Wenn digitale Bewerbungsprozesse zur persönlichen Haftungsfalle werden
Ein Berliner Software-Unternehmer erlebte im Jahr 2024 den Albtraum jeder Führungskraft: Nach anderthalb Jahren einwandfreier Zusammenarbeit mit zwei Remote-Entwicklern stellte sich heraus, dass beide unter falschen Identitäten arbeiteten. Die angegebenen Adressen in Japan und China existierten nicht. Die Mitarbeiter, deren Code stets qualitativ hochwertig war und die termingerecht lieferten, entpuppten sich als nordkoreanische IT-Arbeiter. Der Unternehmer hatte unwissentlich mit seinen monatlichen Überweisungen das Atomwaffenprogramm Kim Jong-uns mitfinanziert und sich damit strafbar gemacht.
Am 1. Oktober 2024 reagierte das Bundesamt für Verfassungsschutz auf diese und weitere Fälle mit einem offiziellen Sicherheitshinweis für die deutsche Wirtschaft. Die Botschaft ist eindeutig: Vollständig digitale Bewerbungsverfahren ohne physische Identitätsprüfung schaffen strukturelle Sicherheitslücken, die nordkoreanische Operationen systematisch ausnutzen. Was viele Manager unterschätzen: Diese Sicherheitslücken begründen nicht nur Unternehmensrisiken, sondern führen direkt zur persönlichen und unbegrenzten Haftung der Geschäftsführung.
Die rechtliche Lage ist unmissverständlich: Gemäß Paragraf 43 des GmbH-Gesetzes und Paragraf 93 des Aktiengesetzes haften Geschäftsführer und Vorstände persönlich für Organisationsverschulden. Die Rechtsprechung hat diese Haftung in den vergangenen Jahren kontinuierlich verschärft. Das Oberlandesgericht Nürnberg stellte am 30. März 2022 in einem wegweisenden Urteil klar: Die Pflicht zur Implementierung eines Compliance-Management-Systems besteht unabhängig von der Unternehmensgröße. Es gibt keine Bagatellschwelle mehr. Jeder Manager, der Remote-Mitarbeiter ohne angemessene Due Diligence einstellt, handelt potenziell fahrlässig und haftet mit seinem gesamten Privatvermögen.
Die Anatomie moderner Täuschungsoperationen
Die nordkoreanischen IT-Operationen haben ein Niveau an Professionalität erreicht, das selbst erfahrene Personalverantwortliche überfordert. Das Bundesamt für Verfassungsschutz identifiziert in seinem Sicherheitshinweis mehrere Warnsignale, die Manager kennen und ernst nehmen müssen. Diese Red Flags sind nicht etwa theoretische Risikoindikatoren, sondern praktische Merkmale, die in fast allen dokumentierten Fällen auftraten.
Das offensichtlichste Warnsignal ist die Verweigerung oder wiederholte Verschiebung von Videoanrufen während des Bewerbungsprozesses. Bewerber argumentieren mit technischen Problemen, schlechter Internetverbindung oder defekten Kameras. In Wahrheit verschafft dies Zeit für die Vorbereitung von Deepfake-Technologie. Forschungen von Palo Alto Networks zeigen, dass Real-Time Deepfakes heute innerhalb von siebzig Minuten mit Consumer-Hardware erstellt werden können. Die künstliche Intelligenz manipuliert dabei nicht nur das Bild, sondern synchronisiert auch die Lippenbewegungen in Echtzeit. Moderne Large Language Models wie ChatGPT liefern simultan die inhaltlich korrekten Antworten auf Fachfragen.
Die Erkennung solcher Deepfakes ist möglich, erfordert aber geschultes Personal und standardisierte Testverfahren. Temporale Inkonsistenzen treten auf, wenn der Bewerber schnelle Kopfbewegungen macht. Audio-Video-Asynchronität wird sichtbar bei Verbindungsunterbrechungen. Ein einfacher, aber effektiver Test besteht darin, den Kandidaten zu bitten, die Hand langsam vor das Gesicht zu bewegen. Deepfake-Software hat Schwierigkeiten, Verdeckungen in Echtzeit korrekt darzustellen. Die Finger verschmelzen mit dem Gesicht oder verschwinden kurzzeitig.
Dokumentarische Auffälligkeiten bilden die zweite Kategorie von Warnsignalen. LinkedIn-Profile, die weniger als sechs Monate alt sind, gelten als hochverdächtig. Nordkoreanische IT-Arbeiter erstellen regelmäßig neue Identitäten, nachdem alte Profile aufgeflogen sind. Die Profile zeigen typischerweise wenige, generische Verbindungen und kaum Interaktionen. Empfehlungen stammen von Profilen, die ebenfalls neu oder inaktiv sind. Der Lebenslauf weist Lücken auf oder zeigt eine Häufung von Kurzzeit-Projekten bei Unternehmen, die schwer zu verifizieren sind.
Die angegebenen Wohnadressen lassen sich oft nicht verifizieren. Google Street View zeigt Geschäftsgebäude statt Wohnhäuser, oder die Adresse existiert schlicht nicht. Wenn Bewerber Nachweise wie Mietverträge oder Stromrechnungen vorlegen, sind diese häufig gefälscht. Die Qualität der Fälschungen ist allerdings hoch. Nur der direkte Abgleich mit dem ausstellenden Unternehmen oder Behörden bringt Klarheit. Die Ausweisdokumente selbst können ebenfalls gefälscht oder gestohlen sein. Der Chapman-Fall in den USA zeigte, dass gestohlene Identitäten realer Personen verwendet werden, komplett mit deren Sozialversicherungsnummern und Geburtsdaten.
Die Zahlungsmodalitäten offenbaren das dritte Set von Red Flags. Bewerber bestehen auf Zahlungen in Kryptowährungen, über PayPal, Wise oder andere Finanzdienstleister, die schnelle internationale Transfers ermöglichen. Die Konten wechseln häufig, angeblich wegen Bankproblemen oder Umzügen. Tatsächlich dienen die wechselnden Konten der Verschleierung der Geldflüsse. Im Nike-Fall flossen fünfundsiebzigtausend Dollar über solche Kanäle direkt nach Nordkorea, bevor das Unternehmen den Betrug bemerkte.
Während der Arbeitsphase zeigen sich technische Anomalien. Die IT-Abteilung stellt fest, dass der Mitarbeiter einen VPN-Dienst verwendet, insbesondere Astrill VPN, der häufig mit nordkoreanischen Operationen in Verbindung gebracht wird. Die IP-Adresse wechselt zwischen verschiedenen Ländern, obwohl der Mitarbeiter vorgibt, von einem festen Standort zu arbeiten. Das Phänomen des Impossible Travel tritt auf: Der Mitarbeiter loggt sich morgens aus Japan ein, mittags aus Deutschland und abends aus den USA. Physisch unmöglich, technisch trivial durch Laptop-Farmen und Proxy-Systeme.
Due Diligence als rechtliche Pflicht
Die rechtlichen Anforderungen an Manager bei Remote-Einstellungen leiten sich aus verschiedenen Rechtsgebieten ab. Das Außenwirtschaftsgesetz verbietet Geschäfte mit sanktionierten Ländern und Personen. Die EU-Verordnung 2017/1509 untersagt jegliche wirtschaftliche Zusammenarbeit mit nordkoreanischen Staatsangehörigen. Geldtransfers über fünfzehntausend Euro sind grundsätzlich genehmigungspflichtig. Verstöße können mit bis zu zehn Jahren Freiheitsstrafe geahndet werden. Die Unwissenheit über die wahre Identität des Vertragspartners schützt nicht vor Strafe, wenn die Unwissenheit auf unzureichenden Prüfmaßnahmen beruht.
Das Know-Your-Customer-Prinzip, ursprünglich aus dem Finanzsektor stammend, muss heute analog auch bei Personalentscheidungen angewendet werden. Manager müssen die Identität ihrer Vertragspartner zweifelsfrei feststellen können. Bei Remote-Mitarbeitern bedeutet dies konkret: Video-Interview mit eingeschalteter Kamera ist nicht optional, sondern obligatorisch. Der Personalverantwortliche muss während des Video-Calls einen amtlichen Lichtbildausweis prüfen. Das Dokument muss gut lesbar in die Kamera gehalten werden. Name, Foto und Geburtsdatum müssen mit den Bewerbungsunterlagen übereinstimmen.
Ein aktueller Adressnachweis, nicht älter als drei Monate, ist zwingend erforderlich. Dies kann eine Meldebescheinigung, eine Strom- oder Wasserrechnung oder ein Kontoauszug sein. Bei Zweifeln an der Echtheit muss der ausstellende Versorger oder die Behörde kontaktiert werden. Diese zusätzliche Mühe erscheint übertrieben, ist aber die einzige Möglichkeit, gefälschte Dokumente zu identifizieren.
Das Screening gegen internationale Sanktionslisten muss vor Vertragsabschluss erfolgen. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle führt Listen, die regelmäßig aktualisiert werden. Kommerzielle Anbieter wie World-Check, Dow Jones Risk & Compliance oder Refinitiv bieten automatisierte Screening-Lösungen. Ein einmaliger Check genügt nicht. Die Rechtsprechung fordert regelmäßige, mindestens jährliche Aktualisierungen, da Sanktionslisten laufend ergänzt werden.
Referenzen müssen telefonisch verifiziert werden. E-Mail-Referenzen sind wertlos, da sie leicht gefälscht werden können. Das Telefonat sollte mit öffentlich verifizierbaren Telefonnummern des angeblichen Referenzgebers geführt werden, nicht mit den im Lebenslauf angegebenen Nummern. Die Fragen sollten spezifisch sein und Details zu konkreten Projekten abfragen, die sich nicht aus dem Lebenslauf ableiten lassen.
Die technischen Kontrollen beginnen bereits beim Onboarding. Jeder Remote-Mitarbeiter erhält firmeneigene Hardware, die vor dem Versand mit Endpoint Detection and Response Software ausgestattet wird. EDR-Systeme wie CrowdStrike, SentinelOne oder Microsoft Defender for Endpoint überwachen alle Aktivitäten auf dem Gerät in Echtzeit. Sie erkennen verdächtige Prozesse, unautorisierten Datenabfluss und Malware-Installationen. Im KnowBe4-Fall in Deutschland schlug genau diese Technologie innerhalb von Stunden Alarm, nachdem der neue Mitarbeiter versucht hatte, Schadsoftware zu installieren.
Multi-Faktor-Authentifizierung ist für alle Systemzugänge Pflicht. Die zweite Faktor sollte idealerweise ein Hardware-Token sein, nicht eine SMS oder eine Authentifizierungs-App. VPN-Nutzung muss in den IT-Richtlinien explizit geregelt sein. Entweder wird sie grundsätzlich verboten, oder es wird ein firmeneigener VPN-Dienst bereitgestellt. Private VPN-Dienste, insbesondere solche ohne nachweisbaren Geschäftssitz in Rechtsstaaten, sind inakzeptabel.
Das Monitoring der Netzwerkaktivitäten muss dokumentiert werden. IT-Sicherheitsteams sollten regelmäßig Reports über Anmeldezeiten, IP-Adressen und Datenflüsse erstellen. Anomalien wie nächtliche Zugriffe außerhalb der Arbeitszeiten, Logins aus unerwarteten Geografien oder ungewöhnlich große Datendownloads müssen sofort untersucht werden. Diese Überwachung ist datenschutzrechtlich zulässig, wenn sie in der Datenschutzerklärung transparent kommuniziert und auf die Unternehmenssicherheit beschränkt wird.
Die Dokumentation aller Prüfschritte ist rechtlich zwingend. Manager müssen im Haftungsfall beweisen können, dass sie ihre Sorgfaltspflichten erfüllt haben. Die Beweislastumkehr bedeutet: Nicht der Kläger muss die Pflichtverletzung beweisen, sondern der Manager muss beweisen, dass er alles Erforderliche getan hat. Ohne lückenlose Dokumentation ist dieser Beweis unmöglich zu führen. Jedes Video-Interview sollte mit Einwilligung aufgezeichnet werden. Jede Ausweiskopie muss archiviert werden. Jedes Sanktionslisten-Screening muss mit Datum und Ergebnis dokumentiert werden.
Drei Haftungsszenarien aus der Praxis
Das erste Szenario betrifft die Geschäftsführerin eines mittelständischen IT-Dienstleisters mit achtzig Mitarbeitern. Zur Deckung eines Personalengpasses stellt sie einen Freelance-Entwickler ein, der sich ausschließlich schriftlich beworben hatte. Video-Calls finden nicht statt, da das Projekt dringend ist und der Entwickler angeblich sofort verfügbar ist. Die Qualifikationen sind beeindruckend, die Referenzen wirken solide. Nach drei Monaten und Zahlungen von insgesamt achtundzwanzigtausend Euro fällt der IT-Sicherheit auf, dass der Entwickler einen chinesischen VPN nutzt und nachts, während europäischer Schlafenszeiten, Code committed.
Die interne Untersuchung ergibt: Der Freelancer ist eine Scheinidentität. Die angegebene Adresse in Portugal existiert nicht. Das LinkedIn-Profil ist vier Monate alt. Die Referenzen führen zu nicht erreichbaren Telefonnummern. Die Geschäftsführerin hat gegen das Außenwirtschaftsgesetz verstoßen, da sie keine Sanktionslisten-Prüfung durchgeführt hat. Sie hat ihre Organisationspflicht verletzt, da kein Compliance-Management-System für Personaleinstellungen existierte. Die zivilrechtliche Haftung beträgt mindestens achtundzwanzigtausend Euro Schaden plus die Kosten der forensischen Untersuchung von fünfundfünfzigtausend Euro. Strafrechtlich steht ein Verfahren wegen fahrlässiger Beihilfe zur Umgehung von Sanktionen im Raum. Die D&O-Versicherung verweigert die Deckung, da grobe Fahrlässigkeit vorliegt.
Das zweite Szenario betrifft den Vorstand eines Start-ups, das eine innovative KI-Plattform entwickelt. Er stellt einen Data Scientist ein, der sich in Video-Interviews professionell präsentiert hat. Tatsächlich wurde ein Deepfake verwendet, aber der Vorstand hat keinen Deepfake-Test durchgeführt. Der Ausweis wurde im Video-Call gezeigt, aber nicht gegen Sanktionslisten geprüft. Nach sechs Monaten wird bekannt, dass der Mitarbeiter sensible Trainingsdaten kopiert und an Dritte weitergegeben hat. Die Daten enthielten personenbezogene Informationen von Kunden. Der Datenschutzverstoß führt zu einem DSGVO-Bußgeld von achthunderttausend Euro. Die betroffenen Kunden klagen auf Schadensersatz. Der Gesamtschaden übersteigt zwei Millionen Euro.
Der Vorstand haftet persönlich, da er seine Überwachungspflicht verletzt hat. Er hätte technische Kontrollen implementieren müssen, die unautorisierten Datenzugriff verhindern. Er hätte den Mitarbeiter strengeren Hintergrundprüfungen unterziehen müssen, insbesondere bei Zugang zu sensiblen Daten. Das Amtsgericht wertet die fehlenden Maßnahmen als grobe Fahrlässigkeit. Der Vorstand verliert sein Privatvermögen, sein Eigenheim muss verkauft werden. Seine Karriere ist beendet, da er in der Branche als unzuverlässig gilt.
Das dritte Szenario betrifft den Geschäftsführer einer Marketingagentur. Er engagiert einen Grafik-Designer über eine Freelancer-Plattform. Die Plattform hatte bereits eine Verifizierung durchgeführt, der Geschäftsführer verlässt sich darauf. Der Designer liefert gute Arbeit für vierzehn Monate. Die Zahlungen erfolgen über PayPal, insgesamt zweiundfünfzigtausend Euro. Es stellt sich heraus: Der Designer war nordkoreanischer IT-Arbeiter. Die Freelancer-Plattform hatte nur oberflächlich geprüft. Die Zahlungen sind über mehrere Zwischenkonten nach Nordkorea geflossen.
Der Geschäftsführer wird beschuldigt, das nordkoreanische Regime mit fünfzigtausend Euro unterstützt zu haben. Strafrechtlich drohen drei Jahre Haft, da die Zahlungsbeträge die Fünfzehntausend-Euro-Schwelle mehrfach überschritten haben. Zivilrechtlich haftet er der GmbH für den entstandenen Reputationsschaden. Kunden kündigen Verträge, nachdem die Affäre öffentlich wird. Der wirtschaftliche Schaden übersteigt fünfhunderttausend Euro. Der Geschäftsführer argumentiert, er habe sich auf die Plattform verlassen. Das Gericht weist dies zurück: Die Verifikation Dritter entbindet nicht von der eigenen Prüfpflicht. Organisationsverschulden liegt vor.
Praktische Werkzeuge zur Risikominimierung
Die Implementierung eines strukturierten Onboarding-Prozesses für Remote-Mitarbeiter ist die Grundlage jeder Due Diligence. Dieser Prozess muss schriftlich fixiert und für alle Personalverantwortlichen verbindlich sein. Der erste Schritt erfolgt bereits bei der Bewerbung: Video-Interview mit eingeschalteter Kamera ist Pflicht, keine Ausnahmen. Kandidaten, die dies verweigern, werden automatisch ausgeschlossen. Während des Interviews wird ein Deepfake-Test durchgeführt. Der Kandidat wird gebeten, den Kopf schnell nach links und rechts zu drehen, die Hand vor das Gesicht zu bewegen und etwas Unerwartetes zu tun, etwa ein Buch hochzuhalten oder aus dem Fenster zu zeigen.
Der Ausweis-Check folgt standardisierten Protokollen. Der Kandidat hält den Ausweis so in die Kamera, dass alle Sicherheitsmerkmale erkennbar sind. Der Personalverantwortliche macht Screenshots. Ein zweiter Mitarbeiter überprüft unabhängig die Ausweiskopie auf Fälschungsmerkmale. Bei Unsicherheit wird ein Forensik-Dienstleister hinzugezogen. Professionelle Dokumentenprüfer erkennen gefälschte Ausweise mit hoher Sicherheit.
Das Sanktionslisten-Screening erfolgt mit zertifizierten Tools. Kostenlose Lösungen wie die OFAC Sanctions List Search des US-Finanzministeriums bieten Grundfunktionalität. Professionelle Lösungen durchsuchen mehrere hundert internationale Listen gleichzeitig. Der Name des Kandidaten wird in verschiedenen Schreibweisen geprüft, da Transkriptionsfehler bei asiatischen Namen häufig sind. Das Geburtsdatum und bekannte Aliasnamen werden einbezogen. Das Screening-Ergebnis wird als PDF gespeichert und zur Personalakte genommen.
Die Adressverifizierung nutzt mehrere Quellen. Google Street View zeigt, ob die angegebene Adresse ein Wohngebäude ist. Lokale Melderegister können in manchen Ländern online abgefragt werden. Der Kandidat wird gebeten, einen aktuellen Adressnachweis einzuscannen. Die ausstellende Stelle wird kontaktiert, um die Echtheit zu bestätigen. Bei ausländischen Bewerbern sind internationale Auskunfteien wie Experian oder Equifax hilfreich.
Referenzen werden ausschließlich telefonisch geprüft. Die Telefonnummer wird über öffentliche Quellen verifiziert, etwa die Unternehmenswebsite oder Handelsregisterauszüge. Das Gespräch wird dokumentiert mit Datum, Uhrzeit, Gesprächspartner und den gestellten Fragen. Vage Aussagen oder ausweichende Antworten sind Red Flags. Der Referenzgeber sollte spezifische Projekte beschreiben können und detaillierte Einschätzungen zur Arbeitsweise abgeben.
Die technische Infrastruktur für Remote-Mitarbeiter folgt Zero-Trust-Prinzipien. Jeder Mitarbeiter erhält einen firmeneigenen Laptop mit vorinstallierter Security-Software. EDR-Tools überwachen alle Prozesse. Data Loss Prevention Software verhindert das Kopieren sensibler Daten auf externe Medien. Der Laptop darf nicht mit Admin-Rechten genutzt werden. Software-Installationen sind nur über das IT-Department möglich. Alle Kommunikation läuft über firmeneigene Kanäle wie Microsoft Teams oder Slack.
Der Netzwerkzugang erfolgt ausschließlich über firmeneigene VPN-Lösungen. Private VPN-Dienste werden auf Netzwerkebene blockiert. Die Security Information and Event Management Systeme loggen alle Zugriffe. Anomalien wie nächtliche Logins oder Zugriffe aus ungewöhnlichen Ländern lösen automatische Alerts aus. Das Security Operations Center untersucht jeden Alert binnen vier Stunden.
Die Dokumentation aller Maßnahmen erfolgt in einem zentralen Compliance-Management-System. Jede Personaleinstellung wird mit allen Prüfschritten erfasst. Video-Interview-Aufzeichnungen werden mit Einwilligung des Kandidaten gespeichert. Ausweiskopien werden verschlüsselt archiviert. Sanktionslisten-Screenings werden mit Zeitstempel dokumentiert. Diese Dokumentation ist der einzige Beweis, den Manager im Haftungsfall vorbringen können. Ohne sie ist die persönliche Haftung praktisch unvermeidbar.
Die Investition in professionelle Tools erscheint kostspielig, ist aber im Vergleich zu den Haftungsrisiken marginal. EDR-Software kostet etwa fünfzig Euro pro Nutzer und Jahr. Sanktionslisten-Screening-Tools beginnen bei einigen hundert Euro jährlich. Dokumentenverifizierung kostet zwischen zehn und fünfzig Euro pro Prüfung. Forensische Ausweiskontrollen liegen bei hundert bis dreihundert Euro. Diese Kosten sind Versicherungsprämien gegen existenzbedrohende Haftungsrisiken. Manager, die hier sparen, sparen am falschen Ende und gefährden ihr Privatvermögen.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
