arbeitgeber nicht zu vertreten hat. Diese Aufzählung ist keinesfalls abschließend zu verstehen. Aus der Formulierung wird jedoch deutlich, dass es sich um ein von außen kommendes, vom Arbeitgeber nicht beeinflussbares Ereignis handeln muss (so auch: BSG Urteil vom 15. Dezember 2005 - B 7a AL 10/05 R Rn. 18).

Nach der Rechtsprechung des BSG ist ein Ereignis unabwendbar, wenn es „selbst durch äußerste, nach den Umständen des Falles gebotene und vernünftigerweise zu erwartende Sorgfalt nicht abwendbar war“ (BSG Urteil vom 29. Oktober 1997 - 7 RAr 48/96 Rn. 23). Für die Beurteilung der Unabwendbarkeit sind die Maßnahmen zu betrachten, die der betroffene Arbeitgeber im Rahmen der ihm obliegenden Sorgfalt hätte treffen müssen, um den Angriff und damit den erheblichen Arbeitsausfall im Sinne des § 96 Abs. 1 SGB III zu verhindern.

Derzeit gibt es keine allgemein rechtlich verbindlichen Mindeststandards für technische und organisatorische Maßnahmen durch Unternehmen zur Abwehr von Cyberangriffen (Vgl. WD 6-3000-041/22, S. 8.). Die Anforderungen an den Sorgfaltsmaßstab sind somit auszulegen. Die „äußerste“ Sorgfalt erfordert immerhin einen strengeren Maßstab als die objektive Sorgfalt des allgemeinen Rechts- und Geschäftsverkehrs.

Eine pauschale Annahme der Unabwendbarkeit oder Abwendbarkeit eines Cyberangriffs verbietet sich. Vielmehr ist eine Einzelfallabwägung vorzunehmen. Die Wirtschaftszweigzugehörigkeit, Art und Größe des konkreten Betriebs oder Unternehmens sowie der finanziellen Leistungsfähigkeit des betroffenen Arbeitgebers müssen berücksichtigt werden.

Als Anhaltspunkt für zu ergreifende Maßnahmen im Bereich IT-Sicherheit können die Warnungen und Informationen zu neuen Schwachstellen und Sicherheitslücken sowie aktuellen Bedrohungen für IT-Systeme des Computer Emergency Response Teams der Bundesverwaltung, welches beim BSI eingerichtet ist, herangezogen werden. Weiterhin werden BSI Checklisten und Handlungsempfehlungen für Unternehmen veröffentlicht, die einen IT-Sicherheitsvorfall haben oder beabsichtigen, vorbeugende Maßnahmen zu treffen (Vgl. WD 6-3000-041/22, S. 9.). Da die Hinweise zum Teil allgemein formuliert sind, sind sie unter Umständen nicht geeignet, die äußerste Sorgfalt zur Abwendung eines Cyberangriffs zu konkretisieren.

Für Betreiber kritischer Infrastrukturen kann auf die Vorschriften des BSIG, insbesondere auf §8a BSIG, rekurriert werden. Ab dem 01.05.2023 gilt gem. § 8a Abs. 1a BSIG die Pflicht zum Einsatz von Systemen zur Angriffserkennung. Betreiber kritischer Infrastrukturen sind entsprechend des § 8a Abs. 3 BSIG dazu verpflichtet, dem Bundesamt die Erfüllung der Anforderungen aus § 8a Abs. 1, 1a BSIG nachzuweisen.

Eine Betrachtung unter datenschutzrechtlicher Perspektive, insbesondere Art. 32 DS-GVO, kann ebenfalls bei der Beurteilung helfen, ob der Arbeitgeber alle erforderlichen Maßnahmen zur Abwendung eines Cyberangriffs ergriffen hat.

Ein Cyberangriff kann unter Berücksichtigung aller Umstände des Einzelfalls, sowie der wirtschaftlichen Vertretbarkeit der Schutzmaßnahmen durchaus ein unabwendbares Ereignis im Sinne des § 96 Abs. 1 Nr. 1, Abs. 3 SGB III darstellen.

Unvermeidbarkeit des Arbeitsausfalls

Weiterhin muss ein unmittelbarer Zusammenhang zwischen dem unabwendbaren Ereignis (dem Cyberangriff) und dem Arbeitsausfall bestehen. Der Arbeitsausfall muss für den Arbeitgeber unvermeidbar sein. Die Unvermeidbarkeit wird durch § 96 Abs. 4 SGB III konkretisiert. Sofern durch den Cyberangriff die Möglichkeit der Verrichtung der Tätigkeit zumindest vorübergehend eingeschränkt ist, dürfte die erforderliche Unmittelbarkeit vorliegen. Der Arbeitgeber muss zusätzlich alle Maßnahmen ergriffen haben, die den Arbeitsausfall zu verhindern vermögen.

Übrige Voraussetzungen des erheblichen Arbeitsausfalls

Für den Anspruch auf Kurzarbeitergeld darf der Arbeitsausfall nur vorübergehend sein. Außerdem müssen im jeweiligen Kalendermonat (Anspruchszeitraum) mindestens ein Drittel der Arbeitnehmer von einem Entgeltausfall von jeweils mehr als 10 % (Mindestumfang) betroffen sein. Diese beiden Voraussetzungen dürften in der Praxis nach einem Cyberangriff regelmäßig vorliegen.

Weitere Voraussetzungen für die Gewährung des Kurzarbeitergeldes

Zuletzt sei der Vollständigkeit halber darauf hingewiesen, dass die betrieblichen und persönlichen Voraussetzungen erfüllt sein müssen und der Arbeitsausfall der Agentur für Arbeit angezeigt werden muss, § 95 Nrn. 3-5 SGB III.

Fazit

Grundsätzlich kann der Anspruch der Arbeitnehmer auf die Gewährung von Kurzarbeitergeld im Falle eines Cyberangriffs bestehen. In diesem Falle ist der Arbeitgeber verpflichtet, den Anspruch für seinen Arbeitnehmer abzuwickeln (Es ist zu beachten, dass sich der Arbeitgeber bei fehlerhafter Anmeldung der Kurzarbeit schadensersatzpflichtig machen kann, hierzu LArbG Berlin-Brandenburg Urteil vom 26.08.2022 – 12 Sa 297/22). Die Hürde besteht hierbei im Beweis der Unabwendbarkeit des Cyberangriffs.

Die Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergriffen haben, um einen möglichen Angriff abzuwehren. Zum Nachweis ist eine Zertifizierung nach ISO 27002:2022 bzw. 27001:2022 in der Praxis sehr hilfreich und erspart aufwendige Aufbereitungen. Zudem ist dem Management ein stringentes Business-Continuity-Management zu empfehlen; ggfls. ebenfalls zertifiziert (ISO 22301).

Jedoch gilt: welche Anforderungen an den Sorgfaltsmaßstab gestellt werden müssen, bleibt im Einzelfall zu entscheiden. Insbesondere müssen die Wirtschaftszweigzugehörigkeit, Art und Größe des konkreten Betriebs oder Unternehmens sowie die finanzielle Leistungsfähigkeit berücksichtigt werden. Der Arbeitgeber muss außerdem alles in seiner Macht stehende tun, um den Arbeitsausfall zu vermeiden.