Cyber-Angriffe: Wann droht dem Management die persönliche Haftung?

Immer häufiger werden Unternehmen Opfer von Cyber-Angriffen. Immer häufiger führen diese Angriffe nicht nur zu Reputationsschäden, sondern auch zu erheblichen kommerziellen Schäden: Produktionslinien stehen still, Kunden oder Lieferanten machen Schadensersatzansprüche geltend. Sensible Daten werden öffentlich. Der EuGH tendiert nach aktuellen Schlussanträgen zu einem weitreichenden Haftungsmaßstab: Datenschutzrechtlich könnten sich Unternehmen nach einem Hackerangriff nur aus der Haftung ziehen, wenn sie nachweisen können, alle angemessenen Schutzmaßnahmen ergriffen und trotzdem Opfer eines Cyber-Angriffes geworden zu sein. 

Das Wichtigste vorab

• Der Gesetzgeber plant eine Verschärfung der Haftung von Geschäftsführern und Vorständen bei Cyber-Angriffen.
• Geschäftsführer und Vorstände könnten in Zukunft vermehrt persönlich haften, wenn es zu Hacker-Angriffen kommt.
• Eine klare Haftungsvorgabe für das Management nach Cyber-Angriffen existiert noch nicht.

Wer kommt für diese Schäden aus Cyber-Angriffen auf? Wenn keine (umfassende) Cyber-Versicherung existiert und eine mangelnde Cyber-Security den Angriff begünstigt, steht eine persönliche Haftung der Geschäftsleitung im Raum. Wann greift diese durch?

1. Wann die Geschäftsleitung für Cyber-Vorfälle haftet

Ein Cyber-Vorfall schädigt das angegriffene Unternehmen. Cyber-Angriffe treten vor allem auf zwei Ebenen auf:

1. a) Durch Verzögerungsschäden wegen ausbleibender Lieferung und Ersatzansprüchen wegen Datenschutzverletzungen. Zum Beispiel, wenn Produktionslinien still stehen und Kundenlieferungen nicht oder nur mit deutlicher Verspätung erfüllt werden können. B) Bei Schäden durch Datenschutzverletzungen, wenn das Unternehmen nicht nachweist, alle angemessenen Sicherheitsmaßnahmen ergriffen zu haben.

Eine Haftung der Managementebene für Schäden nach Cyber-Vorfällen ist kein Selbstläufer. Sie ist aber auch nicht ausgeschlossen und wird voraussichtlich bald verschärft werden: In Umsetzung der NIS-2-Richtlinie plant der deutsche Gesetzgeber eine deutliche Erweiterung der persönlichen Haftung.

1. Status quo: Gesellschaftsrechtliche Haftungsvorgaben

Eine spezifische Haftungsvorgabe für die Leitungsebene nach Cyber-Vorfällen existiert für die meisten Branchen (noch) nicht. Entscheidend ist das allgemeine Gesellschaftsrecht und die dort verankerten Grundsätze für die Geschäftsführer- bzw. Vorstandshaftung. Exemplarisch kann das für die GmbH und die Aktiengesellschaft betrachtet werden. Hier sind, trotz unterschiedlicher gesetzlicher Grundlagen, die Haftungstatbestände in den relevanten Aspekten sehr ähnlich.

Zentrale Voraussetzung für eine Haftung ist eine Pflichtverletzung. Welche Pflichten für GmbH-Geschäftsführer oder Vorstandsmitglieder im Einzelnen bestehen, ist nicht abschließend gesetzlich geregelt, erst recht nicht in Sachen Cyber-Security. Im Falle der GmbH gilt, dass der in den Angelegenheiten der Gesellschaft die Anwendung der Sorgfalt eines ordentlichen Geschäftsmannes vorgeschrieben ist. Für die Vorstandsmitglieder gilt das im Wesentlich ebenso. Daraus hat sich die grundsätzliche Unterscheidung in Sorgfalts- und Treuepflichten entwickelt.

Unter die Sorgfaltspflichten fällt zunächst die Pflicht zur Einhaltung von Gesetzen (Legalitätspflicht). Spezifische Vorgaben zur Cyber-Sicherheit gibt es derzeit – jenseits allgemeiner Regeln mit der Pflicht für eine angemessene Datensicherheit personenbezogener Daten – besonders in den KRITIS-Gesetzen. Eine branchenübergreifende Vorgabe zur Cyber-Sicherheit gibt es (noch) nicht.

Zudem besteht eine Pflicht zur Überwachung nachgeordneter Mitarbeiter und Kollegen. Aus dieser Überwachungspflicht hat sich eine allgemeine Compliance-Pflicht der Geschäftsführer entwickelt. Sie beinhaltet, dass Schutzvorkehrungen getroffen werden müssen, um Gesetzesverstöße von Unternehmensangehörigen im Vorfeld zu verhindern. Hier können auch Maßnahmen zur Cyber-Sicherheit erfasst sein.

Die allgemein anerkannte Treuepflicht der Geschäftsführung erfasst besonders das Wettbewerbsverbot und die Verschwiegenheitspflicht. Diese Pflichten sind in Sachen Cyber-Security regelmäßig nicht relevant.

1.1 Organspezifische Pflichten

Für die mögliche Haftung nach Cyber-Vorfällen ist entscheidend, dass nach überwiegender Ansicht die strenge Geschäftsführer/Vorstands-Haftung nur greift, wenn die Pflichtverletzung bei einer Tätigkeit erfolgte, die in unmittelbarem Zusammenhang mit der Organstellung steht (organspezifische Pflicht). Klingt kompliziert, meint aber letztlich nur, dass Geschäftsführer dann haften, wenn der konkrete Schutz vor Cyber-Vorfällen auch in seinen formulierten Aufgabenbereich fällt. Die Frage lautet: Kann die konkrete Handlung nur von dem Geschäftsführer bzw. Vorstandsmitglied vorgenommen werden? Und: Trifft das auf die Cyber-Security zu?

Für Überweisungen, die auf Phishing-Mails irrtümlich geleistet werden, hat das OLG Zweibrücken das verneint (Urt. v. 27.10.2022 – 4 U 198/21). Solche Buchhaltungstätigkeiten sind nicht der Leitungsebene vorbehalten und daher auch nicht organspezifisch, so das Gericht. Wie aber ist das bei der Etablierung eines Informations-Sicherheits-Management-Systems („ISMS“) oder anderer grundlegender Cyber-Security-Vorgaben?

1.2 Ist Cybersicherheit organspezifische Pflicht?

Eine allgemeine gesetzliche Einbeziehung von Cyber-Security-Maßnahmen in den Pflichtenkreis von Leitungsorganen besteht nicht. Es fehlt auch an entsprechender Rechtsprechung. Diese Pflicht wird aber aus den allgemeinen Sorgfaltsmaßstäben für Vorstände und Geschäftsführer abgeleitet. Besonders die daraus entwickelte Compliance-Pflicht wird als Begründung herangezogen. Die Geschäftsleitung muss geeignete organisatorische Maßnahmen ergreifen, die die Realisierung von Risiken für die Informationssicherheit verhindern sollen. Solche Risiken können intern, aber auch durch äußere Einflüsse bestehen. Reduziert werden sie etwa durch die Implementierung eines effektiven Informationssicherheits-Managementsystems (ISMS).

Die konkrete Ausgestaltung der Compliance-Organisation bleibt im Ermessen von Geschäftsführung und Vorstand. Was ausreichend ist, um eine Haftung auszuschließen, wird diskutiert. Klärende Rechtsprechung gibt es dazu bisher letztlich nicht. Es muss von der Leitungsebene aus die Implementation geeigneter Maßnahmen initiiert werden, um die Gefahren für das Unternehmen frühzeitig erkennen zu können. Die Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften sowie Verdachtsfälle aus der Vergangenheit sind bei der Festlegung der Compliance-Maßnahmen zu berücksichtigen. Die „business judgement rule“ muss dabei immer mitgedacht werden. Die Leitung eines Unternehmens, welches in großem Umfang mit sensiblen Daten umgeht, muss weitreichender Sicherheitsmaßnahmen umsetzen, als ein Unternehmen, das ausschließlich B2B-Daten verarbeitet und deren Informationssysteme kaum Auswirkungen auf die Produktion haben, im Fall eines Cyber-Angriffs also auch nicht ausfallen würde. Sicher ist bei alledem: „Nichtstun“ begründet ein erhebliches persönliches Haftungsrisiko.

Informationen müssen also beschafft und auf möglichen Risiken hin analysiert werden. Wenn die Geschäftsleitung danach die geeigneten Organisationsmaßnahmen geschaffen hat, um Risiken in der Cyber-Security angemessen zu minimieren und Schäden zu verhindern, wird sie in der Regel nicht haften. Im Falle eines Cyberangriffs oder eines diesbezüglichen Verdachts, hat die Geschäftsleitung das Compliance-System anzupassen und das Schadensrisiko zu begrenzen. Hilfestellungen bieten hier die BSI-Vorgaben zum IT-Grundschutz oder die Anforderungen aus der ISO27001-Zertifizierung.

Auch im Bereich Cyber-Security kann man Aufgaben delegieren. Die Überwachungspflicht bleibt aber auch dann auf Leitungsebene. Sie erstreckt sich etwa auf die Auswahl fachlich qualifizierter Personen, die Bereitstellung der nötigen Ressourcen, Entscheidung über die wesentlichen Weichenstellungen und die laufende Kontrolle. 

1.3 Weitere Anforderungen

Eine organspezifische Pflichtverletzung allein führt allerdings noch nicht zu einem Ersatzanspruch der Gesellschaft gegen die Leitungsebene. Es muss ein Verschulden (vorsätzliches oder fahrlässiges Handeln) und ein kausaler Schaden der Gesellschaft dazu kommen. Das ist ein Schaden, der gerade auf dem konkreten pflichtwidrigen Verhalten beruht.

In bestimmten Fällen kann trotz Vorliegens der genannten Voraussetzungen eine Haftung entfallen: Zum Beispiel bei einem wirksamen Einverständnis oder beim Handeln aufgrund einer Weisung.

2. Der status futura: Verschärfte persönliche Haftung mit Umsetzung der NIS-2-Richtlinie

Die Frage, ob die Absicherung einer angemessenen Informationssicherheit eine organspezifische Pflicht ist und in welchem Umfang ist derzeit der Kern eines neuen Gesetzesentwurfes: In Umsetzung der NIS-2-Richtlinie soll die persönliche Haftung der Leitungsebene nach dem derzeit vorliegenden (geleakten) Referentenentwurf deutlich verschärft werden. In wichtigen und besonders wichtigen Einrichtungen muss nach dem Entwurf die Geschäftsleitung die Risikomanagementmaßnahmen im Bereich Cybersicherheit billigen und die Umsetzung überwachen. Diese Aufgaben darf sie nicht delegieren, bei Schäden wegen einer Verletzung muss gehaftet werden, ein Verzicht des Unternehmens auf Haftung ist unwirksam. Nach dem Entwurf besteht außerdem eine Pflicht der Geschäftsleiter zur Teilnahme an Schulungen. Sie müssen ihre Kenntnisse und Fähigkeiten im Bereich Cybersicherheit verbessern. So sollen Risiken besser bewertet werden und Risikomanagementmaßnahmen optimiert werden können.

Kommt die Regelung, erweitert sich der Pflichtenkreis der Leitungsebene, des Cyber-Vorstands, damit deutlich – Persönlichen Haftungsrisiken würden sich verschärfen.

Von der Regelung betroffen sind nicht alle Unternehmen, sondern nur „besonders wichtige“ und „wichtige“ Einrichtungen. Das sind eine Vielzahl an mittleren und großen Unternehmen (ab 50 Mitarbeitern und 50 Mio. Euro Jahresumsatz) in diversen Branchen, neben den typischen KRITIS-Bereichen wie Energie und Gesundheit auch Produktion, Chemie und digitale Dienste. Betroffene Unternehmen müssen nach dem Entwurf verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um Störungen informationstechnischer Systeme zu vermeiden. Die Auswirkungen von Sicherheitsvorfällen auf die eigenen oder andere Dienste sollen verhindert oder möglichst gering gehalten werden. Dazu müssen u.a. Konzepte zur Risikoanalyse und Bewältigung von Sicherheitsvorfällen, zur Aufrechterhaltung des Betriebs und zum Krisenmanagement vorgesehen werden.

Wird das nicht umgesetzt, kann die Leitungsebene zur Verantwortung gezogen werden. Für den Cyber-Vorstand entstehen so erweiterte persönliche Haftungsrisiken.

1. Fazit: Cyber-Vorfälle bringen persönliche Haftungsrisiken für den Cyber-Vorstand

Cyber-Vorfälle führen oft zu erheblichen Schäden für Unternehmen. Sie können schon heute die Leitungsebene in die persönliche Haftung nehmen, wenn diese ihre organspezifischen Pflichten schuldhaft verletzt. Wann aber genau und in welchem Umfang die Absicherung einer angemessenen Informationssicherheit der Leitungsebene obliegt, ist noch umstritten. Das wird sich künftig für etliche Unternehmen ändern: Mit Umsetzung der NIS-2-Richtlinie durch den deutschen Gesetzgeber wird die persönliche Haftung der Cyber-Vorstände verschärft.  Der Aufgabenbereich der Cyber-Vorstände wird ausgedehnt. Sie müssen die Maßnahmen zur Reduktion von Cyber-Risiken dann persönlich billigen und die Umsetzung überwachen. Eine Delegation dieser Aufgabe ist ausgeschlossen.