Geschäftsführer und Vorstände im Fadenkreuz: Persönliche Haftung für IT-Schadensfälle kommt!

Rechtsanwalt Dr. Marc Laukemann*

Gefahr aus dem Netz: 205,9 Milliarden Euro Verlust durch Cyberangriffe allein im Jahr 2023. Jetzt rücken auch die Führungskräfte ins Visier.

Einleitung: Neue Gesetzgebung – Neue Risiken

Mit der Einführung der NIS-2-Richtlinie und des NIS2UmsuCG steht eine neue Ära der Verantwortung vor der Tür. Was viele nicht wissen: Die Haftung von Geschäftsführern und Vorständen für IT-Sicherheitsvorfälle war schon vorher eine schlafende Gefahr. Jetzt wird sie zur Realität.

Worum geht es?

NIS-2 und Organhaftung: Art. 20 Abs. 1 der NIS-2-Richtlinie verlangt von Führungskräften wesentlicher Einrichtungen nicht nur die Billigung von IT-Sicherheitsmaßnahmen, sondern auch deren aktive Überwachung. Wer hier schludert, riskiert die eigene Existenz. Denn diese Haftung ist nicht verzichtbar und muss bis zur persönlichen Insolvenz des Geschäftsführers durchgesetzt werden.

Drei Argumente, die Sie aufrütteln sollten

1. Fehlentscheidungen kosten richtig Geld: Wenn Führungskräfte IT-Risiken falsch einschätzen oder unzureichende Maßnahmen ergreifen, stehen sie persönlich in der Haftung. Es geht nicht mehr nur um wirtschaftliche Entscheidungen, sondern um gesetzliche Vorgaben.
2. Sicherheitsorganisation ist kein Luxus, sondern Pflicht: § 91 Abs. 2 AktG fordert eine strukturierte Erfassung von Risiken. Cyberangriffe gehören zu den größten Bedrohungen. Blinde Flecken in der IT-Sicherheitsstrategie sind nicht nur fahrlässig, sondern rechtlich angreifbar.
3. Überwachung ohne Überraschungen bringt nichts: Regelmäßige Audits reichen nicht aus. Die Rechtsprechung verlangt stichprobenartige, überraschende Kontrollen. Fehler müssen verlässlich entdeckt werden, bevor sie zu millionenschweren Schäden führen.

Weitere wichtige Aspekte aus dem neuen Gesetz

Compliance-Herausforderungen: Das NIS2UmsuCG und das KRITIS-DachG bringen neue Compliance-Pflichten. Geschäftsleiter müssen Risikomanagementmaßnahmen nicht nur umsetzen, sondern auch regelmäßig überwachen und dürfen diese Verantwortung nicht delegieren. (§ 38 BSIG-RefE)

Schulbank-Pflicht: Geschäftsleiter müssen regelmäßig Schulungen absolvieren, um ausreichende Kenntnisse in der IT-Sicherheit zu erlangen. (§ 38 Abs. 3 BSIG-RefE)

Verpflichtende Kooperation: Unternehmen müssen sicherstellen, dass ihre Abteilungen und externen Partner gut vernetzt sind und effektiv zusammenarbeiten. Dies umfasst auch die Zusammenarbeit mit Behörden bei Sicherheitsvorfällen.

Resilienz und Prävention: Das KRITIS-DachG fordert Unternehmen dazu auf, umfassende Resilienzpläne zu erstellen und regelmäßig zu aktualisieren, um die Sicherheit sogenannter kritischer Infrastrukturen zu gewährleisten. (§ 11 KRITIS-DachG-RefE)

Unabdingbare Haftung: Kein Entkommen für Führungskräfte

Unverzichtbarer Verzicht: § 38 Abs. 2 des BSIG-Referentenentwurfs sieht vor, dass ein Verzicht der Einrichtung auf Ersatzansprüche ebenso unwirksam ist wie ein pauschaler Vergleich über solche Ansprüche. Das bedeutet, dass jede Pflichtverletzung unmittelbar zu einer persönlichen Haftung des Geschäftsführers führt, die weder abdingbar noch vergleichsfähig ist.

In der Gesetzesbegründung heißt es auf Seite 155: “Die Vorsehung einer zwingenden Norm ist zwar nicht ausdrücklich in der umzusetzenden Richtlinienbestimmung enthalten. Jedoch wird hiermit der bestehende Umsetzungsspielraum unionsrechtskonform ausgeübt. Ein Vergleich ist daher unzulässig, wenn das Entgegenkommen der Einrichtung gemessen an den jeweiligen prozessualen Risiken grob unverhältnismäßig ist. Bei gerichtlich vorgeschlagenen Vergleichen ist grundsätzlich von einem angemessenen Verhältnis auszugehen. Die Regelung soll nicht die Möglichkeit einschränken, das Haftungsrisiko durch Abschluss einer D&O-Versicherung zu versichern.”

Kernaussage

Die IT-Sicherheitsgesetze und die NIS-2-Richtlinie machen klar: Die Verantwortung liegt direkt bei den Unternehmenslenkern. Wer IT-Sicherheitsmaßnahmen nicht ernst nimmt, spielt mit seiner persönlichen und finanziellen Zukunft.

Handlungsempfehlungen

1. IT-Sicherheitsstrategien überdenken: Unternehmen müssen ihre IT-Sicherheitsarchitektur kontinuierlich an die neuesten Bedrohungen und gesetzlichen Anforderungen anpassen.
2. Sicherheitsorganisation und Überwachung verbessern: Setzen Sie auf interdisziplinäre Teams, die technische und rechtliche Aspekte der IT-Sicherheit berücksichtigen. Führen Sie regelmäßige, überraschende Kontrollen durch.
3. Fortbildung und Sensibilisierung: Geschäftsführungsmitglieder sollten sich kontinuierlich weiterbilden. Wissen ist hier nicht nur Macht, sondern Schutz vor Haftung.
4. Resilienzpläne entwickeln: Unternehmen sollten umfassende Resilienzpläne entwickeln und regelmäßig aktualisieren, um auf IT-Sicherheitsvorfälle vorbereitet zu sein.
5. D&O-Versicherung: Eine gute D&O-Versicherung ist jetzt noch wichtiger geworden, entlastet aber die Geschäftsführer nicht von der Pflicht zur Einhaltung und Überwachung der gesetzlichen Vorgaben.

Fazit

Die NIS-2-Richtlinie und das NIS2UmsuCG sind ein Weckruf. Sie bringen neue Haftungsrisiken für Geschäftsführer und Vorstände. Ignorieren Sie die IT-Sicherheit, riskieren Sie Ihre Existenz. Handeln Sie jetzt und schützen Sie sich und Ihr Unternehmen.

Quellen und weiterführende Literatur:

• Art. 20 Abs. 1 NIS-2-RL
• § 91 Abs. 2 AktG
• § 38 BSIG-RefE
• EuGH v. 14.12.2023 – C-340/21
• BGH v. 24.3.1981 – KRB 4/80

*Rechtsanwalt Dr. Marc Laukemann ist Gründungspartner von LFR Wirtschaftsanwälte und unter anderem Fachanwalt für gewerblichen Rechtsschutz. Er beschäftigt sich seit Jahren mit digitalen Geschäftsmodellen.

Weitere Informationen unter: Online- und IT-Recht – LFR Wirtschaftsanwälte (lfr-law.de)

Foto(s): Die Bilder sind von ChatGpt über deren automatisches Bildgenerierungstool erstellt worden, wobei keine spezifischen Künstler oder stilistischen Vorbilder verwendet wurden.