Cybersecurity: Die Verantwortung des Geschäftsführers.
Wer haftet bei einem Cyberangriff? Viele Unternehmen sind durch Datenklau und andere Arten von Cyberangriffen betroffen. Aber wer haftet für die Schäden, bei z.B. Kunden?
In diesem Artikel erfahren Sie, ob der Geschäftsführer des Unternehmens haftbar ist und welche Rolle die Haftpflichtversicherung bei einem Cyberangriff spielt.
Übersicht:
- Cybersecurity: Die Verantwortung des Geschäftsführers.
- Cyberangriffe mittlerweile an der Tagesordnung – Schäden vorprogrammiert
- Die IT-Sicherheit fällt unter den Bereich „Chefsache“
- Hauptproblematik: fehlende gesetzliche Grundlage
- Unternehmen mit Sondervorschriften für die Geschäftsleitung
- Die Geschäftsleitung ist zur Weitsicht verpflichtet
- Alle Geschäftsführer sind dazu angehalten
- Die Handlungsempfehlungen des BSI sollten beachtet werden
- Kompetente Rechtsberatung zu Haftungsfragen und Versicherungsrecht
Cyberangriffe mittlerweile an der Tagesordnung – Schäden vorprogrammiert
Nahezu jedes Unternehmen, unabhängig von der Branchenzugehörigkeit, besitzt heutzutage ein IT-System für die Durchführung des operativen Geschäfts. Dieses IT-System operiert für gewöhnlich online, sodass das Unternehmen auch stets gewissen Risiken ausgesetzt ist. Seien es Phishing-E-Mails oder auch Schadsoftware wie beispielsweise Ransomware oder DDos-Attacken, die Anzahl der möglichen Gefahren im Internet für ein Unternehmen sind überaus vielfältig und durch derartige Cyber-Angriffe können einem Unternehmen auch existenzbedrohende Schäden entstehen. Aus diesem Grund ist die Cyber-Sicherheit für ein Unternehmen unerlässlich. In der gängigen Praxis gehört der Bereich Cyber-Sicherheit zu dem Kernbereich der Unternehmensleitung bzw. des Geschäftsführers. Die Frage ist jedoch, wie es um die Haftung des Geschäftsführers bei Cyber-Angriffen bestellt ist.
Die IT-Sicherheit fällt unter den Bereich „Chefsache“
Die Pflicht des Geschäftsführers im Zusammenhang mit der Cyber-Sicherheit kann zunächst erst einmal unterteilt werden in den Bereich der Organisations- bzw. Überwachungspflicht und der Reaktionspflicht. In den Bereich der Reaktionspflicht kann beispielsweise die Meldung an die zuständigen Behörden sowie Versicherer fallen, wenn es denn zu einem Cyber-Angriff gekommen ist. Die Organisations- bzw. Überwachungspflicht soll präventiv sicherstellen, dass es erst gar nicht zu einem derartigen Angriff kommen kann.
Hauptproblematik: fehlende gesetzliche Grundlage
Problematisch ist in der gängigen Praxis der Umstand, dass es in Bezug auf die Pflichten der Geschäftsleitung im Zusammenhang mit der IT-Sicherheit aktuell keine gesetzlich zentrale Regelung gibt. Vielmehr sind die Pflichten der Geschäftsleitung das Resultat aus verschiedenen Normen sowie Regelungen, welche sich von Unternehmen zu Unternehmen unterscheiden können. Für Unternehmen mit kritischen Infrastrukturen können dementsprechend gänzlich andere Regelungen für die Geschäftsführung vorherrschen als es bei anderen Unternehmen der Fall ist.
Unternehmen mit Sondervorschriften für die Geschäftsleitung
- Telekommunikationsunternehmen
- Versicherer
- Anbieter von Handelssystemen
- Kreditinstitute
Bei derartigen Unternehmen kommt die Datenschutzverordnung zum Tragen, da personenbezogene als fester Bestandteil der Unternehmensoperationen gelten. Der Artikel 5 Abs. 1 DSGVO schreibt dabei vor, dass diese personenbezogenen Daten dergestalt verarbeitet werden müssen, dass die als angemessen anzusehende Datensicherheit gewährleistet ist. Unter diesen Bereich fällt auch, dass die Daten vor einer unrechtmäßigen Verarbeitung und vor einem unbefugten Zugriff geschützt werden.
Auch der Schutz der Daten vor Verlust und Beschädigung fällt in den Bereich der angemessenen Datensicherheit.
Die Geschäftsleitung ist dazu verpflichtet, angemessene Maßnahmen im Hinblick auf die technische Organisation zu treffen, damit das Unternehmen ein als angemessen anzusehendes Schutzniveau gewährleisten kann. Dies ergibt sich aus dem Artikel 32 Abs. 1 DSGVO. Dieses Schutzniveau beinhaltet auch, dass ein Unternehmen die Fähigkeit besitzt, die entsprechenden personenbezogenen Daten im Fall eines erfolgen Cyber-Angriffs zeitnah effektiv wiederherzustellen. Im Fall eines Cyber-Angriffs, beispielsweise in Form eines Datenlecks, gehört es zu den Pflichten der Geschäftsleitung, kurzfristig eine Meldung an die entsprechend betroffenen Personen sowie die Aufsichtsbehörde vorzunehmen. Diese Pflicht ergibt sich aus dem Artikel 33 DSGVO sowie 34 DSGVO.
Gegenüber der zuständigen Aufsichtsbehörde besteht eine Dokumentationspflicht mit Zusammenhang auf die Art der Datenschutzverletzung sowie den Auswirkungen nebst der getroffenen Abhilfemaßnahmen. Sollte eine Geschäftsleitung dieser Verpflichtung nicht nachkommen, so können Schadensersatzforderungen gem. Artikel 82 DSGVO oder auch merkliche Bußgelder gem. Artikel 33 DSGVO drohen.
Die Geschäftsleitung ist zur Weitsicht verpflichtet
Besonders interessant im Zusammenhang mit den Cyberangriffen ist der Umstand, dass die Geschäftsleitung gem. § 91 Abs. 2 AktG dazu angehalten ist, entsprechend als geeignet anzusehende Maßnahmen für eine frühzeitige Erkennung möglicher Entwicklungen mit unternehmensexistenzbedrohender Natur zu treffen. Als unternehmensexistenzbedrohende Entwicklungen sind sämtliche Entwicklungen gemeint, deren Folgen schwere Vermögens- oder auch Ertrags- bzw. Finanzschäden für das Unternehmen mit sich bringen. Die Geschäftsführung ist dementsprechend zu einer Schadensprävention nebst Risikokontrolle verpflichtet. Dies hat das Landgericht München mit seinem Urteil vom 10. Dezember 2013, Aktenzeichen 5 HKO 1387/10, LS 1, so festgestellt. Es gehört zu den Pflichten der Geschäftsleitung im Rahmen der Legalitätspflicht, das Unternehmen so zu organisieren, dass es zu keinen Gesetzesverstößen kommen kann und dass sämtliche Verpflichtungen durch das Unternehmen eingehalten werden.
Alle Geschäftsführer sind dazu angehalten
Auch wenn es in der gängigen Praxis im Hinblick auf die IT-Sicherheit für gewöhnlich nur einen einzigen beauftragten Geschäftsführer gibt, so obliegt die Pflicht zum Schutz der jeweiligen IT-Systeme nicht ausschließlich der beauftragten Person. Alle Geschäftsführer des Unternehmens tragen diese Verpflichtung gemeinschaftlich. Rechtlich betrachtet kann somit von einer Gesamtverantwortung der Geschäftsleitung gesprochen werden. Im Hinblick auf die konkret ausgestaltete IT-Compliance muss von einer konkreten Unternehmensentscheidung gesprochen werden. Das jeweilige unternehmensindividuelle Risikoprofil muss dabei zwingend beachtet werden. Da die Unternehmen in den unterschiedlichsten Branchen auch entsprechend unterschiedliche Risikoprofile aufweisen ist es praktisch nicht umsetzbar, eine generelle allgemeingültige gesetzliche Regelung mit Bezug auf die IT-Sicherheit und den Verpflichtungen der Geschäftsführung aufzustellen.
Im Hinblick auf die Frage der Haftung des Geschäftsführers muss dementsprechend geprüft werden, ob es seitens des Geschäftsführers zu einer Pflichtverletzung gekommen ist. Hierbei spielt die Maxime der Business Judgement Rule zum Einsatz. Hat die Geschäftsführung diese Maxime beachtet und erfüllt, so kommt die Haftungserleichterung der Geschäftsführung zum Tragen und die Haftung scheidet dementsprechend aus.
Die Handlungsempfehlungen des BSI sollten beachtet werden
In Deutschland wurde für die IT-Sicherheit das Bundesamt für Sicherheit im Zusammenhang mit der Informationstechnik (Kurzform BSI) ins Leben gerufen. Dieses Amt hat entsprechende Handlungsempfehlungen veröffentlicht, welche als hilfreich im Zusammenhang mit dem Aufbau eines als angemessen sowie effizient anzusehenden Managementsystems bezüglich der IT-Sicherheit eines Unternehmens gelten. Auch ein entsprechendes Notfallkonzept wurde seitens des BSI bereits erarbeitet. Beachtet die Geschäftsführung diese sogenannten BSI-Standards, so ist sie im Zusammenhang mit der Haftungsfrage bei Cyber-Angriffen schon auf der rechtlich sicheren Seite. Hierbei muss allerdings beachtet werden, dass es sich bei den Handlungsempfehlungen des BSI lediglich um sogenannte Leitlinien handelt. Eine gesetzliche Regelung stellen diese Leitlinien nicht dar.
Als Präventivmaßnahme kann eine Geschäftsführung durchaus eine Cyber-Versicherung abschließen. Damit wäre bereits eine sinnvolle Maßnahme getroffen, um im Hinblick auf das Risiko-Management des Unternehmens präventiv zu handeln und den Schutz des Unternehmens vor wirtschaftlichen Schäden zu gewährleisten. Auch das Schadensrisiko kann im Zuge einer derartigen Versicherung auf den Versicherungsgeber transferiert werden. Hierbei muss jedoch beachtet werden, dass eine derartige Versicherung nicht vor den sogenannten Innenhaftungsansprüchen eines Unternehmens gegenüber der Geschäftsführung schützt. Ein derartiger Schutz ist in der gängigen Praxis von der Deckung gänzlich ausgenommen. Überdies bietet eine derartige Versicherung auch nicht den erhofften Rundumschutz. Ein effektives IT-Compliance-System kann nicht durch eine Versicherung ersetzt werden. Sollte zudem die Geschäftsführung gegen die eigenen Compliance-Pflichten verstoßen, so gibt es ebenfalls keinen Versicherungsschutz.
Jede Geschäftsführung eines Unternehmens sollte das Risiko von Cyber-Angriffen auf das Unternehmen ernst nehmen. Hierbei sollte zudem auch der Umstand berücksichtigt werden, dass es in dem Unternehmen für gewöhnlich eine wahre Vielzahl von Arbeitnehmern gibt. Diese Arbeitnehmer nutzen die IT-Hardware des Unternehmens im Rahmen ihrer täglichen Arbeit, sodass hier auch von einem gesteigerten Risiko für das Unternehmen gesprochen werden kann. Die Geschäftsführung ist dazu berechtigt, entsprechende Verhaltensregelungen im Zusammenhang mit dieser IT-Hardware zu erstellen und Verstöße gegen diese Verhaltensregelung entsprechend zu ahnden. Dies liegt durchaus im Eigeninteresse der Geschäftsführung, da im Zweifel die Haftungserleichterung im Zusammenhang mit fahrlässigem Verhalten oder Pflichtverletzungen nicht zum Tragen kommt. Jede Geschäftsführung, welche sich mit Haftungsfragen im Zusammenhang mit Cyber-Angriffen konfrontiert sieht, sollte sich umgehend die Dienste eines erfahrenen Rechtsanwalts sichern. Die Schäden, welche durch Cyber-Angriffe entstehen, können durchaus beachtliche Höhen erreichen und die Geschäftsführung wirtschaftlich in arge Bedrängnis bringen. Nicht zuletzt aus diesem Grund beauftragen die Geschäftsführungen von Unternehmen in der gängigen Praxis externe Dienstleister mit der Überwachung bzw. Installation eines effektiven Schutzes der IT-Hardware, damit diese wichtige Aufgabe in die Hände von erfahrenen Profis gelegt wird.
Kompetente Rechtsberatung zu Haftungsfragen und Versicherungsrecht
Wir sind Ihr kompetenter Ansprechpartner, wenn es um die Haftung bei Cyberangriffen geht. Unsere erfahrenen Rechtsanwälte beraten Sie zu allen Bereichen der Haftung und erstellen für Sie eine individuelle Lösung. Fordern Sie unverbindlich unsere Ersteinschätzung an und wir melden uns umgehend bei Ihnen.