Haftung des Geschäftsführers für die Informationssicherheit im Unternehmen

Ein Unternehmen ohne IT und digitale Geschäftsprozesse ist heutzutage kaum noch vorstellbar. Neben den vielen Vorteilen der Digitalisierung bietet diese aber auch hohe Risiken: Wenn jeder Mitarbeiter an der digitalen Welt im Unternehmen teilnimmt, steigt die Wahrscheinlichkeit, dass ein Informationssicherheitsvorfall (z.B. Vorfälle ausgelöst durch Viren, Phishing, Hacking usw.) entsteht.

Durch die Vernetzung ist schnell die ganze IT-Infrastruktur eines Unternehmens betroffen. Dabei können Unsummen an Schäden entstehen. Für das Unternehmen sind dann nicht nur die finanziellen Interessen gefährdet, sondern auch die Rufschädigung des Unternehmens nach einer Datenpanne und die rechtlichen Konsequenzen, die drohen können.

Am Ende treffen die Konsequenzen im Zweifel immer den Geschäftsführer persönlich. Wie die Haftung des Geschäftsführers im Konkreten aussieht und wie sich das Risiko ggf. minimieren lässt, wird im Folgenden behandelt.

Möglicher Umfang des Schadensersatzes

Verursacht ein Cyberangriff einen Schaden im Unternehmen sind zunächst die eigenen Kosten nicht zu vergessen: Kosten für das Wiederherstellen von Daten und Systemen, Umsatzeinbußen, Kosten zur Feststellung der Ursache z.B. durch forensische Untersuchungen eines spezialisierten Dienstleisters, Verlust von Kundenvertrauen, Produktionausfälle, Wertverlust des Unternehmens usw.

Dazu treten können dann noch Schadensersatzzahlungen an Dritte. Diese begründen sich nicht nur auf Art. 82 DSGVO, sondern auch außerhalb des Datenschutzrechtes auf § 280 BGB.

Ein Schadensersatz nach § 280 BGB kann nur von solchen Dritten gefordert werden, zu denen das Unternehmen eine rechtsgeschäftliche Beziehung führt, deren Pflichten durch die Datenpanne und deren Folgen verletzt wurden. Zudem liegt es im Rahmen dieser Anspruchsgrundlage beim betroffenen Unternehmen, nachzuweisen, dass es den Vorfall nicht zu vertreten hat, also z.B. entsprechende Schutzmaßnahmen getroffen hat. Die Geschäftsführung sollte deshalb die IT Absicherung des Unternehmens immer sorgfältig umsetzen und dokumentieren lassen, um nachweisen zu können, dass die IT auf dem aktuellen Stand der Technik abgesichert ist.

Daneben kann ein Schadensersatz nach Art. 82 DSGVO treten, wenn personenbezogene Daten vom Unternehmen verarbeitet werden. Dann sind den Betroffenen materielle und immaterielle Schäden zu ersetzen. Dies kann nur durch den Nachweis abgewendet werden, dass das Unternehmen in keinerlei Hinsicht verantwortlich ist für den Faktor, der den Schaden ausgelöst hat.

Zudem kann es zu einem Bußgeld nach Art. 83 DSGVO kommen.

Die hier aufgeführte Haftung kann auch nicht durch Allgemeine Geschäftsbedingungen (AGB) ausgeschlossen werden.

Rückgriff möglich?

Auch wenn die Ursache dafür, dass ein Cyberangriff möglich war, meist in einem Anwenderfehler durch einen Mitarbeiter liegt, ist ein Vorgehen gegen die eigenen Mitarbeiter kaum erfolgsversprechend. Zum einen ist die Haftung von Mitarbeitern sehr stark eingeschränkt und zum anderen in der Rechtsprechung bisher auf ein Jahresgehalt begrenzt gewesen, sodass die entstandenen Schäden damit nicht ausgeglichen werden können. Grundsätzlich hat die Geschäftsführung bzw. das Unternehmen für das Fehlverhalten der eigenen Mitarbeiter einzustehen.

Auch der Rückgriff auf IT-Dienstleister ist meist wenig erfolgsversprechend. Deren Hauptpflicht ist es nämlich nur, die vertraglich mit der Geschäftsführung vereinbarte Leistung zu erbringen. Gemäß Art. 24 I und II DSGVO ist es für das Unternehmen erforderlich, die IT nach dem Stand der Technik zu betreiben. Entspricht die vereinbarte Leistung des Dienstleisters nicht dem Stand der Technik, liegt das im Verantwortungsbereich des Unternehmens, das die Leistung so wollte.

Hier könnte dann höchstens an die Verletzung einer Nebenpflicht (dem Hinweis darauf, dass die geforderte Leistung nicht dem Stand der Technik entspricht) gedacht werden (§ 280 BGB). Die anfallenden Summen werden aber kaum vom IT-Dienstleister abgedeckt werden können, zumal dieser zumindest bei größeren Verträgen regelmäßig im Vorfeld eine Haftungsgrenze vereinbart.

Haftung der Geschäftsführung

Letztlich bleibt dem Unternehmen zum Ausgleich des finanziellen Schadens nur der Rückgriff auf die Geschäftsführung übrig, zu dem sie auch verpflichtet sind.

Für eine Haftung reicht hier regelmäßig bereits eine leichte Fahrlässigkeit der Geschäftsführung aus, um eine Haftung zu begründen. Die Geschäftsführung trifft die Pflicht, sicherzustellen, dass das Unternehmen gegen keine rechtlichen Bestimmungen verstößt. Je nach Rechtsform des Unternehmens und der ausgeübten Tätigkeit ergeben sich aus dem Gesetz auch spezieller ausformulierte Pflichten, deren Verletzung Anknüpfungspunkt für eine Haftung ist.

Minimierung des Haftungsrisikos

Um ein Haftungsrisiko zu minimieren, sollte die Geschäftsführung regelmäßig mit Informationssicherheits-Beratern Rücksprache halten, Risikoprüfungen durchführen und dokumentieren. Auch Penetrationstests und Schwachstellenanalysen durch externe spezialisierte Dienstleister helfen bei der Risikoeinschätzung und sollten ebenfalls dokumentiert werden. Im Falle einer Datenpanne können die Dokumentationen und Maßnahmen ggf. zur Enthaftung führen.

Anhand der Ergebnisse lässt sich dann auch beurteilen, ob eine Cyber-Versicherung notwendig ist. Ob der Abschluss einer solchen Versicherung für die Geschäftsführung sogar verpflichtend ist, ist umstritten. Zumindest wenn die Cyber-Gefahren ein existenzgefährdendes Risiko für das Unternehmen darstellen, ist dies auf jeden Fall zu bejahen. Hierbei ist auch besonderes Augenmerk auf die richtige Auswahl der Versicherung und nach Abschluss der ständige Abgleich, ob diese noch am besten geeignet ist, zu legen.

Auf der anderen Seite kann sich die Geschäftsführung auch durch einen Gesellschafterbeschluss von der Pflicht, eine Cyber-Versicherung abzuschließen, befreien lassen. So trägt die Geschäftsführung zwar kein Haftungsrisiko mehr, das Unternehmen ist aber noch in gleichem Maße gefährdet.

In jedem Fall ist es zu empfehlen, einen Notfallplan für den Fall eines Cyber-Angriffes sowie einen Datensicherungsplan zu entwerfen. Diese müssen unternehmensintern bekannt sein.

Um sich als Geschäftsführer noch weiter abzusichern, empfiehlt sich im Zweifel eine D&O-Versicherung.

Im Einzelfall sollten die Entscheidungen zu konkreten Maßnahmen immer nach fachkundiger Beratung getroffen werden. Mangelndes Fachwissen des Geschäftsführers im Haftungsbereich führt nie zu einer Enthaftung.