Haftung der Geschäftsführer bei einem Cyberangriff

Haftung der Geschäftsführer bei einem Cyberangriff
© Nomad_Soul – fotolia.com

Wenn gegen den Verursacher eines Cyber-Schadens keine Schadenersatzansprüche geltend gemacht werden können, verbleibt letztlich somit lediglich ein Rückgriff auf Geschäftsführerinnen und Geschäftsführer, um zumindest den finanziellen Schaden wieder auszugleichen.

Zu diesem Rückgriff sind die Unternehmen auch verpflichtet, sodass Geschäftsführerinnen und Geschäftsführer nicht darauf hoffen können, nicht in Anspruch genommen zu werden.

Unabhängig davon, dass die Geschäftsführerinnen und Geschäftsführer bei einem Haftungsfall einer Inanspruchnahme durch das Unternehmen oder deren Gesellschafter ausgesetzt sind, kann auch eine Haftung gegenüber Dritten in Betracht kommen (Quelle: Löschhorn/Fuhrmann in NZG 2019, 161, (169), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?).

Der generelle Pflichtenmaßstab für Geschäftsführerinnen und Geschäftsführer, „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“, ergibt sich bereits aus § 93 Abs. 1 S. 1 AktG bzw. § 43 Abs. 1 GmbHG. Aus § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG ergibt sich, dass bereits leichte Fahrlässigkeit haftungsbegründende Wirkung hat. Hierbei ist nicht nur die Pflicht der im Einzelfall geschäftsführenden Person gemeint, sich persönlich rechtstreu zu verhalten, sondern auch die Pflicht, sicherzustellen, dass das Unternehmen gegen keine rechtlichen Bestimmungen verstößt.

Darüber hinausgehende Pflichten können auch aus internem Unternehmensrecht oder der Satzung resultieren (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung). Ebenso zu beachten ist Art. 32 DSGVO, welcher für personenbezogene Daten verarbeitende Unternehmen die Verpflichtung statuiert, „angemessene technische und organisatorische Maßnahmen“ (TOM‘s) zu deren Schutz zu ergreifen.

Die Aufzählung dieser Normen ist nicht abschließend, so gelten weitere Sonderregelungen wie § 109 TKG für Telekommunikationsanbieter, § 13 Abs. 7 TMG für im Telemedienbereich tätige Dienstanbieter und § 8a BSIG für Betreiber Kritischer Infrastrukturen, wozu gem. § 2 Abs. 10 BSIG auch die Versicherungswirtschaft zählt, oder § 25a Abs. 1 Nr. 5 KWG.

Eine Verletzung solcher Spezialvorschriften begründet eine Pflichtverletzung, sofern die Verletzung auf einem zurechenbaren Organisations- oder Delegationsverschulden beruht (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung). Es ist und bleibt daher die Aufgabe der Geschäftsführung, dafür Sorge zu tragen, dass das Unternehmen nach sämtlichen Rechtsvorgaben gesetzeskonform arbeitet. Dazu zählt auch die Verantwortlichkeit der Geschäftsführung dafür Sorge zu tragen, dass die IT-Sicherheit nach dem Stand der Technik gewährleistet ist. Auch dies hat die Geschäftsführung fortlaufend zu überwachen. Eine etwaige Verletzung der sehr hohen Anforderungen führt zur Eigenhaftung der Geschäftsführung.

Darüber hinaus ist über die Ausstrahlungswirkung von § 91 Abs. 2 AktG, eine allgemeine Leitungspflicht der Geschäftsleitung zur Vermeidung der Bestandsgefährdung eines Unternehmens einen Organisationsstandard zu schaffen, vollkommen anerkannt (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1638f.), Cyber Risks – neuer Brennpunkt Managerhaftung).

Da Cyberrisiken mit massiven finanziellen Verlusten (Quelle: Achenbach in VersR 2017, 1493, (1494), Die Cyber-Versicherung – Überblick und Analyse) sowie einem Rückgang des Kundenbestandes aufgrund eines enttäuschten Vertrauens in die Datensicherheit (Quelle: Löschhorn/Fuhrmann in NZG 2019, 161, (170), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?) einhergehen können, kann ein Cyberangriff eine Gefahr für den Bestand eines Unternehmens darstellen.

Handlungsempfehlungen zur Minimierung des Risikos eines Cyberangriffs und dessen Folgen