Zur Geschäftsführerhaftung für Cyberangriffe

Cyberangriffe bergen für Unternehmen ein erhebliches Schadenspotenzial. Nach Angaben des Branchenverbands Bitkom sind der deutschen Wirtschaft in den Jahren 2021 und 2022 Schäden in Höhe von jeweils mehr als 200 Mrd. Euro durch Diebstahl von IT-Ausrüstung, Datendiebstahl, Spionage und Sabotage entstanden (203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen | Presseinformation | Bitkom e. V. ). Für Geschäftsführer rückt damit die Frage in den Fokus, welche haftungsbewährten Pflichten sie beim Schutz ihres Unternehmens vor digitalen Gefahren treffen. 

Urteile zu Geschäftsführerhaftung aufgrund von Cyberangriffen finden sich in der veröffentlichten Rechtsprechung kaum. Jüngst hatte das Oberlandesgericht Zweibrücken über die Haftung einer Geschäftsführerin zu entscheiden, die betrügerische Phishing-E-Mails fahrlässig nicht als solche erkannt und eigenhändig Zahlungen auf ausländische Konten getätigt hatte. Das Urteil ist im Esche-Blog [Zur Reichweite der Haftung eines GmbH-Geschäftsführers („Phishing-Mails“) (esche.de)] besprochen worden.

Anders als in der Entscheidung des OLG Zweibrücken führen häufig nicht Handlungen der Geschäftsleitung selbst unmittelbar zu Schäden. Zu denken ist etwa an sog. „Fake President“-Fälle, bei denen sich Betrüger als Mitglied der Leitungsebene eines Unternehmens ausgeben und einzelne Mitarbeiter zur Vornahme hoher Überweisungen auf ausländische Konten drängen. Dieses Thema wurde im Esche-Blog [Fake-President-Fälle und D&O-Versicherung (esche.de)] ausführlich behandelt. Hierhin gehören aber auch die in den letzten Jahren zunehmenden Fälle, in denen mittels Ransomware Computersysteme verschlüsselt werden, um Unternehmen zur Zahlung von Lösegeldern zu erpressen. Weiter ist an Fälle des Datendiebstahls zu denken, bei welchem Kunden- oder Benutzerdaten erbeutet und im Internet veröffentlicht oder zum Kauf angeboten werden. 

Hier stellt sich die Frage, ob die Geschäftsführung für daraus resultierende Schäden haftbar gemacht werden kann. Zwar hat diese weder selbst Zahlungen getätigt noch eigenhändig Schadsoftware durch unvorsichtiges Öffnen von E-Mails heruntergeladen. Eine eigene Pflichtverletzung der Geschäftsführung kann aber an ganz anderer Stelle liegen:

IT-Sicherheit gehört zu Leitungsaufgaben
Die Verletzung eigener Organisationspflichten der Geschäftsleitung kann darin liegen, dass die Einrichtung angemessener IT-Sicherheitsmaßnahmen unterlassen wurde. Die Geschäftsführung hat das Unternehmen so zu organisieren, dass Schäden möglichst abgewendet und bestandsgefährdende Risiken frühzeitig erkannt werden. Darüber hinaus ist sie verpflichtet, für die Rechtmäßigkeit des Gesellschaftshandelns zu sorgen, etwa für die Einhaltung von Datenschutzbestimmungen.

Gesetzliche Vorgaben für IT-Sicherheitsmaßnahmen
Geschäftsleiter stehen hier jedoch vor der Schwierigkeit, dass allgemeingültige gesetzliche Vorgaben zur Einrichtung von IT-Sicherheitsmaßnahmen im Grundsatz nicht bestehen. Spezielle Regeln existieren etwa für Betreiber kritischer Infrastruktur, die regulierte Finanzindustrie, Telekommunikations- und Telemedienanbieter. 

Existieren keine weiteren spezialgesetzlichen Vorgaben zur IT-Sicherheit, müssen Unternehmen jedenfalls den datenschutzrechtlichen Bestimmungen zum Schutz personenbezogener Daten nachkommen.  Nach Art. 5 Abs. 1 f) DS-GVO besteht die Pflicht, Integrität und Vertraulichkeit dieser Daten durch „geeignete technische und organisatorische Maßnahmen“ zu gewährleisten. Gemäß Art. 32 DS-GVO sind „angemessene technische und organisatorische Maßnahmen“ zum Datenschutz zu treffen, welche vom Stand der Technik, den Implementierungskosten, der konkreten Datenverarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte der betroffenen Personen abhängig sind.

Unternehmerisches Ermessen bei Ausgestaltung der IT-Sicherheitsmaßnahmen
Doch auch jenseits datenschutzrechtlicher Gesetze besteht die Pflicht, eine angemessene IT-Sicherheitsstruktur zu schaffen. Zu den Leitungsaufgaben im Unternehmen gehört es, dieses so zu organisieren, dass bestandsgefährdende Risiken frühzeitig erkannt werden. Auch in Bezug auf Bedrohungen unterhalb dieser Schwelle gehört es zur Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters, das Unternehmen vor erkennbaren IT-Risiken zu schützen. Geschäftsleiter müssen daher für IT-Sicherheit und Geheimnisschutz sorgen und drohenden Risiken durch Einrichtung und Aufrechterhaltung geeigneter Sicherheitsmaßnahmen begegnen. 

Bei der Wahl von IT-Sicherheitsmaßnahmen haben Geschäftsleiter im Ausgangspunkt die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (vgl. § 43 Abs. 2 GmbHG). Ihnen steht hinsichtlich der konkreten Ausgestaltung ein unternehmerisches Ermessen zu. Grundlage der Ermessensausübung ist stets die Schaffung einer hinreichenden Tatsachenbasis. Geschäftsleiter müssen zunächst also relevante IT-Sicherheitsrisiken identifizieren und bewerten. Sie müssen klären, welche zu schützende IT-Infrastruktur besteht und welchen Gefahren diese ausgesetzt sein könnte. Diese Vorarbeit ist erforderlich, um pflichtgemäß entscheiden zu können, welche Maßnahmen für ein Unternehmen notwendig und ausreichend sind. 

Aus den Erkenntnissen dieser Risikoanalyse sind geeignete Maßnahmen zum Schutz vor den individuellen Risiken des Unternehmens abzuleiten. Wie auf die erkannten Risiken reagiert wird, ist unter Kosten-Nutzen-Aspekten und unter Berücksichtigung des verbleibenden Restrisikos im Einzelfall zu entscheiden. Allgemeinverbindliche Aussagen zum angemessenen Schutzstandard lassen sich kaum treffen, da hierbei auch Faktoren, wie die Unternehmensgröße, das Gefährdungspotenzial für IT-Risiken und das Gewicht drohender Schäden eine Rolle spielen dürften. 

Ist ein IT-Sicherheitskonzept implementiert, muss die Geschäftsleitung dessen Umsetzung und Einhaltung überwachen. Auf veränderte Bedrohungslagen und neue Gefahren ist durch regelmäßige Überprüfung und Anpassung des Sicherheitsstandards zu reagieren. Besteht der Verdacht, dass es zu einem Cyberangriff gekommen ist, muss die Geschäftsleitung unmittelbar alles Erforderliche unternehmen, um den drohenden Schaden zu begrenzen und Sicherheitslücken zu beseitigen.

Die Geschäftsleitung sollte ihre Maßnahmen bei der Risikoanalyse und Überwachung umfassend dokumentieren. Soweit es um bestandsgefährdende Risiken geht, ist die Dokumentation bereits Bestandteil des von der Geschäftsleitung geschuldeten Risikomanagementsystems. In allen anderen Fällen dient die Dokumentation dazu, im Haftungsfall darlegen zu können, dass und wie die Geschäftsleitung ihren Pflichten nachgekommen ist.

Fazit
Geschäftsführer finden sich im Haftungsfall in der unbefriedigenden Situation, sich vom Vorwurf der Pflichtverletzung entlasten zu müssen. Die Geschäftsführung schuldet allerdings nicht maximale Sicherheit, sondern eine unternehmerisch vertretbare, der Situation ihres Unternehmens angemessene, IT-Sicherheit. Hat die Geschäftsführung ihre Pflichten durch eine Risikoanalyse sowie Umsetzung und Überwachung des dazu entwickelten, angemessenen IT-Sicherheitskonzepts erfüllt, scheidet eine Haftung aus. Wichtig ist jedoch stets, dass die Geschäftsführung ihre Maßnahmen umfassend dokumentiert. Die Dokumentation kann selbst Teil der Geschäftsführerpflichten sein und dient später zum Nachweis der sorgfältigen Aufgabenerfüllung.