Wenn gegen den Verursacher eines Cyber-Schadens keine Schadenersatzansprüche geltend gemacht werden können, verbleibt letztlich somit lediglich ein Rückgriff auf Geschäftsführerinnen und Geschäftsführer, um zumindest den finanziellen Schaden wieder auszugleichen.
Zu diesem Rückgriff sind die Unternehmen auch verpflichtet, sodass Geschäftsführerinnen und Geschäftsführer nicht darauf hoffen können, nicht in Anspruch genommen zu werden.
Unabhängig davon, dass die Geschäftsführerinnen und Geschäftsführer bei einem Haftungsfall einer Inanspruchnahme durch das Unternehmen oder deren Gesellschafter ausgesetzt sind, kann auch eine Haftung gegenüber Dritten in Betracht kommen (Quelle: Löschhorn/Fuhrmann in NZG 2019, 161, (169), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?).
Der generelle Pflichtenmaßstab für Geschäftsführerinnen und Geschäftsführer, „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“, ergibt sich bereits aus § 93 Abs. 1 S. 1 AktG bzw. § 43 Abs. 1 GmbHG. Aus § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG ergibt sich, dass bereits leichte Fahrlässigkeit haftungsbegründende Wirkung hat. Hierbei ist nicht nur die Pflicht der im Einzelfall geschäftsführenden Person gemeint, sich persönlich rechtstreu zu verhalten, sondern auch die Pflicht, sicherzustellen, dass das Unternehmen gegen keine rechtlichen Bestimmungen verstößt.
Darüber hinausgehende Pflichten können auch aus internem Unternehmensrecht oder der Satzung resultieren (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung). Ebenso zu beachten ist Art. 32 DSGVO, welcher für personenbezogene Daten verarbeitende Unternehmen die Verpflichtung statuiert, „angemessene technische und organisatorische Maßnahmen“ (TOM‘s) zu deren Schutz zu ergreifen.
Die Aufzählung dieser Normen ist nicht abschließend, so gelten weitere Sonderregelungen wie § 109 TKG für Telekommunikationsanbieter, § 13 Abs. 7 TMG für im Telemedienbereich tätige Dienstanbieter und § 8a BSIG für Betreiber Kritischer Infrastrukturen, wozu gem. § 2 Abs. 10 BSIG auch die Versicherungswirtschaft zählt, oder § 25a Abs. 1 Nr. 5 KWG.
Eine Verletzung solcher Spezialvorschriften begründet eine Pflichtverletzung, sofern die Verletzung auf einem zurechenbaren Organisations- oder Delegationsverschulden beruht (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung). Es ist und bleibt daher die Aufgabe der Geschäftsführung, dafür Sorge zu tragen, dass das Unternehmen nach sämtlichen Rechtsvorgaben gesetzeskonform arbeitet. Dazu zählt auch die Verantwortlichkeit der Geschäftsführung dafür Sorge zu tragen, dass die IT-Sicherheit nach dem Stand der Technik gewährleistet ist. Auch dies hat die Geschäftsführung fortlaufend zu überwachen. Eine etwaige Verletzung der sehr hohen Anforderungen führt zur Eigenhaftung der Geschäftsführung.
Darüber hinaus ist über die Ausstrahlungswirkung von § 91 Abs. 2 AktG, eine allgemeine Leitungspflicht der Geschäftsleitung zur Vermeidung der Bestandsgefährdung eines Unternehmens einen Organisationsstandard zu schaffen, vollkommen anerkannt (Quelle: Schmidt-Versteyl in NJW 2019, 1637, (1638f.), Cyber Risks – neuer Brennpunkt Managerhaftung).
Da Cyberrisiken mit massiven finanziellen Verlusten (Quelle: Achenbach in VersR 2017, 1493, (1494), Die Cyber-Versicherung – Überblick und Analyse) sowie einem Rückgang des Kundenbestandes aufgrund eines enttäuschten Vertrauens in die Datensicherheit (Quelle: Löschhorn/Fuhrmann in NZG 2019, 161, (170), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?) einhergehen können, kann ein Cyberangriff eine Gefahr für den Bestand eines Unternehmens darstellen.
https://www.experten.de/2020/03/02/handlungsempfehlungen-zur-minimierung-des-risikos-eines-cyberangriffs-und-dessen-folgen/
Themen:
LESEN SIE AUCH
Die Rechtsfolgen eines Cyberangriffs
Allianz Commercial und Coalition starten gemeinsam in Deutschland
Mit der Partnerschaft stärkt Allianz Commercial ihr Cybergeschäft in Deutschland: Das Coalition-Cyberprodukt wird ausschließlich über den Maklermarkt angeboten und komplettiert das Allianz Angebot im Firmen- und Industriebereich bis zu einer Umsatzgrenze von einer Milliarde Euro
Cyber: Mit MFA Schadenrisiken einfach senken
Gerade der wachsende Schadendurchschnitt treibt Cyber-Versicherer um - und die Prämien in die Höhe. Der Druck auf die Unternehmen wächst, ihre IT-Security endlich der realen Gefahrenlage anzupassen. Von einer MFA-Lösung lässt sich gleich mehrfach profitieren.
ROLAND Rechtsschutz erweitert Tarif für Gewerbekunden
Für Gewerbekunden bietet der Rechtsschutzversicherer nun erweiterte Leistungen in den Produktlinien Kompakt, Komfort und KomfortPlus. So profitieren Kunden der Variante KomfortPlus unter anderem von einem neuen passiven Rechtsschutz im Patent-, Urheber- und Markenrecht.
KI verändert die Spielregeln für Cybersicherheit
Der öffentliche Zugang zu generativer KI wie ChatGPT hebt die Gefahren von Cyberkriminalität auf ein neues Level. Denn Hacker entwickeln mit dieser Technologie ihre Methoden weiter und maximieren durch gezielte Angriffe Reichweiten und Gewinne.
Sorge über globale Cyber-Risiken in Deutschland bleibt hoch
Im Jahr 2023 wurde die Bedrohungslandschaft für Unternehmen komplexer, da Cyberkriminelle immer mehr künstliche Intelligenz einsetzen, um ihre Taktiken zu optimieren. Trotzdem stufen nur 28 Prozent der Führungskräfte Cyber als größtes Risiko ein. Besorgniserregend ist, 72 Prozent glauben, ihre Cyberschutzmaßnahmen reichen aus, um Cyberangriffe zu bewältigen.