Lediglich einen bestimmten oder eine beschränkte Anzahl von Arbeitgebern treffende Vorfälle höherer Gewalt gehören aber grundsätzlich
gerade auch zum Betriebsrisiko (E. 5.3.2). Es ist sodann ohnehin zweifehlhaft, ob höhere Gewalt bejaht werden könnte. Denn in aller Regel finden
Cyber-Attacken unter Instrumentalisierung des Opfers bzw. dessen als
Hilfspersonen im Sinne von Art. 101 OR zu betrachtenden Mitarbeitenden
statt. Nach beiden von der Beklagten in der Klageantwort und der Duplik
vorgetragenen Sachverhaltsvarianten war es eine eigene Mitarbeiterin in
den USA, die einen "extrem gut getarnten, mit Malware infizierten Lebenslauf" geöffnet (Klageantwort, act. 17 [Rückseite]