Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.
Cyber-Angriffe – Haftungsrisiken für Geschäftsleiter
Berichte über Cyber-Angriffe häufen sich und die Schäden nehmen teilweise existenzbedrohende Ausmaße an. Deutschlandweit geht man derzeit von jährlich dreistelligen Milliardenbeträgen aus. Aufgrund zunehmender Digitalisierung dürfte das nur die Spitze eines Eisbergs sein. Betroffen sind Unternehmen aller Größen und Branchen. Umso erstaunlicher ist es, dass sich neusten Studien zufolge die meisten Geschäftsleiter weiterhin in Sicherheit wiegen – sogar dann, wenn ihr Unternehmen bereits einem Cyber-Angriff ausgesetzt war und ein Schaden entstanden ist. Dabei bergen Cyber-Angriffe erhebliche Haftungsrisiken gerade auch für Geschäftsleiter. Häufig bieten weder Cyber- noch D&O-Versicherung den Schutz, den sich Geschäftsleiter erhoffen.
Cyber-Security ist Chefsache
Der Geschäftsleiter hat geeignete Maßnahmen zu treffen, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden, früh erkannt werden (§ 91 Abs. 2 AktG (ggf. analog)). Daraus leitet die Rechtsprechung die Pflicht des Geschäftsleiters ab, eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einzurichten. Schäden, die sich wesentlich auf die Vermögens-, Ertrags- oder Finanzlage auswirken und Gesetzesverstöße müssen verhindert und gesetzliche Pflichten eingehalten werden.
Diese Pflicht ist nur bedingt delegierbar. Soll ein Mitglied der Geschäftsleitung für den Schutz der IT-Systeme des Unternehmens zuständig sein, so bleiben die weiteren Geschäftsleiter dafür verantwortlich, den zuständigen Geschäftsleiter beispielsweise durch regelmäßige Berichte zu kontrollieren und zu überwachen.
Zentrale Pflichten hinsichtlich Cyber-Security
Durch die zunehmende Digitalisierung sind Geschäftsbetriebe nahezu aller Branchen und Unternehmensbereiche in hohem Maße von einem funktionierenden IT-System abhängig. Dieses dient nicht nur dem Betrieb, sondern auch dem Schutz des Unternehmens. In zahlreichen Fällen wurden Betriebe durch Cyber-Angriffe teilweise oder vollständig lahm gelegt. Die Wiederherstellung ist – wenn überhaupt – manchmal nur mit erheblichem Zeit- und Kostenaufwand möglich. Cyber-Angriffe können folglich den Fortbestand der Gesellschaft gefährden. Geschäftsleiter müssen deshalb geeignete technische und organisatorische Maßnahmen treffen, um die IT-Systeme des Unternehmens angemessen zu schützen.
Ganz unabhängig von dieser auf den Fortbestand des Unternehmens gerichteten Pflicht müssen nach Art. 5 Abs. 1 f) DSGVO sämtliche Unternehmen, die personenbezogene Daten verarbeiten, dies in einer Weise tun, „die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“. Entsprechend müssen „geeignete technische und organisatorische Maßnahmen“ getroffen werden, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ (Art. 32 Abs. 1 DSGVO). Darüber bestehen kurzfristige Meldepflichten und Dokumentationspflichten (Art. 33, 34 DSGVO). Der Geschäftsleiter muss deshalb im Rahmen seiner Compliance-Pflicht dafür Sorge tragen, dass diese Pflichten erfüllt werden. Das gilt insbesondere, weil bei Verstößen gegen diese Pflichten empfindliche Bußgelder und Schadenersatzansprüche drohen (Art. 82, 82 DSGVO).
Cyber-Security und die Business Judgment Rule
Da die konkreten Maßnahmen hinsichtlich der IT-Systeme eine unternehmerische Entscheidung darstellen, können sich Geschäftsleiter auf die sogenannte Business Judgment Rule berufen. Eine Pflichtverletzung scheidet dann aus, wenn der Geschäftsleiter „vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln“ (§ 93 Abs. 1 Satz 2 AktG (ggf. analog)). Hierzu ist erforderlich, das eigene Unternehmen samt der IT-Systeme unter dem Blickwinkel möglicher Cyber-Angriffe zu analysieren und mögliche Schwachstellen und Risiken zu identifizieren. Hilfestellungen bieten die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen sogenannten „BSI Standards“ sowie das ebenfalls vom BSI herausgegebene IT-Grundschutz-Kompendium (beides abrufbar unter www.bsi.bund.de). Ebenso besteht die Möglichkeit einer Zertifizierung nach ISO 27001, eine internationale Norm, die Anforderungen an die Umsetzung sowie die Dokumentation eines Informationssicherheits-Managementsystems (ISMS) beschreibt. Möglichen Vorwürfen einer Pflichtverletzung können Geschäftsleiter dann immerhin die Einführung eines ISO-zertifizierten IT-Compliance-Systems entgegenhalten. Eine solche Zertifizierung ist aber kein Freibrief.
Cyber-Versicherung und D&O-Versicherung
Geschäftsleiter sollten das Unternehmen sowohl angemessen gegen Cyber-Angriffe schützen als auch Risiken aus diesem Bereich angemessen versichern. Ein unzureichender Versicherungsschutz kann einen eigenen Pflichtverstoß des Geschäftsleiters darstellen. Geschäftsleitern ist daher eine Cyber-Versicherung sowie eine sorgfältige Prüfung einer bestehenden oder abzuschließenden D&O-Versicherung anzuraten. Denn eine Cyber-Versicherung schützt den Geschäftsleiter im Regelfall nicht vor einer Inanspruchnahme durch die Gesellschaft oder einen Regress durch den regulierenden Cyber-Versicherer. Demgegenüber enthalten D&O-Versicherungen (aber auch andere Versicherungen, wie etwa Feuerversicherungen) oftmals Deckungsausschlüsse für Schäden aufgrund von Cyber-Angriffen.
Wir beraten zur Vermeidung von Haftung und begleiten Sie bei Verhandlungen bis hin zu streitigen Auseinandersetzungen über einen Haftungsfall. Zudem analysieren wir Versicherungspolicen und geben Einschätzungen zur Haftung und zur Abwehrkosten-und Schadensdeckung. Wo es nötig ist, können wir auf ein Netzwerk erfahrener Versicherungsmakler zurückgreifen.