Handlungsempfehlungen zur Minimierung des Risikos eines Cyberangriffs und dessen Folgen

Handlungsempfehlungen zur Minimierung des Risikos eines Cyberangriffs und dessen Folgen
© Sergey Nivens – fotolia.com

Um Haftungsrisiken zu minimieren beziehungsweise im Rahmen der Möglichkeiten auszuschließen, empfiehlt es sich, durch ein Gespräch mit der als IT-Beraterin oder IT-Berater tätigen Person eine konkrete Risikoprüfung und deren umfassende Dokumentation durchzuführen.

Hierzu empfiehlt die Kanzlei Michaelis als ersten Schritt die Verwendung ihrer Feststellungsvereinbarung zur IT-Sicherheit. Ausgehend von den Ergebnissen des Gesprächs und der von dem Versicherungsmakler mit seiner IT-Beraterin oder IT-Berater getroffenen Feststellungsvereinbarung, kann er sodann besser einschätzen, ob und in welchem Umfang eventuell auch der Abschluss einer Cyber-Versicherung sinnvoll ist.

Nicht zuletzt wird eine Auseinandersetzung mit der Frage, ob eine Cyber-Versicherung abgeschlossen werden sollte, deshalb sinnvoll sein, weil aktuell verstärkt thematisiert wird, ob hinsichtlich der Geschäftsleitung unter Umständen eine Pflicht zum Abschluss einer Cyber-Versicherung besteht (Quelle: Fortmann in r+s, 2019, 688, (691), Cyber-Datenrisiken: Erhebliche Gefahr für Geschäftsleiter und D&O-Versicherer?).

Denn es ist eine der zentralen Aufgaben der Geschäftsführung dafür Sorge zu tragen, dass existenzielle Risiken der Unternehmung ausgeschlossen werden. Wenn die Cyber-Gefahren als existenzgefährdendes Risiko eingeschätzt werden, dann ist die Geschäftsführung verpflichtet, dieses Risiko zu beseitigen. Im Wesentlichen ist dies dann eigentlich nur mit dem Abschluss einer Cyber-Versicherung möglich.

Zur Existenzsicherung der Unternehmung gehört es also zu den Pflichten der Geschäftsführung, für angemessenen Versicherungsschutz zu sorgen. Da auch die Übernahme der Cyber-Risiken durch die Versicherer sehr unterschiedlich und auch in einem laufenden Veränderungsprozess ist, bedarf es zudem einer regelmäßigen Überprüfung des bestmöglichen Umfanges an möglichen Versicherungsschutz gegen Cybergefahren.

Es gibt also nur einen Weg, wie sich die (Fremd-)Geschäftsführung ansonsten freizeichnen könnte. Die Gesellschafter sollen einen Beschluss fassen, dass der anempfohlene Cyber-Versicherungsschutz nicht abgeschlossen werden soll. Auch so könnte die Geschäftsführung der ansonsten dem Grunde nach bestehenden Haftung gegenüber Gesellschaftern entkommen.

Daneben ist es unter anderem ratsam einen Notfallplan für den Fall eines Cyberangriffs unternehmensintern bekannt zu machen und einen Datensicherungsplan zu erstellen. So besteht die Möglichkeit, Schäden durch einen Cyberangriff zumindest zu minimieren. Auch sollten monetäre Mittel für die Anschaffung von erforderlichen IT-Sicherheitstools eingeplant werden. Auch Penetrationstests von externen, spezialisierten Dienstleistern können zur Risikoeinschätzung und zur Enthaftung der Verantwortlichen beitragen.

Das LG München I hat die fehlende Dokumentation des Risikomanagements als wesentlichen Gesetzesverstoß bewertet (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1641), Cyber Risks – neuer Brennpunkt Managerhaftung). Eine hinreichende Dokumentation des Risikomanagements ist essentiell für das Vorliegen eines den gesetzlichen Anforderungen entsprechenden Risikomanagements. Sogar die Vorlage von Zertifizierungen ist aller Voraussicht nach nicht ausreichend, um zu einer Enthaftung zu führen (Quelle: Vgl. Schmidt-Versteyl in NJW 2019, 1637, (1641), Cyber Risks – neuer Brennpunkt Managerhaftung).

Der Versicherungsmakler sollte die getroffenen, hier nicht abschließend aufgelisteten Maßnahmen hinsichtlich des IT-Risikomanagements daher zumindest zur eigenen Beweissicherung für den potentiellen Haftungsfall umfassend und nachweisbar dokumentieren (Quelle: Fortmann in r+s, 2019, 688, (695), Cyber-Datenrisiken: Erhebliche Gefahr für Geschäftsleiter und D&O-Versicherer?).

Fazit

Die gesetzlichen Anforderungen können als überspannt angesehen und auch die Gerichte können kritisiert werden, die unter haftungsrechtlichen Gesichtspunkten strenge Maßstäbe anwenden. Leider ändert diese Kritik nichts an den Grundlagen unseres deutschen Rechtssystems. Der Geschäftsführer unterliegt einer weitreichenden Berufshaftung. Auch hier bietet sich natürlich seine Absicherung über eine D&O-Versicherung an.

Überdies muss der Geschäftsführer auch existenzbedrohende Risiken für das Unternehmen analysieren, eingrenzen, vermeiden oder gegebenenfalls auch versichern. Der passende und umfassende Versicherungsschutz gehört zum Pflichtenkreis der Geschäftsführung. Insofern ist es nicht nur die Aufgabe der Geschäftsführung, auch den umfassenden Versicherungsschutz laufend zu begutachten, sondern auch die IT-Sicherheit und die Beherrschung der Cybergefahren nach dem „Stand der Technik“ sind laufend zu gewährleisten. Deshalb treffen den Geschäftsführer weitestgehende Organisations- und Dokumentationspflichten, sowie laufende Überwachungspflichten und um die eigene Haftungsverantwortlichkeit auszuschließen.

Sollte trotzdem zuletzt ein geringer Zweifel verbleiben, gehört zum Risikomanagement eben auch geeigneter Versicherungsschutz bestehender vorhandener Gefahren. Da der Einsatz der EDV-Systeme immer größere Bedeutung gewonnen hat, ist auch dieser gewachsenen Bedeutung angemessen Rechnung zu tragen. Denn ohne eine EDV wird heute vermutlich keine Firma mehr funktionieren! Daher ist es zu erwarten, dass die Cyberversicherung ein sehr stark wachsender Versicherungsmarkt werden wird. Aus Sicht von Stephan Michaelis ist eine Cyberdeckung für jedes Unternehmen sinnvoll. Egal, ob die Geschäftsführung ansonsten eigentlich haftet oder nicht.

Cyberschutz für Versicherungsmakler