Waarom je in Duitsland de pineut kunt zijn wanneer je werknemer per ongeluk spam doorstuurt

Ben je als werkgever aansprakelijk voor de schade wanneer een werknemer per ongeluk een email met spam doorstuurt? In Duitsland wel, dit is hoe je jezelf kunt beschermen tegen het onbewust doorsturen van spam, phishing of malware.

Niet zo lang geleden ging er een op het eerste gezicht zeer betrouwbare e-mail rond bij veel Duitse ondernemers. Afzender was Hans Dittrichs, schijnbaar een advocaat, die er namens zijn cliënten op wees dat de ontvangers van de e-mail niet voldeden aan artikel 13 van DSGVO (Datenschutz-Grundverordnung), in het Nederlands bekend als ‘Algemene Verordening Gegevensbescherming‘ (AVG). De Engelse term voor deze Europese data- en privacywetgeving die in 2018 inging, is de General Data Protection Regulation (GDPR)

In zijn e-mail schrijft Dittrichs: “Deze nieuwe regeling gaat veel verder dan u denkt. In de bijlage kunt u lezen hoe u precies inbreuk maakt op de privacy van anderen”. Maar dit bestand bevatte een virus, waarschuwde de Rechtsanwaltskammer Karlsruhe eerder dit jaar. Het advocatenkantoor inclusief advocaat Hans Dittrichs bleken na nader onderzoek niet te bestaan. “Open de bijlage niet!”

Werkgever kan aansprakelijk zijn voor doorgestuurde spam

Dit soort vormen van spam, phishing en malware per mail komt regelmatig voor, merkt dr. Romy Latka van STRICK Rechtsanwälte & Steuerberater in haar dagelijks praktijk. De advocaat die zich onder meer gespecialiseerd heeft in internationaal contractrecht en software- en licentierecht, wijst erop dat de afzender van een met een virus besmette post aansprakelijk is voor de schade. Zelfs als hij of zij de besmette inhoud onbewust doorstuurt.”

Wanneer een werknemer via een bedrijfsadres een dergelijke mail doorstuurt, kan ook de werkgever aansprakelijk zijn, vertelt Latka. “Dat geldt ook wanneer de directie of leidinggevende hier niet van op de hoogte was.” De werkgever is aansprakelijk onder het aspect van een ‘organisatorische fout’. “Elke ondernemer moet zijn werknemers opleiden en controleren rond de veiligheidsrisico’s van het gebruik van internet.”

Disclaimer is geen bescherming

Deze aansprakelijkheid geldt ook wanneer er geen enkele organisatorische richtlijn is opgesteld of als de naleving ervan niet voldoende is gecontroleerd, vertelt ze. “In zo’n richtlijn moet dan staan dat medewerkers bepaalde e-mails en hun bijlagen niet mogen openen, zonder bijvoorbeeld collega’s van de ict-afdeling te raadplegen. Ook moet de ict-afdeling voldoende voorzorgsmaatregelen hebben genomen.”

Ondernemers kunnen zich juridisch indekken door hun firewalls op orde hebben en een goed bijgewerkt softwarelandschap hebben, zegt Latka. “Een disclaimer biedt geen bescherming tegen acties zoals spam en phishing.”

STRICK Rechtsanwälte & Steuerberater

STRICK biedt Nederlandse ondernemers die in Duitsland zaken (willen) doen of een dochteronderneming willen opstarten, alomvattend juridisch en fiscaal advies.
Aanmelden voor de nieuwsbrief: `Tax & Law Ticker´