Im Jahr 2022 war etwa jedes zehnte Unternehmen in Deutschland Opfer eines erfolgreichen Cyberangriffs. Cyberangriffe stellen für jedes Unternehmen ein hohes Risiko dar. Das Ausmaß der Schäden aufgrund eines Cyberangriffs ist nicht absehbar und kann mitunter die Existenz bedrohen. Im Fall eines erfolgten Cyberangriffs kommen viele Kosten auf ein Unternehmen und die Geschäftsleitung zu: die Wiederherstellung des Betriebssystems, Kosten für juristische Beratung und Schadensersatzzahlungen wegen Lieferausfällen, Verzug oder erlittenem Datenverlust. Es drohen Ansprüche des geschädigten Dritten gegen die Geschäftsleitung auf Schadensersatz (Art. 82 DSGVO) oder Geldbußen (Art. 83 DSGVO). Bußgelder können bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr betragen. Grundsätzlich haftet für derartige Verstöße gemäß Art. 4 Nr. 7 DSGVO das Unternehmen selbst.
Ob, wann und in welchem Umfang die Geschäftsleitung eines Unternehmens nach einem Cyberangriff haftet, klärt der folgende Beitrag.
Prävention von Cyberangriffen = Verantwortung der Geschäftsleitung
Der Schutz vor Cyberangriffen ist Aufgabe der Geschäftsleitung (Geschäftsführer, Vorstände). Welche Pflichten dies umfasst ist gesetzlich nicht genau geregelt, ergibt sich aber aus unterschiedlichen Normen.
Art. 5 DSGVO ordnet unter anderem die Pflicht an, dass personenbezogene Daten durch das Unternehmen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Die Geschäftsleitung hat als Kopf des Unternehmens die Pflicht, dass die Sicherheit der durch das Unternehmen verarbeiteten personenbezogenen Daten gewährleistet wird. Ist jemand, mittels Cyberangriff, in das Unternehmensnetzwerk eingedrungen und hat somit Zugriff auf diese zu schützenden Daten, hat die Geschäftsleitung diese Pflicht verletzt. Die Geschäftsleitung ist ihrer Pflicht aus Art.5 DSGVO nicht wirksam nachgekommen und macht sich schadensersatzpflichtig nach Art. 82 DSGVO.
In Ergänzung dazu, haben Vorstände einer AG nach § 91 Abs.2 AktG und Geschäftsführer einer GmbH analog § 91 II AktG die Pflicht ein Überwachungssystem einzurichten, mit dem sie den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkennen. Darunter fällt für die Geschäftsleitung auch die Pflicht des Einrichtens eines effizienten IT- Systems, um das Unternehmen vor Cyberangriffen zu schützen.
Sorgfalt eines ordentlichen Geschäftsmannes
Richtet die Geschäftsleitung kein oder ein unzureichendes Schutzsystem gegen derartige Angriffe ein, geht die Geschäftsführung ohne sachlichen Grund übermäßige Risiken ein, und macht sich damit wegen eines daraus der Gesellschaft entstehenden Schadens ersatzpflichtig. Da die Geschäftsleitung für die IT-Sicherheit des Unternehmens verantwortlich war, haftet diese gegenüber den geschädigten Dritten.
Die persönliche Haftung ergibt sich für Vorstandsmitglieder und Aufsichtsräte aus dem Aktiengesetz. Geschäftsführer einer GmbH haften grundsätzlich nicht persönlich. Eine Ausnahme wird aber dann gemacht, wenn der Gesellschaft ein Schaden entsteht, weil der Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes missachtet (§ 43 Absatz 1, 2 GmbHG). Die Verantwortlichkeit der Geschäftsleitung kann nicht durch AGB ausgeschlossen werden. Ferner ist auch der Regress auf einen für den Cyberangriff verantwortlichen Mitarbeiter kaum möglich, da man dessen Schuld erstmal beweisen muss. Und selbst wenn die Beweisführung möglich ist, tritt hinzu, dass die Haftungsquote des Arbeitnehmers häufig stark unter den tatsächlichen Schäden liegt, die durch den Cyberangriff entstanden sind.
Auch eine Versicherung bringt bezüglich der persönlichen Haftung der Geschäftsleitung nur selten Abhilfe, da diese häufig umfangreiche Haftungsausschlüsse aufweisen, weshalb die Haftung schlussendlich doch bei der Geschäftsleitung verbleibt.
Haftungsumfang der Geschäftsleitung
Aus § 93 Abs. 1 S. 1 AktG bzw. § 43 Abs. 1 GmbHG ergibt sich, dass Geschäftsführerinnen und Geschäftsführer, „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“ haben. Sofern sie diese Sorgfalt anwenden, entfällt die persönliche Haftung bei einem Cyberangriff. Die Haftung entfällt nach § 93 I S.2 AktG ebenfalls, sofern die Geschäftsleitung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Allerdings haften sie gemäß § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG bereits für leichte Fahrlässigkeit. Sobald sie ihre Pflicht das Unternehmen vor Cyberangriffen zu schützen leicht fahrlässig missachten, obliegt ihnen folglich die Haftung. Die Geschäftsleitung muss ihrer Pflicht die personenbezogenen Daten, die durch das Unternehmen verarbeitet werden, zu schützen gewissenhaft nachkommen.
Dies schafft die Geschäftsleitung in dem sie Schutzmaßnahmen entwickeln und durchsetzen und entsprechende Versicherungen abschließen. Das programmierte IT-System sollte auf eine individuellen Risikoprofil basieren, dass eine effiziente Schadensprävention samt Risikokontrolle gewährleisten. Bei diesen Entscheidungen muss die Anfälligkeit des Unternehmens für Cyberangriffe berücksichtigt werden. Dies ist je nach Unternehmensbranche unterschiedlich. Um ein entsprechend effizientes Managementsystems für IT-Sicherheit einzurichten, ist die „Handlungsempfehlung des Bundesamtes für IT-Sicherheit“ empfehlenswert.
Gesamtverantwortung mehrere Geschäftsführer
Auch wenn ein Geschäftsführer sich allein dafür bereit erklärt die Verantwortung für die erfolgreiche Entwicklung und Einführung der Schutzmaßnahmen zu übernehmen, trifft ihn nicht allein die Haftung, wenn es zu einem Cyberangriff kommt. Die anderen Geschäftsführer haben eine Kontroll- und Überwachungsfunktion. Es liegt eine Gesamtverantwortung der Geschäftsführer vor. Um im Fall eines Cyberangriffs beweisen zu können, dass die Geschäftsleitung all ihre Pflichten erfüllt hat, sollte sie ihre Maßnahmen dokumentieren. Der Abschluss eine Versicherung, die im Fall eines Cyberangriffs eingreift, ist ebenfalls zu empfehlen.
Trotzdem muss beachten, dass eine Versicherung viele Haftungsausschlüsse aufweist, die dazu führen, dass selten ein kompletter Haftungsausschluss der Geschäftsführer gewährleistet, wird. Nach § 86 Abs. 1 VVG kann die Versicherung die Geschäftsleitung nach Schadensregulierung trotzdem noch in Regress nehmen. Damit lässt sich festhalten, dass die Geschäftsleitung persönlich für die entstandenen Schäden eines Cyberangriffs haftet, sofern sie nicht nachweisen kann, dass sie das Unternehmen vor einem derartigen Cyberangriff durch ein effektives IT-System absichert und damit all ihren Pflichten nachkommt.
Kann die Geschäftsleitung aber nachweisen, dass sie ihren Pflichten erfüllt, kann ihre persönliche Haftung teilweise oder sogar ganz entfallen.
Reaktionspflichten der Geschäftsleitung nach Cyberangriff
Im Fall eines Cyberangriffs, beispielsweise in Form eines Datendiebstahl, gehört es zu den Pflichten der Geschäftsleitung, die Verfügbarkeit von betroffenen personenbezogenen Daten wiederherzustellen (Art. 32 Abs. 1 c) DSGVO). Außerdem muss die Geschäftsleitung ggf. die Cyberattacke an die Aufsichtsbehörde und betroffene Personen melden. Dies ergibt sich aus Art. 33 und Art. 34 DSGVO. Darüber hinaus besteht eine Dokumentationspflicht. Das ergibt sich aus Art. 33 Abs. 5 DSGVO. Hierbei wird dokumentiert, um welche Art der Datenschutzverletzung es sich handelt und die konkreten Folgen und Auswirkungen des Cyberangriffs auf das Unternehmen und die betroffenen Personen. Ferner sind Maßnahmen, die durch die Geschäftsführer nach dem Cyberangriff getroffen wurden, dokumentiert. Sofern diesen Pflichten nicht erfüllt sind, drohen Schadensersatzforderungen gem. Artikel 82 DSGVO oder Bußgelder gem. Artikel 33 DSGVO.
Fazit und Handlungsempfehlung
Das Risiko, dass das eigene Unternehmen Opfer eines Cyberangriffs wird, steigt von Jahr zu Jahr. Damit steigt auch das Risiko der persönlichen Haftung der Geschäftsleitung aufgrund eines solchen Cyberangriffs. Ein vorausschauendes Risikomanagement kann dem entgegenwirken.
Gleichzeitig müssen neu entstehende Cybergefahren schnell erkannt werden. Sofern die Geschäftsführer und Vorstände ihren Pflichten ausreichend nachkommen, scheidet eine persönliche Haftung (teilweise) aus. Falls dieser Pflicht nicht nachgekommen wird kann eine persönliche Haftung nicht umgangen werden.
Die klare Handlungsempfehlung lautet damit: Bauen Sie ein effizientes Managementsystems für IT-Sicherheit auf und erfüllen Sie damit ihre gesetzliche Pflicht als Geschäftsleitung.