Zurück zum Blog

Bin ich haftbar, wenn mein Mitarbeiter auf einen Phishing-Angriff hereinfällt?

Rechtliche Risiken, Compliance-Risiken und intelligente Präventionsstrategien für KMUs verstehen

Von Autophish Team|Veröffentlicht am 7/28/2025
Cover image for Bin ich haftbar, wenn mein Mitarbeiter auf einen Phishing-Angriff hereinfällt?

Für kleine und mittlere Unternehmen (KMU) kann eine einzige Phishing-E-Mail eine Kaskade von schwerwiegenden Folgen auslösen: gestohlene Zugangsdaten, Datenverlust, Rufschädigung - und rechtliche Schritte. Aber ist dein Unternehmen rechtlich verantwortlich, wenn ein Mitarbeiter auf einen Phishing-Betrug hereinfällt?

Die Antwort hängt davon ab, wo du tätig bist und welche Art von Daten auf dem Spiel steht. In der Europäischen Union (EU), im Vereinigten Königreich (UK) und in den Vereinigten Staaten (US) sind die Gesetze und Erwartungen unterschiedlich, aber ein Thema ist einheitlich: Präventive Maßnahmen sind wichtig.

In diesem Artikel gehen wir darauf ein:

  • Was das Gesetz in den verschiedenen Rechtssystemen sagt
  • Wann Unternehmen für Fehler ihrer Mitarbeiter/innen zur Verantwortung gezogen werden können
  • Wie Schulungen und Phishing-Simulationen das Risiko verringern

⚖️ Dies ist keine Rechtsberatung. Wenden Sie sich immer an einen qualifizierten Anwalt in Ihrem Land, wenn Sie spezielle Fragen haben.

EU: GDPR und NIS2-Schulung als rechtliche Verpflichtung

In der Europäischen Union wird der Datenschutz vor allem durch die General Data Protection Regulation (GDPR) und seit kurzem auch durch die NIS2-Richtlinie geregelt.

GDPR: Die 72-Stunden-Regel und mehr

Nach Artikel 33 der DSGVO müssen Unternehmen ihre nationale Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen, es sei denn, es ist unwahrscheinlich, dass die Verletzung zu einem Risiko für Einzelpersonen führt.

Wenn ein/e Mitarbeiter/in auf eine Phishing-E-Mail hereinfällt, die persönliche Daten preisgibt (z. B. Kunden-E-Mails, Personaldaten, Finanzdaten), muss das Unternehmen das:

  • Die Aufsichtsbehörde benachrichtigen
  • Möglicherweise betroffene Personen benachrichtigen (wenn das Risiko "hoch" ist)
  • Den Vorfall und die getroffenen Maßnahmen dokumentieren

Entscheidend ist nicht, ob der Phishing-Angriff raffiniert war, sondern ob das Unternehmen angemessene Schutzmaßnahmen getroffen hat.

NIS2: Sicherheit für wesentliche und wichtige Einrichtungen

Die NIS2-Richtlinie, die seit 2023 in Kraft ist, legt die Messlatte für Unternehmen in Bereichen wie Logistik, Transport, Finanzen, Gesundheit und digitale Dienstleistungen noch höher. Sie schreibt vor:

  • Cybersecurity-Risikomanagement
  • Regelmäßige Mitarbeiterschulungen
  • Verpflichtung zur Meldung von Vorfällen
  • Geldstrafen bei Nichteinhaltung

Die Quintessenz? Selbst wenn dein/e Mitarbeiter/in einen Fehler gemacht hat, kann deine Haftung davon abhängen, wie gut du ihn/sie vorbereitet hast.

Quelle: [ENISA Threat Landscape 2024] (https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024)

UK: GDPR-Klon und Sanktionen in der realen Welt

Nach dem Brexit hat das Vereinigte Königreich den GDPR-Rahmen in Form der UK GDPR und des Data Protection Act 2018 beibehalten. Die meisten Verpflichtungen sind identisch mit denen in der EU:

  • Datenverstöße innerhalb von 72 Stunden melden
  • Informiere die betroffenen Personen, wenn ein "hohes Risiko" für sie besteht
  • Interne Aufzeichnungen über alle Verstöße und Entscheidungen führen

Fallstudie: Interserve Geldstrafe (4,4 Mio. £)

Im Jahr 2022 verhängte die ICO gegen Interserve eine Geldstrafe in Höhe von 4,4 Millionen Pfund, nachdem durch einen Phishing-Angriff über 100.000 Mitarbeiterdaten offengelegt wurden. Die ICO führte mangelhafte Schulungen, veraltete Software und unzureichende Überwachung als Hauptfehler an - und nicht den Fehler des Mitarbeiters.

In Großbritannien wird von Arbeitgebern erwartet, dass sie eine Kultur des Sicherheitsbewusstseins schaffen. Das bedeutet:

  • Regelmäßige Schulungen
  • Simulationen von Vorfällen
  • Protokollierung und Dokumentation von Risiken und Reaktionen

Quelle: ICO Enforcement Action* Best practice: NCSC Small Business Guide

USA: Ein Flickenteppich von Gesetzen mit einer Botschaft - Schnell handeln

In den Vereinigten Staaten gibt es kein einheitliches nationales Gesetz zur Meldung von Datenschutzverletzungen, aber alle 50 Bundesstaaten haben ihre eigenen Gesetze. Diese schreiben in der Regel vor:

  • Benachrichtigung der betroffenen Personen
  • Oft innerhalb von 30 bis 60 Tagen nach der Entdeckung
  • Einige Staaten verlangen die Benachrichtigung von Aufsichtsbehörden

Staaten wie Kalifornien, New York und Colorado haben strengere Anforderungen, besonders wenn sensible Daten gefährdet sind.

Bundesmaßnahmen über die FTC

Die Federal Trade Commission (FTC) kann Unternehmen wegen "unlauterer oder irreführender Praktiken" bestrafen - dazu gehört auch schlechte Cybersicherheit. In den letzten Jahren hat die FTC deutlich gemacht, dass Mitarbeiterschulungen und Phishing-Prävention Teil einer angemessenen Cybersicherheit sind.

  • Im Jahr 2021 startete die FTC eine Warnkampagne, die sich an Unternehmen richtet, die ihre Mitarbeiter/innen nicht in Social Engineering schulen.
  • In mehreren Vollstreckungsfällen wurde das Nichthandeln bei bekannten Phishing-Risiken als Fahrlässigkeit angeführt.

Quelle: FTC Data Breach Response Guide

Bist du haftbar? Das hängt von der Vorbereitung ab

Die Gesetze sind zwar unterschiedlich, aber der allgemeine rechtliche Konsens in den verschiedenen Rechtsordnungen lautet:

  • Du bist unter Umständen nicht direkt haftbar, wenn ein Mitarbeiter auf einen Phishing-Link klickt
  • Aber du kannst haftbar gemacht werden, wenn du keine angemessenen Schritte unternommen hast, um die Auswirkungen zu verhindern oder zu mindern

**Was gilt als angemessene Maßnahme?

  • Dokumentierte Sicherheitsschulung
  • Regelmäßige Phishing-Simulationen
  • Starke Zugangskontrolle und Überwachung
  • Klare Reaktionspläne

Gerichte und Aufsichtsbehörden beurteilen, ob der Verstoß vorhersehbar war und ob du nachlässig gehandelt hast, um ihn zu verhindern.

Ein geschultes, gut informiertes Team ist deine beste rechtliche Verteidigung.

Wie Phishing-Simulationen helfen

Phishing-Simulationen sind nicht nur ein IT-Tool, sondern auch ein Instrument für das Compliance- und rechtliche Risikomanagement.

Zu den Vorteilen gehören:

  • Nachweis der Sorgfaltspflicht bei Audits
  • Verringerung des Risikos von Verstößen in der realen Welt
  • Schulung der Mitarbeiter anhand von Beispielen aus der Praxis
  • Aufzeichnung von Metriken und Verbesserungen im Laufe der Zeit

Plattformen wie AutoPhish machen dies für KMU einfach:

  • KI-generierte Phishing-Tests
  • Vollständig GDPR-konform
  • Keine echte Datenerfassung
  • Laufende Metriken für die Rechenschaftspflicht

"Wir schulen unsere Leute" ist eine gute Geschichte. "Wir simulieren, berichten und verbessern" ist eine bessere.

Schlussgedanken: Alles dokumentieren

Wenn es um Phishing-Vorfälle geht, ist deine Dokumentation deine Versicherungspolice. Wenn eine Behörde anruft, musst du zeigen:

  • Wann die Schulung stattgefunden hat
  • Wie die Simulationen durchgeführt wurden
  • Wie schnell du auf den Verstoß reagiert hast
  • Ob und wann die betroffenen Nutzer benachrichtigt wurden

✅ Führe Aufzeichnungen ✅ Aktualisiere deine Richtlinien regelmäßig ✅ Arbeite mit der Rechtsabteilung und der IT-Abteilung zusammen

Das Gesetz mag einen Fehler verzeihen - aber nicht einen Mangel an Vorbereitung.

🧑‍⚖️ Konsultiere immer einen Rechtsbeistand, um dein Cybersicherheitsprogramm mit den lokalen Gesetzen und branchenspezifischen Anforderungen in Einklang zu bringen.

Zurück zu allen Beiträgen

Bereit, deine menschliche Firewall zu stärken?

Melde dich an und starte deine erste Phishing-Simulation in wenigen Minuten.

Jetzt Simulation startenKontakt aufnehmen