CyberCompare

Innenhaftung der Unternehmensleitung bei Schäden durch Cyberangriffe gegenüber der Gesellschaft

Artikel

Cyber-Attacken können zu signifikanten Schäden wie beispielsweise Betriebsausfällen führen oder für hohe Kosten aus den forensischen Ermittlungen nach einem Angriff sorgen. Cyberrisiken sind daher auch Unternehmensrisiken.

Jeder Cyberangriff kann zudem in einem DSGVO-Verstoß resultieren. Bußgelder gegen Unternehmen aufgrund von DSGVO-Verstößen nehmen stetig zu.

Digitale Sicherheit ist daher in der Verantwortung der Geschäftsführung, wie auch der Deutsche Anwaltsspiegel konstatiert.

Unter gewissen Umständen droht die Innenhaftung der Geschäftsführung, falls die erforderlichen Sorgfaltspflichten hinsichtlich IT-Sicherheit nicht erfüllt werden.

Teilweise ist die Geschäftsleitung sogar verpflichtet, ein spezielles IT-Risikomanagementsystem einzurichten und aktuell auf dem Stand der Technik zu halten.

Es besteht also grundsätzlich das Risiko, dass die Geschäftsführung persönlich regresspflichtig wird.

Auch unabhängig davon: oft besteht entsprechender Versicherungsschutz nur, wenn nachweislich Vorkehrungen (insb. zur Prävention von Cyberrisiken) getroffen und aktuell gehalten wurden. Auch wo er besteht, kann er begrenzt sein.

Entscheidend für die Frage der Sorgfaltspflichten im Bereich Cyber-Security ist sicher stets der individuelle Bedarf des Unternehmens, abhängig vom spezifischen Risikoprofil.

Unternehmensleiter haben daher ein persönliches Interesse an einem systematischen Cyber Security Management, welches das gesamte Unternehmen berücksichtigt: von der klassischen Büro-IT bis zur Absicherung der Betriebstechnik (OT und IoT), die aufgrund der fortschreitenden Vernetzung deutlich höheren Risiken ausgesetzt ist.

Quellen