Haftung der Geschäftsleitung für Cyberangriffe

Die Vernetzung und Digitalisierung in Unternehmen nimmt aufgrund des Technologiewandels Tag für Tag zu. Deutsche Unternehmen sind ein beliebtes Ziel für Cyberangriffe, also Maßnahmen gegen Infrastrukturen der IT zur Informationsbeschaffung von Kundendaten und Geschäftsgeheimnissen oder Schädigung bzw. Sabotage des IT-Systems. Die Schäden durch Cyberangriffe in den Jahren 2017 und 2018 werden laut einer Studie des Bitcom e.V. in Deutschland auf rd. 43 Mrd. Euro geschätzt.

Die durch den Cyberangriff entstandenen Schäden sind regelmäßig auch nicht durch entsprechende Versicherungen gedeckt, sodass sich zwangsläufig die Frage stellt, wer stattdessen die Haftung übernehmen soll. Eine Haftung der fahrlässig handelnden Mitarbeiter oder IT-Dienstleister ist kaum erfolgreich durchsetzbar. Daher bleibt oft nur der Ausweg, die Geschäftsleitung für derartige Schäden in die Haftung zu nehmen, deren Handlung durch eine D&O-Versicherung abgedeckt sein sollte. Dadurch rücken Themen wie Compliance- und Managementsysteme, Organisationsobliegenheiten und Geschäftsleiterhaftung immer mehr in den Vordergrund.

Im Falle eines erfolgreichen schadhaften Cyberangriffs stellt sich die Frage, ob die Sicherheitsarchitektur des Unternehmens ausreichend war oder die Geschäftsleitung schuldhaft eine Pflichtverletzung begangen hat, also die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsmannes außer Acht gelassen hat (§ 43 I GmbHG, § 93 I 1 AktG) und ihr damit ein sogenanntes innerbetriebliches Organisationsverschulden zur Last zu legen ist.

Im „Neubürger“-Urteil vom 10.12.2013 – 5 HK O 1387/10 hat das Landgericht München I entschieden, dass die Geschäftsleitung für die Einrichtung einer auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation verantwortlich ist. Die Geschäftsleitung hat also im Unternehmen ein Überwachungssystem zu installieren, welches bestandsgefährdende Entwicklungen erkennen kann. Das Gericht stellt damit gewisse Verhaltensanforderungen an die Geschäftsleitung, die einzuhalten sind.

Das Thema Datenschutz und Datensicherheit sollte daher nicht vernachlässigt werden.

Um sich vom Vorwurf eines Verschuldens zu entlasten, ist von der Geschäftsleitung eine effiziente Compliance-Organisation einzurichten, wobei sich diese an der Art, Größe und Organisation des Unternehmens auszurichten hat. Außerdem sind die relevanten Vorschriften, die geografische Präsenz und das Aufkommen etwaiger Verdachtsfälle in der Vergangenheit mit zu berücksichtigen. Dabei kommt der Geschäftsleitung zwar ein weites Ausgestaltungsermessen zu, allerdings muss die Organisation wirksam sein. Andernfalls drohen strafrechtliche Sanktionen wie auch Unterlassungs- und Schadenersatzansprüche. Daher ist nach eine Risikoanalyse ein entsprechender Maßnahmenkatalog aufzustellen, sodass ein geeignetes Überwachungssystem eingerichtet werden kann, und die Maßnahmen sind umfassend zu dokumentieren.