Manager-Haftung bei Cyberangriffen – Business Judgement Rule als Schutzmechanismus

Wachsende Cyberrisiken erhöhen den Druck auf die Unternehmensleitung 🚨

Die Manager-Haftung bei Cyberangriffen gewinnt zunehmend an Bedeutung. Angriffe auf IT-Infrastrukturen, Datenlecks und Erpressungstrojaner treffen nicht nur technische Systeme, sondern können auch unmittelbare juristische Folgen für die Geschäftsleitung haben. Nach geltendem Recht haftet die Unternehmensführung persönlich, wenn sie ihren Sorgfaltspflichten nicht nachkommt.

Im Zuge der europäischen Richtlinie NIS2, die ein höheres IT-Sicherheitsniveau in allen EU-Mitgliedstaaten durchsetzen soll, steht die persönliche Verantwortung von Führungskräften im Fokus. Die Richtlinie sieht vor, dass Mitglieder der Geschäftsleitung bei „Nichtstun“ oder grober Nachlässigkeit persönlich haftbar gemacht werden können. Damit will die EU sicherstellen, dass Cybersicherheit zur Chefsache wird – und kein zahnloser Tiger bleibt.

Rechtlicher Rahmen: Verantwortung ohne Ausflüchte ⚖️

In Deutschland ist die Manager-Haftung kein neues Thema. Bereits das Aktiengesetz (§ 93 AktG) und das GmbH-Gesetz (§ 43 GmbHG) regeln die persönliche Verantwortung der Geschäftsführung bei Pflichtverletzungen. Neu ist jedoch die Dimension, die Cyberangriffe und IT-Sicherheitsvorfälle dieser Haftung hinzufügen.

Denn während finanzielle Fehlentscheidungen klassisch betriebswirtschaftlich bewertet werden, lässt sich mangelnde IT-Sicherheit als Verletzung der Sorgfaltspflicht deuten. Unternehmen, die keine ausreichenden Schutzmaßnahmen treffen, verstoßen gegen den Grundsatz verantwortungsvoller Unternehmensführung – mit potenziell gravierenden rechtlichen Konsequenzen.

Die Business Judgement Rule als Schutzschild 🛡️

Die Business Judgement Rule (BJR) bietet Geschäftsleitern unter bestimmten Bedingungen Schutz vor persönlicher Haftung. Sie ist im deutschen Aktienrecht (§ 93 Abs. 1 Satz 2 AktG) und sinngemäß auch im GmbH-Recht verankert.

Ein Manager haftet nicht, wenn er nach bestem Wissen und Gewissen auf Grundlage angemessener Informationen handelt – auch wenn sich die Entscheidung später als falsch erweist. Entscheidend ist also nicht der Erfolg der Maßnahme, sondern die Sorgfalt und Informiertheit, mit der sie getroffen wurde.

Die Business Judgement Rule schützt also diejenigen, die verantwortungsbewusst handeln, nicht jene, die Sicherheitsrisiken ignorieren oder aufschieben.

Anwendung der Business Judgement Rule bei Cyberangriffen 💻

Mit Blick auf Cyberangriffe konkretisiert sich die Business Judgement Rule in mehreren Aspekten:

  1. Prävention und Vorbereitung:
    Geschäftsleitungen müssen angemessene technische und organisatorische Schutzmaßnahmen einführen – etwa nach ISO 27001, TISAX oder den BSI IT-Grundschutz-Standards. Diese Maßnahmen müssen regelmäßig überprüft und an neue Bedrohungslagen angepasst werden.
  2. Risikobewertung:
    Eine fundierte Risikoanalyse ist Pflicht. Sie dient der Identifikation von Schwachstellen und der Priorisierung von Schutzmaßnahmen. Regelmäßige Audits, Penetrationstests und Schwachstellen-Scans gelten als Mindeststandard.
  3. Reaktionsfähigkeit:
    Im Falle eines Sicherheitsvorfalls muss eine Incident-Response-Strategie greifen. Dazu gehören klare Verantwortlichkeiten, Kommunikationswege und Notfallpläne, um Ausfallzeiten zu minimieren.
  4. Dokumentation:
    Jede sicherheitsrelevante Entscheidung sollte schriftlich dokumentiert werden – insbesondere, wie sie zustande kam und auf welchen Informationen sie basierte. Nur so kann im Ernstfall belegt werden, dass die Führung sorgfältig gehandelt hat.
  5. Schulung und Awareness:
    Mitarbeitende und Führungskräfte müssen regelmäßig in Cybersecurity-Awareness-Programmen geschult werden. Denn die größte Sicherheitslücke bleibt häufig der Mensch.

Haftung trotz guter Absicht – wo die Grenze verläuft ⚠️

Die Business Judgement Rule schützt nur, wenn die Unternehmensleitung tatsächlich angemessene Maßnahmen umgesetzt und dokumentiert hat. Wird Cybersicherheit hingegen nur oberflächlich behandelt oder ignoriert, greift dieser Schutz nicht.

Auch das bewusste Ignorieren von Warnungen, Schwachstellen oder gesetzlichen Anforderungen (z. B. NIS2, DSGVO, Cyber Resilience Act) führt zur persönlichen Haftung. Gerichte prüfen in solchen Fällen, ob die getroffenen Entscheidungen auf nachvollziehbaren, fundierten Informationen basierten.

Praktische Handlungsempfehlungen für das Management 📋

Um sich vor persönlicher Haftung zu schützen und die Business Judgement Rule wirksam anzuwenden, sollten Geschäftsleitungen folgende Maßnahmen etablieren:

  • Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 oder TISAX einführen
  • Risikobewertungen mindestens einmal jährlich durchführen
  • Externe Audits und Penetrationstests beauftragen
  • Mitarbeitende regelmäßig schulen und auf aktuelle Bedrohungen sensibilisieren
  • Incident-Response-Plan erstellen und testen
  • Alle Entscheidungen und Prozesse zur IT-Sicherheit dokumentieren

Diese Punkte sichern nicht nur die Rechtsposition der Geschäftsleitung, sondern erhöhen auch die Cyberresilienz der gesamten Organisation.

Fazit: Verantwortung heißt Vorbereitung 🔍

Cybersicherheit ist längst kein reines IT-Thema mehr, sondern ein zentraler Bestandteil moderner Unternehmensführung. Die Manager-Haftung bei Cyberangriffen zeigt deutlich, dass rechtliche Verantwortung und technologische Vorsorge untrennbar miteinander verbunden sind.

Nur wer informiert, dokumentiert und proaktiv handelt, kann sich auf die Business Judgement Rule berufen – und damit persönliche Haftungsrisiken minimieren.

DIGITALBÜRO LIMBURG – Manager-Haftung bei Cyberangriffen verstehen und Haftungsrisiken vermeiden – denn We make IT easy. Jetzt Verantwortung übernehmen und Cybersicherheit strategisch absichern.

Quellen und weiterführende Informationen

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar.

Beitrag teilen:

Ähnliche Artikel