Haftungsfalle Cybersecurity

Was kann und muss das Management tun, um Risiken für das Unternehmen zu vermeiden?

von Dr. Thomas Jansen
Drei von vier Unternehmen waren in den vergangenen beiden Jahren von Cyberangriffen betroffen. Das Schadenspotenzial derartiger Angriffe ist enorm hoch; so lag der Gesamtschaden für die deutsche Wirtschaft durch Cyberangriffe im Jahr 2019 bei circa 100 Milliarden Euro. Da die Täter meist nicht identifizierbar sind, bleibt Unternehmen häufig nur die Möglichkeit einer Inanspruchnahme des Managements und der D&O-Versicherung, wenn bei der Cybersecurity-Attacke Schäden entstanden sind, die nicht entstanden wären, wenn die erforderlichen Schutzmaßnahmen ergriffen worden wären.

Wann haftet das Management?
Hat das Management seine Pflichten verletzt, kann es für daraus resultierende Schäden haftbar gemacht werden. Der Haftungsumfang richtet sich dabei nach der Art des Beschäftigungsverhältnisses. Vorstandsmitglieder einer AG oder Geschäftsführer einer GmbH, die ihre Pflichten verletzen, haften der Gesellschaft persönlich. Dabei trifft sie die Beweislast. Das bedeutet, dass die Gesellschaft lediglich vorbringen muss, dass ihr aufgrund eines Verhaltens bzw. Unterlassens des Managements ein Schaden entstanden ist, während das Management zu seiner Entlastung darlegen muss, dass es seinen Sorgfaltspflichten nachgekommen ist. Die Pflichten des Managements im Hinblick auf Cybersecurity sind vielfältig und unterscheiden sich je nach Art des Unternehmens. In der Regel wird das Management verpflichtet sein, ein wirksames IT-Risikomanagementsystem einzuführen.

Delegation und D&O-Versicherung als Ausweg?
Wegen der Komplexität der Aufgaben ist eine Delegation in der Regel unerlässlich. Allerdings sind die Anforderungen an deren haftungsbeschränkende Wirkung sehr hoch: Grundvoraussetzung ist, dass die Aufgaben eindeutig, überschneidungsfrei und dokumentiert delegiert werden, und die Einhaltung von Anweisungen ständig überwacht und ausführlich dokumentiert wird. Der Abschluss einer D&O-Versicherung bietet für das Management nur eine Scheinsicherheit, da die Versicherung regelmäßig nicht alle Risiken, insbesondere nicht Bußgelder und Geldstrafen, die mitunter erheblich sein können, abdeckt.

Fazit
Um Haftungsrisiken bei Cyberangriffen zu minimieren, ist ein wirksames Risikomanagement, das die Implementierung und Umsetzung von erforderlichen Haftungsfalle Cybersecurity technischen und organisatorischen Maßnahmen einschließt, von zentraler Bedeutung. Darüber hinaus bedarf es klarer Handlungsanweisungen und einer entsprechenden Überwachung der Einhaltung dieser Anweisungen, um eine Haftung des Managements auszuschließen oder zu reduzieren. ■

Angesichts weltweit zunehmender Cyberattacken und des einhergehenden enormen Schadenspotenzials gehört Cybersecurity ganz oben auf die Agenda des Top-Managements.

Dr. Thomas Jansen, Partner, Heuking Kühn Lüer Wojtek

www.heuking.de

Das aktuelle Handelsblatt Journal zum Download