In Zeiten zunehmender Cyberangriffe wächst auch die Bedeutung der Verantwortung und Haftung von Geschäftsführern. Wird durch eine Sicherheitslücke ein erheblicher Schaden verursacht, stellt sich oft die Frage: Wer haftet persönlich – und in welchem Umfang? Dieser Beitrag erläutert die rechtlichen Grundlagen, typische Haftungsfallen und Schutzmaßnahmen.
1. Rechtliche Grundlagen: Pflichten und Haftung
Geschäftsführer müssen laut § 43 GmbHG und – für Vorstände – § 93 AktG die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes anwenden. Das umfasst auch das Management von IT-Risiken und Cybergefahren. Wird diese Pflicht verletzt, kann eine persönliche Haftung entstehen.
Eine besondere Bedeutung hat das Organisationsverschulden: Wenn keine geeigneten Strukturen, Prozesse und Kontrollen eingerichtet werden, kann die Geschäftsführung für daraus resultierende Schäden haften. Beispiele sind das Fehlen einer IT- Sicherheitsstrategie, mangelnde Audits oder fehlende Dokumentation.
Auch datenschutzrechtliche Aspekte spielen eine Rolle: Nach Art. 82 DSGVO können Unternehmen bei Datenschutzverletzungen schadensersatzpflichtig werden. Die Geschäftsführung ist dafür verantwortlich, dass entsprechende Meldepflichten und Sicherheitsmaßnahmen eingehalten werden.
2. Typische Haftungsrisiken
Versäumnis
Mögliche Folge
Haftungsgrund
Fehlende Risikoanalyse
Angreifer nutzen unerkannte Schwachstellen
Organisationsverschulden
Nicht durchgeführte Updates
Offene Sicherheitslücken bleiben bestehen
Verletzung der Sorgfaltspflicht
Fehlende Dokumentation
Kein Nachweis ordnungsgemäßen Handelns
Beweislastproblem
Kein Incident-Response-Plan
Verzögerte Reaktion und höhere Schäden
Pflichtverletzung
Ignorieren gesetzlicher Pflichten
Bußgelder und Regressforderungen
Pflichtverletzung aus Datenschutzrecht
3. Schutzmaßnahmen für Geschäftsführer
1. Dokumentation & Transparenz: Alle Sicherheitsentscheidungen und -maßnahmen müssen nachvollziehbar dokumentiert werden.
2. IT-Sicherheitsmanagement (ISMS): Aufbau eines strukturierten Informationssicherheitsmanagements, z. B. nach ISO 27001.
3. Incident-Response-Plan: Erstellung eines Notfallplans mit klaren Zuständigkeiten und Kommunikationswegen.
4. Externe Audits: Regelmäßige Überprüfung durch unabhängige IT-Sicherheitsexperten.
5. Versicherungen: Abschluss einer D&O-Versicherung sowie einer Cyberversicherung, um finanzielle Risiken abzufedern.
6. Business Judgment Rule: Entscheidungen sollten dokumentiert, informiert und im Interesse der Gesellschaft getroffen werden, um Haftungsrisiken zu reduzieren.
4. Checkliste für Geschäftsführer
• IT-Sicherheitsstrategie erstellen und regelmäßig aktualisieren
• Dokumentation aller Sicherheitsmaßnahmen
• Regelmäßige Risikoanalysen und Audits
• Incident-Response-Plan einführen und testen
• Externe Datenschutz- und IT-Sicherheitsberater einbeziehen
• Versicherungsschutz prüfen
• Awareness-Schulungen für Mitarbeiter durchführen
5. Fazit
Die Haftung von Geschäftsführern bei Cyberattacken ist kein theoretisches Risiko. Unternehmen und ihre Leitungsorgane müssen die IT-Sicherheit als strategische Führungsaufgabe begreifen. Mit klaren Prozessen, regelmäßigen Prüfungen und dokumentierten Entscheidungen lässt sich die persönliche Haftungsgefahr deutlich reduzieren.
