Die Rechtsprechung stellt immer höhere Anforderungen an die Sorgfaltspflichten der Unternehmensleitung im Bereich der Cybersicherheit. Damit rücken Cyber- und D&O-Versicherung immer näher zusammen.
Was früher als rein technisches Problem der IT-Abteilung galt, hat sich zu einem der größten Governance-Risiken für Geschäftsführer und Vorstände entwickelt. Die persönliche Haftung von Führungskräften bei Cybersicherheitsverletzungen ist dabei von einer theoretischen Möglichkeit zu einer realen und zunehmend durchgesetzten Bedrohung geworden. Während Cyberversicherungen den direkten Schaden durch Angriffe abdecken, schützen D&O-Versicherungen die persönlichen Haftungsrisiken der Unternehmensleitung.
Doch zwischen beiden Versicherungsarten bestehen komplexe Wechselwirkungen und potenzielle Deckungslücken, die Führungskräfte in erhebliche finanzielle Bedrängnis bringen können. Verschärft wird diese Situation durch neue regulatorische Anforderungen wie die NIS2-Richtlinie und DORA, die die persönliche Verantwortung der Geschäftsleitung für Cybersicherheit explizit festschreiben und Haftungsausschlüsse verbietet.
Während die Airline Qantas “nur” die Bonuszahlungen der Manager aufgrund eines erfolgten Cyberangriffs kürzte, mussten im Falle der Südwestfalen IT, einem kommunalen IT-Dienstleister, nach einem Cyberangriff zwei Geschäftsführer den Hut nehmen.
Die traditionelle Trennung zwischen operativen IT-Risiken und strategischer Unternehmensführung gehört der Vergangenheit an. Moderne Cyberangriffe zielen nicht mehr nur auf technische Systeme ab, sondern auf die Geschäftsprozesse selbst und können binnen Stunden existenzbedrohende Auswirkungen haben. Laut einschlägigen Risikostudien sind Cybervorfälle das größte globale Unternehmensrisiko. Die Gesamtkosten eines Datenlecks gehen in die Millionen, eine Summe, die für viele Unternehmen existenzbedrohend sein kann.
Diese Entwicklung hat fundamentale Auswirkungen auf die Haftung von Geschäftsführern und Vorständen. Was früher als unvorhersehbare externe Bedrohung galt, wird heute zunehmend als vorhersehbares und damit durch angemessene Vorsorgemaßnahmen vermeidbares Risiko betrachtet. Die Rechtsprechung folgt diesem Wandel und stellt immer höhere Anforderungen an die Sorgfaltspflichten der Unternehmensleitung im Bereich der Cybersicherheit.
Der Paradigmenwechsel zeigt sich auch in der Versicherungsbranche. Während D&O-Versicherungen traditionell auf Managementfehler und Compliance-Verstöße fokussiert waren, müssen sie nun auch Haftungsrisiken aus Cybersicherheitsverletzungen abdecken. Gleichzeitig entwickeln sich Cyberversicherungen von reinen Schadenersatzpolicen zu umfassenden Risikomanagementsystemen mit präventiven Komponenten.
Diese Konvergenz schafft neue Herausforderungen für die Risikoabsicherung von Unternehmen. Die Grenzen zwischen den verschiedenen Versicherungsarten verschwimmen, während gleichzeitig neue Deckungslücken entstehen können. Für Geschäftsführer bedeutet dies, dass sie nicht nur ihre operative Cybersicherheitsstrategie überdenken müssen, sondern auch ihre persönliche Haftungsabsicherung neu bewerten sollten.
Die rechtlichen Grundlagen für die persönliche Haftung von Geschäftsführern bei Cyberangriffen sind vielschichtig und entwickeln sich kontinuierlich weiter. Im österreichischen Recht ergeben sich die entsprechenden Pflichten aus verschiedenen Rechtsquellen, die zusammengenommen ein dichtes Netz von Verantwortlichkeiten schaffen.
Die fundamentale Rechtsgrundlage bildet das allgemeine Gesellschaftsrecht. Nach GmbHG und AktG sind Geschäftsführer und Vorstände verpflichtet, die Sorgfalt eines ordentlichen Kaufmanns walten zu lassen. Diese Sorgfaltspflicht umfasst den Aufbau und die Pflege eines effektiven IT-Sicherheitsmanagements, regelmäßige Risikoanalysen und Sicherheitsprüfungen sowie die Schulung der Mitarbeiter im Umgang mit Cyberrisiken. Die Rechtsprechung konkretisiert diese allgemeinen Pflichten zunehmend für den Bereich der Cybersicherheit.
Da Cyberrisiken mit massiven finanziellen Verlusten und einem Rückgang des Vertrauens einhergehen können, stellen sie eine potenzielle Bestandsgefahr dar, gegen die sich die Geschäftsleitung durch angemessene Organisationsmaßnahmen schützen muss. Darüber hinaus ergeben sich spezifische Pflichten aus dem Datenschutzrecht. Art. 32 DSGVO verpflichtet Verantwortliche zur Implementierung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Diese Pflicht ist nicht delegierbar und liegt in der direkten Verantwortung der Geschäftsleitung. Verstöße können nicht nur zu hohen Bußgeldern führen, sondern auch Schadensersatzansprüche Betroffener auslösen.
Auch in neueren Rechtsmaterien wie der NIS2-Richtlinie und der DORA-Verordnung finden sich entsprechende Regelungen, welche festschreiben, dass die Verantwortung hinsichtlich der zu treffenden Sicherheitsmaßnahmen bei der Geschäftsführung liegt.
Eine weitere wichtige Komponente ist die Compliance-Pflicht der Geschäftsleitung. Diese umfasst die allgemeine Verpflichtung, Schutzvorkehrungen zu treffen, die Gesetzesverstöße von Mitarbeitenden verhindern. Im Kontext der Cybersicherheit bedeutet dies, dass die Geschäftsleitung nicht nur technische Schutzmaßnahmen implementieren, sondern auch sicherstellen muss, dass Mitarbeiter angemessen geschult sind und die Sicherheitsrichtlinien befolgen.
Die Beweislastverteilung spielt bei der Haftung eine entscheidende Rolle. Grundsätzlich muss zunächst eine Pflichtverletzung der Geschäftsführung nachgewiesen werden. Um sich zu entlasten, muss die Geschäftsführung jedoch belegen können, dass ein effektives IT-Sicherheitsmanagement implementiert wurde, regelmäßige Sicherheitsupdates und Audits durchgeführt wurden und präventive Maßnahmen wie Backup-Systeme und Firewalls eingerichtet waren. Diese Umkehr der Beweislast bedeutet in der Praxis, dass eine umfassende Dokumentation aller Sicherheitsmaßnahmen unerlässlich ist.
Die persönliche Haftung von Geschäftsführern nach Cyberangriffen kann in verschiedenen Szenarien entstehen, die jeweils unterschiedliche rechtliche Herausforderungen mit sich bringen. Die Analyse dieser Szenarien ist entscheidend für das Verständnis der Haftungsrisiken und die Entwicklung angemessener Präventionsstrategien:
Das erste und häufigste Szenario betrifft die mangelnde Implementierung grundlegender Cybersicherheitsmaßnahmen. Wenn ein Unternehmen Opfer eines Cyberangriffs wird, der durch elementare Sicherheitsdefizite ermöglicht wurde, stellt sich die Frage nach der Sorgfaltspflichtverletzung der Geschäftsleitung. Konkret kann dies bedeuten, dass veraltete Software nicht aktualisiert, schwache Passwörter toleriert oder keine Zwei-Faktor-Authentifizierung implementiert wurde. In solchen Fällen wird die Geschäftsleitung mit dem Vorwurf konfrontiert, nicht die Sorgfalt eines ordentlichen Kaufmanns walten gelassen zu haben.
Ein besonders kritisches Szenario entsteht bei der bewussten Vernachlässigung bekannter Sicherheitslücken. Wenn interne Sicherheitsaudits oder externe Berater auf spezifische Vulnerabilitäten hinweisen, diese aber nicht zeitnah behoben werden, kann dies zu einer verschärften Haftung führen. Das Wissen um die Gefahr und die bewusste Inkaufnahme des Risikos können als grobe Fahrlässigkeit oder sogar als vorsätzliches Handeln gewertet werden, was erhebliche haftungsrechtliche Konsequenzen nach sich zieht.
Die Vernachlässigung der Mitarbeiterschulung stellt ein weiteres bedeutsames Haftungsszenario dar. Da ein Großteil der Cyberangriffe über Social Engineering und Phishing-Angriffe erfolgt, ist die regelmäßige Sensibilisierung der Mitarbeiter eine zentrale Präventionsmaßnahme. Wenn ein Schaden durch mangelnde Mitarbeiterschulung entsteht, kann dies als Organisationsverschulden der Geschäftsleitung gewertet werden. Besonders kritisch wird dies, wenn CEO-Fraud-Angriffe erfolgreich sind, weil Mitarbeiter nicht ausreichend über diese Bedrohung informiert waren.
Das Fehlen angemessener Notfallpläne und Incident-Response-Verfahren kann ebenfalls zu persönlicher Haftung führen. Wenn nach einem Cyberangriff chaotische Zustände herrschen, wichtige Meldepflichten nicht erfüllt werden oder der Schaden durch unkoordinierte Reaktionen vergrößert wird, liegt der Vorwurf einer mangelhaften Vorbereitung nahe. Die Geschäftsleitung ist verpflichtet, für den Ernstfall vorzusorgen und etablierte Strukturen zu schaffen, auf die im Krisenfall zurückgegriffen werden kann.
Ein besonders komplexes Szenario ergibt sich bei der Entscheidung über den Abschluss einer Cyberversicherung. Grundsätzlich besteht keine generelle Pflicht zum Abschluss einer Cyberversicherung, und die Entscheidung darüber fällt unter die unternehmerische Ermessensfreiheit. Problematisch wird es jedoch, wenn diese Entscheidung ohne angemessene Informationsgrundlage getroffen wird oder wenn die einzig vertretbare Entscheidung der Abschluss einer Cyberversicherung gewesen wäre. In solchen Fällen kann die Geschäftsleitung sowohl für den ursprünglichen Cyberschaden als auch für die fehlende Versicherungsdeckung haftbar gemacht werden.
Die Vernachlässigung der Überwachungspflicht stellt ein weiteres kritisches Szenario dar. Die Geschäftsleitung ist nicht nur verpflichtet, Sicherheitsmaßnahmen zu implementieren, sondern auch deren Einhaltung kontinuierlich zu überwachen. Wenn Sicherheitsrichtlinien existieren, aber nicht durchgesetzt werden, oder wenn Sicherheitsvorfälle nicht angemessen verfolgt werden, kann dies als Pflichtverletzung gewertet werden. Besonders problematisch wird dies, wenn wiederholte kleinere Sicherheitsvorfälle ignoriert werden und schließlich zu einem größeren Schaden führen.
Das Szenario der unzureichenden Vendor-Management-Prozesse gewinnt zunehmend an Bedeutung. Da moderne Unternehmen stark von externen Dienstleistern und Cloud-Services abhängig sind, muss die Geschäftsleitung sicherstellen, dass auch diese angemessene Sicherheitsstandards einhalten. Wenn ein Cyberangriff über einen unzureichend abgesicherten Dienstleister erfolgt und die Due-Diligence-Prozesse des Unternehmens mangelhaft waren, kann dies zu Haftungsansprüchen gegen die Geschäftsleitung führen.
Schließlich kann auch die unzureichende Budgetierung für Cybersicherheitsmaßnahmen zu Haftungsrisiken führen. Wenn die Geschäftsleitung trotz erkennbarer Risiken und entsprechender Empfehlungen der IT-Abteilung oder externer Berater keine ausreichenden Mittel für die Cybersicherheit bereitstellt, kann dies als Pflichtverletzung gewertet werden. Dies gilt insbesondere dann, wenn die eingesparten Kosten in keinem angemessenen Verhältnis zu den potentiellen Schäden stehen.
Das Verhältnis zwischen Cyber- und D&O-Versicherungen ist von grundlegenden Unterschieden in Zweck, Struktur und Deckungsumfang geprägt, was zu komplexen Wechselwirkungen und potentiellen Deckungslücken führt. Ein Verständnis dieser Zusammenhänge ist für Geschäftsführer essentiell, um angemessenen Versicherungsschutz zu gewährleisten und Haftungsrisiken zu minimieren.
Die grundlegenden Unterschiede zwischen beiden Versicherungsarten zeigen sich bereits in ihrem primären Schutzzweck. Eine Cyberversicherung schützt das Unternehmen vor finanziellen Schäden, die durch Datenschutzverletzungen, Cyber-Angriffe oder sonstige IT-Sicherheitsvorfälle verursacht werden. Sie deckt typischerweise Eigenschäden wie Wiederherstellungskosten oder Betriebsunterbrechungen, Drittschäden wie Schadensersatzansprüche wegen Datenschutzverletzungen und zusätzliche Service- und Unterstützungsleistungen für die Prävention und Bewältigung von Cyber-Vorfällen ab.
Im Gegensatz dazu schützt eine D&O-Versicherung Führungskräfte vor persönlicher Haftung bei Pflichtverletzungen oder Fehlentscheidungen, die dem Unternehmen schaden. Der Fokus liegt dabei nicht auf der Deckung unmittelbarer Cyber-Schäden, sondern auf der Absicherung der Geschäftsleitung gegen Regressansprüche und persönliche Haftungsrisiken. Eine Cyberversicherung übernimmt keine persönliche Haftung der Geschäftsleitung, sondern konzentriert sich auf die Deckung der unmittelbaren Kosten des Cyber-Vorfalls.
TEILEN SIE DEN ARTIKEL
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
In der digitalen Welt verschwimmen heutzutage die Grenzen zwischen gewöhnlicher Kriminalität und staatlich gelenkter Kriegsführung. Jüngstes Beispiel dafür sind die […]
WEITERLESEN
Während die Cyber-Versicherung die digitale Festung des Unternehmens schützt, sichert die VSV die Schatztruhe. Für ein lückenloses Sicherheitsnetz benötigen Unternehmen heute beides.
WEITERLESEN
Wir sind stolz, mit Philipp Strasser einen ausgewiesenen Experten seines Fachs beim Financial Lines Dialog 2025 an Bord zu haben.
WEITERLESEN
Nach oben scrollen