Längst ist bekannt, dass Hackerangriffe die IT-Struktur eines Unternehmens existenziell treffen. Trotzdem hört und liest man aber nicht viel über solche Schadensereignisse. Cyberangriffe können zu teilweisen oder gar vollständigen Betriebsausfällen führen. Und auch wenn der Zugang zum IT-System wiederhergestellt werden konnte, so bedeutet dies noch lange nicht, dass alle Daten wieder vorhanden sind und normal gearbeitet werden kann. Neben den hohen Anforderungen an das Krisenmanagement kommen Fragen hinzu, was man während eines IT-Shutdowns mit den Mitarbeitenden macht.
Arbeit nicht möglich
Führt ein Cyberangriff vorübergehend dazu, dass in weiten Teilen des Unternehmens gar nicht mehr gearbeitet werden kann, müssen die arbeitsrechtlichen Möglichkeiten schnell geprüft werden. Im Arbeitsrecht gilt der Grundsatz: Lohn wird für geleistete Arbeit bezahlt. Wird die Arbeitsleistung nicht erbracht, so erfolgt grundsätzlich keine Lohnzahlung, es sei denn, es liege ein Fall von unverschuldeter Arbeitsverhinderung des Arbeitnehmers vor oder ein Fall des Annahmeverzugs des Arbeitgebers.
So einfach die praxisrelevante Frage der Lohnzahlung scheinen mag, so komplex ist die juristische Unterscheidung. Liegt der Grund für die Arbeitsverhinderung in der Person des Arbeitnehmenden und ist diese vom Arbeitnehmenden unverschuldet, so gilt ein gesetzlicher Lohnanspruch gemäss Art. 324a OR. Bekannt ist dies bei Arbeitsunfähigkeit infolge Krankheit oder Unfalls. Cyberangriffe und die damit verbundene faktische Stilllegung des Betriebs stellen dagegen ein Risiko dar, das im Sphärenbereich des Arbeitgebers eintritt. Die Frage der Lohnzahlung, obwohl die Mitarbeitenden keine Arbeitsleistung erbringen, muss daher nach den Regeln des Annahmeverzugs des Arbeitgebers gemäss Art. 324 OR beurteilt werden. Dabei spielt es grundsätzlich keine Rolle, ob den Arbeitgeber für die Situation ein Verschulden trifft oder nicht.
Bei Hackerangriffen könnte allenfalls dann ein Verschulden vorliegen, wenn der Arbeitgeber überhaupt keine IT-Sicherungsmassnahmen ergriffen hat, das IT-System also sozusagen einen offenen Bereich darstellt. Die Realität zeigt aber ein anderes Bild. Unternehmen schützen ihre IT gewissenhaft, Hacker und Cyber-Kriminelle finden aber dennoch immer wieder neue Schlupflöcher, um sich in betriebliche Systeme einzunisten. Selbst wenn ein Cyberangriff als Zufall oder höhere Gewalt gewertet wird, wäre wohl noch immer von einer Lohnzahlungspflicht auszugehen, da sich das Einzelereignis in der Risikosphäre des Arbeitgebers auswirkt.
Flexibilität gefordert
Unternehmen mit flexiblen Arbeitszeitmodellen sind in aller Regel im Vorteil. Die einfachste und schnellste Massnahme ist die Anordnung, dass Überstunden zu kompensieren sind. Diese Anordnung ist aber nur dann zulässig, wenn sich der Arbeitgeber vertraglich ausbedungen hat, dass er den Zeitpunkt der Überstundenkompensation bestimmen und damit die Kompensation anordnen darf. Viele Arbeitszeitreglemente machen aber genau vor diesem konsequenten Schritt halt und lassen zu, dass die Kompensation gemeinsam besprochen wird oder dass der Arbeitnehmende seine Kompensationswünsche eingibt. Nur dort, wo klar festgehalten ist, dass der Arbeitgeber einseitig den Zeitpunkt der Kompensation bestimmen darf, kann auch bei einem Cyberangriff kurzfristig die Kompensation von Überstunden verfügt werden. Der Umfang der Kompensation hängt natürlich vom Saldo der Überstunden ab.
Ob und wieweit Minusstunden angeordnet werden können, hängt wiederum von den bereits geltenden Anstellungsbedingungen ab. So ist beispielsweise denkbar, dass ein Jahresarbeitszeitmodell gilt, bei welchem sich die Schwankungen aufgrund betrieblicher Bedürfnisse ergeben und so auch möglich ist, dass die Mitarbeitenden zu Minusstunden verpflichtet werden. Wenn dies vertraglich sauber aufgestellt ist, so ist die Anordnung von Minusstunden denkbar. Allerdings muss den Mitarbeitenden die Möglichkeit geboten werden, die Minuszeit später wieder auszugleichen. Ist das nicht möglich und tritt beispielsweise ein Mitarbeitender im laufenden Jahr aus, so wäre ein Lohnabzug nicht gerechtfertigt, wenn der Grund für die Minuszeit ausschliesslich beim Arbeitgeber lag.
Eine weitere Möglichkeit besteht darin, dass der Arbeitgeber die Mitarbeitenden, welche nicht arbeiten können, nach Hause schickt, gleichzeitig von ihnen aber verlangt, dass sie auf Abruf sind und jederzeit wieder zur Arbeit aufgeboten werden können. Wenn der Arbeitgeber während dieser Zeit den Lohn voll bezahlt, kann er auch eine kurzfristige Verfügbarkeit verlangen. Der Mitarbeiter hat dann zwar nicht die Möglichkeit, die Zeit zu Hause frei zu gestalten, was aber gerechtfertigt ist. Mischformen sind ebenfalls denkbar, wenn diese zwischen Arbeitgeber und Arbeitnehmendem vereinbart werden.