Business Judgement Rule Manager-Haftung bei Cyberangriffen

Manager-Haftung und Cyberrisiken sind real. 2022 stand ein Geschäftsführer vor Gericht: Er hielt Phishing-Mails für echt und überwies ins Ausland. Fahrlässig, doch wegen Sonderumständen nicht haftbar – nicht aus Justizmilde. Fazit: Persönliche Haftung ist ein ernstzunehmendes Thema.

Für NIS2 ist die Diskussion über eine persönliche Haftung des Managements ein Streitpunkt in Berlin. Denn im EU-Recht ist hinterlegt, die Mitglieder der Geschäftsleitung sollen bei „Nichtstun“ persönlich haftbar gemacht werden können. Die EU wollte damit ein starkes Signal setzen, um die Umsetzung des höheren Sicherheitsniveaus zu fördern und keinen „zahnlosen Tiger“ erschaffen.

In Deutschland will die Regierung hingegen vermeiden, dass die heute schon vorhandenen und der zivilrechtlichen Haftung unterliegenden Verletzungen der Sorgfaltspflichten der GmbH und AG nicht nur aus dem GmbH-Recht (GmbHG) und Aktienrecht (AktG) heraus der Haftbarkeit unterliegen, sondern auch aus NIS2, womit ein Haftungstatbestand der mangelnden Sorgfaltspflicht einer doppelten Rechtsnorm unterliegen könnte. Oder soll zweierlei Strafmaß für AG, GmbH und andere Rechtsformen gelten?

Cybersicherheit wird zur Chefsache

Persönliche Haftungsrisiken aus der EU-Richtlinie NIS2

Business Judgement Rule – Schutz bei Sorgfalt

Wie die oben genannte Sachlage im NIS2-Gesetz kommen und umgesetzt wird, ist offen. Die Beratungen im Bundestag und Bundesrat werden hier sicher Klarheit bringen. Unabhängig vom Ausgang dieser Diskussionen gibt es schon heute zur Sache der Strafen der Geschäftsleitung Rechtsgrundsätze, die alle Verantwortungsträger in Unternehmen kennen sollten: Die Business Judgement Rule!

Die Business Judgement Rule (BJR) ist ein rechtlicher Grundsatz, der vor allem im deutschen Aktienrecht (§ 93 Abs. 1 Satz 2 AktG) und ähnlich im GmbH-Recht (§ 43 GmbHG) verankert ist. Sie schützt Geschäftsleiter (Vorstände, Geschäftsführer) vor persönlicher Haftung, wenn sie unter bestimmten Bedingungen unternehmerische Entscheidungen treffen.

Was ist die Kernaussage der Business Judgement Rule?

Ein Geschäftsleiter haftet nicht für eine unternehmerische Entscheidung, wenn:

• 1. keine Pflichtverletzung vorliegt,

• 2. die Entscheidung auf Grundlage angemessener Informationen getroffen wurde,

• 3. zum Wohle der Gesellschaft gehandelt wurde,

• 4. keine Interessenkonflikte bestehen.

Es geht also darum, dass Führungskräfte sorgfältig und informiert handeln – auch wenn sich später herausstellt, dass die Entscheidung falsch war.

In zehn Schritten zur NIS-2-Konformität, Teil 1

NIS 2 – Anschnallpflicht für Unternehmen

Was bedeutet die BJR mit Blick auf Cyberangriffe?

Im Kontext von Cybersecurity und Cyberangriffen hat die Business Judgement Rule verschiedene Auswirkungen. Zum einen die Frage der Vorbereitungspflicht: Geschäftsleitungen müssen angemessene technische und organisatorische Maßnahmen zum Schutz der Informationssicherheit treffen (z. B. nach ISO 27001, TISAX, BSI IT-Grundschutz, NIS2). Zum anderen geht es um die Risikobewertung. Hierbei sind eine fundierte Risikoanalyse und regelmäßige Sicherheitsbewertungen zwingend. Darüber hinaus geht es um die Reaktion auf Vorfälle, den „Incident Response“. So muss ein Notfallplan existieren, der im Fall eines Angriffs schnell aktiviert werden kann. Zu guter Letzt geht es um die Dokumentation: Alle relevanten Entscheidungen und Maßnahmen sollten nachweisbar dokumentiert werden.

Welche Auswirkungen hat dies auf die Haftungsfrage?

Grundsätzlich gilt: Wenn die Geschäftsleitung vor einem Angriff nachweislich angemessene Sicherheitsmaßnahmen implementiert, regelmäßig geprüft und auf bekannte Risiken reagiert hat, greift der Schutz der Business Judgement Rule.

Doch Vorsicht! Die Cybersicherheit sollte nicht auf die leichte Schulter genommen werden. Denn wenn die Cybersicherheit ignoriert oder nur oberflächlich behandelt wird besteht kein Schutz! Dasselbe gilt, wenn gesetzliche Vorgaben (z. B. NIS2, DSGVO, CRA) nicht erfüllt werden oder wenn bekannte Schwachstellen trotz Warnung nicht beseitigt wurden. Auf dieser Basis sollte man sich im Führungsteam genau überlegen, was man tut.

Weckruf für Unternehmen

NIS-2 – Nicht warten, machen!

Wer Cyberrisiken unterschätzt und nichts unternimmt, spart kurzfristig zwar Kosten und Aufwand, verbessert aber nicht seine Resilienz und fällt vor allem selbst nicht unter den Schutz dieser Regel vor persönlichen Haftungsrisiken. Und wer etwas tut, reduziert die Risiken für die Organisation, verringert die Anzahl der Vorfälle, beschleunigt die Wiederherstellung nach einem Vorfall und reduziert seine eigenen Haftungsrisiken.

Die Business Judgement Rule schützt nicht vor den Folgen eines Cyberangriffs – aber sie kann persönliche Haftung verhindern, wenn die Geschäftsleitung proaktiv, informiert und sorgfältig gehandelt hat.

(ID:50648991)