Geschäftsführerhaftung und Cybersicherheit 2024

INHALTSVERZEICHNIS
Geschäftsführerhaftung

In unserer digital vernetzten Welt sind mittelständische Unternehmen täglich neuen Cybersicherheitsrisiken ausgesetzt. Als Geschäftsführer liegt es in deiner Verantwortung, diese Gefahren nicht nur zu kennen, sondern auch aktiv Maßnahmen zu ergreifen, um sie zu minimieren.

Unternehmen fallen zunehmend Cyberangriffen zum Opfer. Diese Vorfälle resultieren nicht nur in Schäden an der Reputation, sondern verursachen auch bedeutende wirtschaftliche Einbußen:

  • Produktionsprozesse kommen zum Erliegen
  • Kunden oder Zulieferer fordern Schadenersatz
  • Es gelangen sensible Informationen an die Öffentlichkeit.

Dieser Artikel soll dir dabei helfen, dich im Dschungel der verschiedenen Regularien und Gesetzen zurechtzufinden und soll dich bei der Entscheidung bestärken, in Cybersecurity Maßnahmen zu investieren.

Grundlagen der Geschäftsführerhaftung

Die Geschäftsführerhaftung bezeichnet im rechtlichen Kontext die Verantwortlichkeit des Geschäftsführers für die Einhaltung gesetzlicher, vertraglicher und sorgfaltspflichtiger Anforderungen im Unternehmen. Sie umfasst das Pflichtenheft, das Geschäftsführer in ihrer Führungsrolle zu erfüllen haben, und erstreckt sich auf diverse Bereiche – darunter auch die Cybersicherheit. Ähnlich wie bei der Geschäftsführerhaftung für Brandschutz und Arbeitssicherheit, bei denen Geschäftsführer dafür verantwortlich sind, Vorschriften einzuhalten und präventive Maßnahmen zum Schutz der Mitarbeiter und der Unternehmensinfrastruktur zu treffen, erweitert sich diese Verantwortung zunehmend auf den Bereich der Cybersicherheit.

Geschäftsführer müssen sicherstellen, dass angemessene und wirksame Cybersicherheitsmaßnahmen implementiert werden, um sensible Daten und IT-Infrastrukturen vor Cyberangriffen zu schützen. Der Vergleich mit Brandschutz und Arbeitssicherheit verdeutlicht: Genau wie physische Sicherheitsmaßnahmen sind auch digitale Schutzvorkehrungen integraler Bestandteil der unternehmerischen Sorgfaltspflichten.

Geschäftsführerhaftung Im Falle von Cyberangriffen

Im Falle von Cyberangriffen oder Verstößen gegen gesetzliche IT-Sicherheitsvorschriften stehen die Geschäftsführung, der Vorstand sowie die Mitglieder des Aufsichtsrats rechtlichen Konsequenzen gegenüber. Verletzen sie vorsätzlich oder fahrlässig ihre Verpflichtungen zur Einhaltung der digitalen Compliance, können sie zivilrechtlich zu Schadensersatzzahlungen herangezogen werden. Zusätzlich besteht die Möglichkeit strafrechtlicher Verantwortung für die Unternehmensleitung und Aufsichtsratsmitglieder, insbesondere wenn durch ihr Verhalten Geschäftsgeheimnisse oder Know-how aufgrund eines Cyberzwischenfalls unerlaubt an Dritte gelangen oder ein solcher Vorfall das Unternehmen zur Geschäftsaufgabe und möglicherweise in die Insolvenz zwingt.

Im Zuge der fortschreitenden Digitalisierung nimmt die Bedeutung der Pflichten der Geschäftsleitung unaufhaltsam zu. Es ist unerlässlich, die Sicherstellung der Digital Compliance als höchste Führungsaufgabe zu begreifen, die von der Unternehmensleitung grundsätzlich in ihrer Gesamtheit zu erfüllen ist.

2024 ist das Jahr der Cybersecurity Regulierungen

Das Jahr 2024 markiert einen Wendepunkt in der Landschaft der Cybersicherheitsregulierungen, ein Jahr, in dem eine Flut neuer Gesetze und Vorschriften in Kraft tritt. Diese Entwicklungen haben weitreichende Auswirkungen für Unternehmen aller Größen und Sektoren, insbesondere in Bezug auf die Geschäftsführerhaftung. In den folgenden Punkten werden wir die verschiedenen legislativen Neuerungen aufzählen und nach einigen relevanten Gesichtspunkten unterscheiden.

Unser Ziel ist es, Geschäftsführern ein klares Bild der neuen Verantwortlichkeiten und Pflichten zu vermitteln, die mit der Führung ihres Unternehmens einhergehen. Durch das Verständnis dieser Gesetze und Regulierungen können Geschäftsführer nicht nur rechtliche Risiken minimieren, sondern auch eine robuste Cybersicherheitskultur in ihren Unternehmen fördern.

NIS2-Richtlinie (Directive on Security of Network and Information Systems 2)

Das Ziel der NIS 2 ist generell die Erhöhung der Cybersicherheit und Resilienz von Netzwerk- und Informationssystemen innerhalb der EU. Die Geschäftsführerhaftung ist darin explizit behandelt.

Inkrafttreten: Oktober 2024

Wer ist betroffen? Wichtige Unternehmen in kritischen Sektoren wie Energie, Transport, Bankwesen, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und Raumfahrt.

In Österreich sind etwa 4000-5000 Unternehmen und in Deutschland etwa 30.000 Unternehmen direkt betroffen.

Was muss ein direkt betroffenes Unternehmen erfüllen? Implementierung von Risikomanagementmaßnahmen, Meldung von Cybersicherheitsvorfällen, Einhaltung von Mindeststandards für Cybersicherheit.

Was muss ein indirekt betroffenes Unternehmen erfüllen? Auch wenn ein Unternehmen nicht direkt unter die NIS2-Richtlinie fällt, könnte es als Zulieferer oder Dienstleister für betroffene Sektoren indirekt Anforderungen erfüllen müssen, etwa durch Verstärkung der eigenen Cybersicherheitspraktiken.

DSGVO (Datenschutz-Grundverordnung)

Das Ziel der DSGVO ist der Schutz der personenbezogenen Daten und Privatsphäre von Individuen innerhalb der EU und Regulierung der Datenerhebung, -speicherung, -verarbeitung und -übertragung.

Sie stärkt die Datenschutzrechte der Einzelnen und gibt ihnen Kontrolle über ihre persönlichen Daten, was angesichts der zunehmenden Digitalisierung essentiell ist.

Inkrafttreten: Die DSGVO ist seit dem Mai 2018 in Kraft.

Wer ist betroffen? Jedes Unternehmen oder Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig vom Standort des Unternehmens. Also praktisch ALLE Unternehmen!

Was muss ein betroffenes Unternehmen erfüllen? Einhaltung der Prinzipien für die Datenverarbeitung, Gewährleistung der Rechte der Betroffenen, Implementierung von Datenschutzmaßnahmen von Anfang an, Meldung von Datenverletzungen.

AI Act (Akt über künstliche Intelligenz)

Der AI Act zielt darauf ab, Risiken, die mit dem Einsatz von KI-Systemen verbunden sind, zu minimieren und gleichzeitig Innovation und die Wettbewerbsfähigkeit der EU in diesem Technologiebereich zu fördern. Die Regulierung von KI ist entscheidend, um sicherzustellen, dass Technologien ethisch, transparent und ohne Schaden für die Gesellschaft eingesetzt werden.

Inkrafttreten: 2024 mit einer 24 monatigen Übergangszeit

Wer ist betroffen? Unternehmen und Organisationen, die KI-Systeme in der Europäischen Union entwickeln, bereitstellen oder einsetzen, sowie Nutzer solcher Systeme.

Was muss ein direkt betroffenes Unternehmen erfüllen? Einhaltung strenger Anforderungen an Transparenz, Sicherheit und Datenschutz für KI-Systeme, insbesondere bei Hochrisikoanwendungen.

EU Cyber Resilience Act (CRA)

Dieses EU-Gesetz über Cyber-Resilienz behandelt das Sicherheitsrisiko das Produkte und Software beherbergen:

  • Zum einen besteht bei vielen Produkten ein mangelndes Niveau an Cybersicherheit oder es fehlt an ausreichenden Sicherheitsupdates für diese Produkte und ihre Software.
  • Zum anderen sind Verbraucher und Unternehmen momentan oft nicht in der Lage zu erkennen, welche Produkte cybersicher sind, oder sie entsprechend zu konfigurieren, um ihre Cybersicherheit zu gewährleisten.

Die CRA legt verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, sowohl für Hardware und Software, die auf dem EU-Markt in Verkehr gebracht werden während ihres gesamten Lebenszyklus.

Sie führt eine Produkt Klassifizierung ein. z. B.

  • Security by Design
  • Risikobewertungen
  • Meldungspflicht von Vorfällen
  • Scannen und Updates
  • Dokumentation

Inkrafttreten: 2024 (12 März 2024 hat das EU Parlament den CRA angenommen. Nun muss der CRA noch durch den Rat.)

Wer ist betroffen? Hersteller, Bevollmächtigte Vertreter, Importeure und Distributoren für den EU Markt.

Digital Operational Resilience Act (DORA)

Das Ziel von DORA ist die Sicherstellung der digitalen Resilienz des Finanzsektors gegen Cyberangriffe und andere digitale Risiken, was für die Sicherheit der finanziellen Transaktionen aller Bürger und Unternehmen essentiell ist.

Inkrafttreten: Jänner 2025

Wer ist betroffen? Finanzinstitutionen in der EU, einschließlich Banken, Zahlungsdienstleister, Krypto-Asset-Plattformen.

Was muss ein direkt betroffenes Unternehmen erfüllen? Robuste IT-Risikomanagementpraktiken, erhebliche Investitionen in die Cybersicherheit, Meldung von Sicherheitsvorfällen.

Was muss ein indirekt betroffenes Unternehmen erfüllen? Unternehmen, die als Dienstleister für den Finanzsektor fungieren, müssen möglicherweise ihre Sicherheitsmaßnahmen verstärken, um Verträge mit Finanzinstitutionen zu erhalten oder zu behalten.

Directive on the Resilience of critical entities (CER / RKE)

Die CER zielt darauf ab, die Widerstandsfähigkeit kritischer Einrichtungen in der EU zu stärken, um die ununterbrochene Bereitstellung essenzieller Dienstleistungen in 11 betroffenen Sektoren zu gewährleisten. Die Mitgliedstaaten müssen nach einer Risikobewertung jene kritischen Einrichtungen identifizieren.

Das geplante deutsche nationale Umsetzungsgesetz, das „KRITIS-Dachgesetz“, spezifiziert weitere Verpflichtungen, z.B.:

  • Widerstandsfähigkeitsmaßnahmen und -pläne
  • ganzheitliches Risikomanagement
  • Nachweise, Tests und Audits
  • Meldung von Vorfällen
  • Registrierung und Kontaktstelle

Inkrafttreten: 17. Oktober 2024

EU Data Act

Der EU Data Act wurde entwickelt, um die Nutzung und den Austausch von Daten in der EU zu fördern. Er legt klare Regeln fest, wie Daten zwischen Unternehmen, Verbrauchern und öffentlichen Einrichtungen geteilt werden dürfen. Ziel ist es, Innovationen zu unterstützen und gleichzeitig Datenschutz und Sicherheit zu gewährleisten. Geschäftsführer sollten sicherstellen, dass ihre Datenpraktiken den Anforderungen des EU Data Act entsprechen, um rechtliche Konsequenzen zu vermeiden und die Datenintegrität zu wahren.

Inkrafttreten: Nach der Verkündung im Amtsblatt der EU im Dezember 2023 trat der Data Act am 11. Januar 2024 in Kraft und wird nach einer grundsätzlichen Übergangsfrist von 20 Monaten ab dem 12. September 2025 EU-weit direkt anwendbares Recht werden.

EU Data Governance Act (DGA)

Das Ziel des EU Data Governance Act (DGA) ist die Förderung einer gemeinsamen Datenwirtschaft, indem er den sicheren Datenaustausch zwischen Unternehmen und öffentlichen Institutionen erleichtert und innovative Datennutzung sowie vertrauenswürdige Datenintermediäre unterstützt.

Inkrafttreten: Trat am 23. Juni 2022 in Kraft. Ist nach einer Übergangsfrist von 15 Monaten seit 24. September 2023 gültig.

Als Geschäftsführer trägst Du auch bei Cyber-Angriffen Verantwortung

In wenigen Stichworten kann man die Kernaussagen wie folgt zusammenfassen:

  • Aus Compliance-Sicht ist es vor allem in der Verantwortung der Geschäftsleitung, die Cybersecurity im Unternehmen sicherzustellen. (Geschäftsführerhaftung)
  • Konkretisierung und Verschärfung der Geschäftsführerhaftung (auch für Vorstände) sind in Planung.
  • In Zukunft könnte die Geschäftsleitung und Vorstand verstärkt persönlich zur Verantwortung gezogen werden, sollten Hackerangriffe erfolgen.
  • Bislang gibt es keine eindeutigen Vorgaben zur Haftung des Managements nach solchen Angriffen.

Die Frage, wer die Kosten für Schäden durch Cyberangriffe trägt, stellt sich besonders dann, wenn keine (ausreichende) Cyber-Versicherung abgeschlossen wurde und eine unzureichende Cybersicherheit den Angriff ermöglicht hat. Unter welchen Umständen kommt eine persönliche Haftung der Unternehmensführung zur Anwendung?

Deine Pflichten hinsichtlich Geschäftsführerhaftung

Die Zentrale Voraussetzung für eine Haftung ist eine Pflichtverletzung. Die für Cybersecurity nicht relevante Treuepflicht lassen wir mal außen vor. Interessanter ist da schon die Sorgfaltspflicht. Hier ist die Pflicht zur Einhaltung von gesetzten auf DSGVO und Kritis zu erwähnen. Etwas Branchenübergreifendes gibt es noch nicht, ist jedoch in Arbeit.

Des Weiteren sind Geschäftsführer dazu verpflichtet, die Aktivitäten ihrer untergebenen Mitarbeiter und Kollegen zu überwachen. Aus dieser Überwachungspflicht ergibt sich eine allgemeine Compliance-Pflicht für Geschäftsführer. Diese umfasst die Notwendigkeit, präventive Schutzmaßnahmen zu implementieren, die rechtswidriges Handeln von Angehörigen des Unternehmens verhindern sollen. Dies schließt ebenso Vorkehrungen im Bereich der Cyber-Sicherheit mit ein!

Es obliegt der Verantwortung der Unternehmensführung, angemessene organisatorische Schritte zu unternehmen, um die Verwirklichung von Risiken, die die Sicherheit von Informationen betreffen, zu vermeiden. Eine Möglichkeit, diese Risiken zu mindern, besteht in der Einführung eines wirksamen Managementsystems für Informationssicherheit (ISMS).

Auch im Bereich Cybersecurity kann man Aufgaben delegieren. Die Überwachungspflicht bleibt aber auch dann auf Leitungsebene. 

Die NIS2 konkretisiert die Geschäftsführerhaftung

Die NIS2 ist da und wird schon implementiert. Die Gesetze kommen zwar erst im Herbst 2024, aber viele der betroffenen Unternehmen fangen aufgrund der rationalen Argumente schon jetzt mit der Implementation von Maßnahmen an.

NIS2 fordert die Ergreifung angemessener technischer und organisatorischer Maßnahmen, um Störungen in informationstechnischen Systemen zu vermeiden.

WICHTIG: Geschäftsführerhaftung kann nicht delegiert werden. (CISO, Mitarbeiter oder Cyberversicherung)

Entwickelt, um Europa cyber-resilienter zu machen, richtet sich NIS2 vorrangig an große und bedeutende Unternehmen. Jedoch werden auch Zulieferbetriebe bestimmten Auflagen unterliegen.

Versicherungslösungen: Absicherung gegen Cyber-Risiken

Cyber-Versicherungen bieten Schutz vor den finanziellen Folgen von Cyberangriffen und Datenbrüchen. Sie können eine Vielzahl von Schäden abdecken, darunter Kosten für die Wiederherstellung von Daten, Haftpflichtansprüche Dritter wegen Datenschutzverletzungen, Ertragsausfälle durch Betriebsunterbrechungen und Kosten für Krisenkommunikation. Angesichts der Tatsache, dass kein IT-System vollständig immun gegen Angriffe ist, bietet eine Cyber-Versicherung eine wichtige finanzielle Absicherung, um die Resilienz des Unternehmens zu stärken.

Cybersecurity-Versicherungen stellen in der Regel bestimmte Anforderungen an Unternehmen, bevor sie eine Versicherungspolice ausstellen. Diese Auflagen sollen sicherstellen, dass das Unternehmen grundlegende Cybersicherheitsmaßnahmen implementiert hat, um das Risiko eines Cyberangriffs zu minimieren. Hier sind einige gängige Auflagen, die Versicherer stellen könnten:

  • Regelmäßige Sicherheitsbewertungen und Audits
  • Implementierung von Sicherheitsstandards (z.B. ein ISMS implementieren)
  • Mitarbeiterschulungen
  • Vorhandensein von Sicherheitsrichtlinien (z.B. Incident-Response-Plänen und Richtlinien für den Umgang mit sensiblen Daten)
  • Technische Schutzmaßnahmen (z.B. Firewall, Antivirus/EDR, Patchmanagement, Vulnerability Management)
  • Zugriffskontrollen und Authentifizierungsverfahren (z.B. MFA)
  • Datensicherung und Wiederherstellungspläne

Diese Auflagen variieren je nach Versicherer und dem spezifischen Risikoprofil des Unternehmens.

Aufsichtsrat-Pflichten in Bezug auf CyberSecurity

Die Verantwortung für die digitale Compliance erstreckt sich auch auf den Aufsichtsrat. Dieser hat primär die Aufgabe, die Schlüsselaspekte der Unternehmensführung zu überwachen. Als wichtigste Überwachungsinstanz liegt es in seiner Verantwortung sicherzustellen, dass die Unternehmensleitung die Risiken, die von digitalen Technologien ausgehen, korrekt identifiziert und angemessen im Unternehmen verteilt. Angesichts der wachsenden Bedrohung durch Cyberangriffe, die die Vertraulichkeit, Integrität und Verfügbarkeit von Systemen gefährden, können IT-Sicherheitsvorfälle schnell zur existenziellen Bedrohung für ein Unternehmen werden.

Um die Zukunftsfähigkeit des Unternehmens zu gewährleisten, ist es daher essentiell, dass der Aufsichtsrat sich vergewissert, dass im Unternehmen wirksame und angemessene Strukturen zur Gewährleistung der Cybersecurity implementiert sind. Zudem muss er deren Funktionsfähigkeit und Effizienz regelmäßig überprüfen (lassen).

Schlussbetrachtung und Ausblick

Cyber-Vorfälle verursachen oft signifikante Schäden für Unternehmen und können bereits heute dazu führen, dass die Unternehmensführung bei schuldhafter Verletzung ihrer spezifischen Pflichten persönlich haftbar gemacht wird. Die genauen Bedingungen und der Umfang, in dem die Gewährleistung einer angemessenen Informationssicherheit in den Verantwortungsbereich der Führungsebene fällt, sind jedoch noch Gegenstand von Diskussionen. (In der NIS2 betrifft die Geschäftsführerhaftung alle Leitungsorgane incl. Aufsichtsrat)

Diese Situation wird sich für viele Unternehmen bald ändern: Mit der Einführung der NIS-2-Richtlinie durch die Gesetzgeber der Europäischen Länder verschärft sich die persönliche Haftung für Führungskräfte im Bereich der Cyber-Sicherheit. Der Verantwortungsbereich dieser Führungskräfte wird erweitert; sie sind dann persönlich für die Genehmigung von Maßnahmen zur Minderung von Cyber-Risiken zuständig und müssen deren Implementierung überwachen. Eine Übertragung dieser Verantwortung wird nicht zulässig sein.

Handlungsempfehlungen

Um die Cybersicherheit im Unternehmen zu stärken und die Risiken für die Geschäftsführerhaftung und die damit verbundenen Risiken effektiv zu managen, sind hier konkrete Handlungsempfehlungen für Geschäftsführer zur Überprüfung und Verbesserung der Cybersicherheitspraktiken im Unternehmen.

Cybersicherheitsstrategie entwickeln: Erarbeite eine umfassende Cybersicherheitsstrategie, die auf die spezifischen Bedürfnisse und Risiken deines Unternehmens zugeschnitten ist. Beginne am Besten mit dem Cybersecurity Risk Assessment.

Risikomanagement implementieren: Führe ein fortlaufendes Risikomanagementverfahren ein, um potenzielle Cybersicherheitsrisiken zu identifizieren, zu bewerten und zu priorisieren.

Schulungen und Bewusstseinsbildung: Organisiere regelmäßige Schulungen für alle Mitarbeiter, um das Bewusstsein für Cybersicherheitsrisiken zu schärfen und die Kenntnisse über sichere Online-Praktiken zu verbessern.

Technische Schutzmaßnahmen umsetzen: Implementiere technische Sicherheitsmaßnahmen, wie Firewall, Antivirus-Software, regelmäßige Updates und Patches für Systeme und Anwendungen, um gegen bekannte Bedrohungen gewappnet zu sein.

Backup und Restore: Etabliere regelmäßige Datensicherungsverfahren und stelle sicher, dass ein effektiver Plan zur Wiederherstellung im Falle eines Datenverlusts vorhanden ist.

Incident-Response-Plan: Entwickle und teste einen Incident-Response-Plan, um im Falle eines Cybersicherheitsvorfalls schnell und effektiv reagieren zu können.

Und letztendlich plane die Implementation eines ISMS (Informationssicherheits Management System) in deinem Unternehmen.

Relevante Artikel

Wie baue ich ein ISMS im Unternehmen auf?

Cyberversicherung

Relevante Glossareinträge

ISMS

Weiterführende Links

Laufende Cybersecurity Betreuung

Du willst das Thema Cybersecurity professionell angehen und systematisch die Cyber-Resilienz verbessern?
Herwart Wermescher

Managing Director

Herwart ist Gründer von kmusec.com und Cybersecurity-besessen seit 2011.

Artikel teilen!