Die Verantwortung von Unternehmensorganen für Schäden im Zusammenhang mit der IT-Sicherheit

Mittlerweile erlangt der Einsatz von IT eine immer wichtigere Bedeutung und zwar nicht nur im von Information getriebenen Business, sondern auch beispielsweise in Handwerksbetrieben. Viele Endgeräte wie Smartphones und Laptops befinden sich in den Unternehmen im Einsatz. Dadurch stellt sich die Frage wie es um die IT-Sicherheit dieser Geräte bestellt ist, aber auch, inwiefern die Geschäftsführung für einen IT-Sicherheitsvorfall verantwortlich gemacht werden kann?

Der Cybervorfall als Katastrophenrisiko

Die Schäden, die etwa durch Schadsoftware in einem Unternehmensnetzwerk verursacht werden, können verheerend sein und die Dimension eines Großschadens erreichen. Im Extremfall steht die Existenz des Unternehmens auf dem Spiel.

Es besteht nicht nur das Risiko, dass Cyber-Kriminelle sensible Daten des Unternehmens veröffentlichen, sondern auch, dass Betroffene Schadenersatz geltend machen. Oft einher gehen mit einem Cybervorfall auch hohe Betriebsunterbrechungsschäden und Wiederherstellungskosten. Sowohl für große als auch kleinere Unternehmen können sich diese Aufwände als sehr schmerzhaft erweisen und stark auf die GuV der Bilanz durschlagen.

IT-Sicherheit als Managementaufgabe

Deshalb ist die Wahrnehmung der IT-Sicherheit für die Unternehmensorgane von zentraler Bedeutung, um rechtliche Konsequenzen zu vermeiden. Denn die Geschäftsführung bleibt für die IT-Sicherheit des Unternehmens verantwortlich und zwar auch dann, wenn der Betrieb der IT an einen IT-Dienstleister ausgelagert wird. Die Haftung der Unternehmensorgane bleibt unabhängig von der Frage bestehen, ob man eine persönliche Expertise als Geschäftsführung im Bereich IT besitzt oder nicht. Die Haftung gegenüber Dritten (z.B. Kunden) aber auch gegenüber der eigenen Gesellschaft bleibt bestehen. Generell haftet die Geschäftsführung persönlich, solidarisch mit ihrem Privatvermögen. Aufgrund der solidarischen Haftung wird auch in einem Schadensfall der Umstand, „dass die IT etwa nicht ins eigene Ressort falle“, nicht vor einer persönlichen Haftung schützen. Denn auch die Überwachung der Geschäftsführerkollegen gehört zu den Kernaufgaben der Unternehmensorgane.

Die zahlreichen Folgen eines Cyberangriffs

Zu bedenken sind auch die (Rechts-)Folgen eines Cyberangriffs. Denn der durch einen Cyberangriff entstandene Schaden ist nämlich nicht auf die Kosten der Wiederherstellung der IT-Systeme und den Betriebsunterbrechungsschaden begrenzt. Hinzu kommen die Schadensfeststellungskosten, Zusatzkosten für eigenes Personal, das Überstunden leisten muss oder Kosten für Rechtsanwälte und technische Experten.

Zudem können Kunden und Lieferanten das Unternehmen auch im Falle von Lieferausfällen oder Lieferverzug in Anspruch nehmen. Wenn persönliche Daten veröffentlicht werden, so kann die Datenschutzbehörde auch ein Bußgerld verhängen und die Betroffenen können Schadenersatzforderungen geltend machen. Es liegt auf der Hand, dass die Gesellschafter nach einem Cyber-Vorfall die Frage nach der Verantwortlichkeit stellen werden, insbesondere wenn der Schaden hoch ist oder gar die Existenz des Unternehmens gefährdet. Immer öfter werden Unternehmensorgane, welche sich nicht ausreichend um die IT-Sicherheit des Unternehmens gekümmert haben, sogar nach einem Cyber-Vorfall gekündigt.

Cyberversicherung als Absicherung des unvermeidbaren Restrisikos

Um das eigene Unheil abzuwenden, sollten die geschäftsführenden Organen die IT-Sicherheit sehr ernst nehmen. Dazu empfehlen wir den Status der IT-Sicherheit durch externe IT-Experten z.B. im Rahmen eines Sicherheits-Audits und eines Penetration-Tests überprüfen zu lassen und alle Maßnahmen nach einer Prioritätenliste zeitnah abzuarbeiten. Erst dann wird wohl der Abschluss einer Cyberversicherung möglich sein.

Der Abschluss einer Cyberversicherung gehört sicherlich zum modernen Risikomanagements eines jeden Unternehmens und ist somit unseres Erachtens nun ein Grundpfeiler eines Versicherungskonzepts für, der von einer Geschäftsführung eingehalten werden muss. Zudem, um auch vor ungerechtfertigten Ansprüchen sicher zu sein, empfehlen wir den Leitungsorganen von Unternehmen jedenfalls auch den Abschluss einer D&O-Versicherung mit ausreichender Versicherungssumme und einer unverfallbaren, zeitlich unbegrenzten Nachmeldefrist.