Wie Geschäftsführer ihr persönliches Haftungsrisiko reduzieren

Gesetzliche Grundlage für Haftungsansprüche

Die finanziellen Schäden nach einem Cyberangriff oder einer Datenpanne umfassen gleich mehrere Aspekte:

• Umsatzausfall
• Gerichtskosten
• Bußgelder
• Bemühungen zur Eindämmung der Cyberattacke oder Datenschutzlücke
• Schadensersatzansprüche von Kunden und Partnern, deren Daten kompromittiert wurden

Eine persönliche Haftung für diese Schäden ist möglich, wenn Geschäftsführung bzw. Vorstand ihre Pflichten verletzt haben und der Sicherheitsvorfall auf diese Pflichtverletzung zurückzuführen ist. Verankert ist diese Haftung in § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG.

Pflicht zum Aufbau von Risikominimierungsmaßnahmen

Entsprechende Verpflichtungen zum Aufbau der Informationssicherheit lassen sich aus zahlreichen Gesetzen herleiten: dem GmbH- und Aktienrecht, dem IT-Sicherheitsgesetz, der KRITIS-Verordnung, der NIS-Richtlinie, dem TTSG und der DSGVO. Dort wird die Informationssicherheit häufig als Teil des Risikomanagements gezählt.

Im Aktienrecht heißt es nach § 91 Organisation:

• (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Im Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) heißt es nach § 43 Haftung der Geschäftsführer:

• (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
• (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. 

D&O-Versicherungen kann vor Ansprüchen schützen

Sofern es sich bei der Pflichtverletzung um keine „wissentlichen Pflichtverletzung“ handelt, kann im Falle einer persönlichen Haftung eine D&O-Versicherung (Directors-and-Officers-Versicherung) greifen.

Allerdings richten die Versicherungsprämien sich unter anderem nach den Informationssicherheitsmaßnahmen, die Ihr Unternehmen nachweislich ergreift. Dazu gehört oft der Aufbau eines Informationssicherheits-Managementsystems (ISMS) – einem Rahmenwerk aus Richtlinien und Verfahren, mit dem Sie Sicherheitsrisiken minimieren Sicherheitsverletzungen vorbeugen – und seiner anschließenden Zertifizierung nach ISO 27001 oder TISAX®.

Übrigens: Eine Cyber-Versicherung kann von Unternehmen hohe Beiträge fordern. Erfahren Sie hier, wie eine ISO 27001-Zertifizierung diese Kosten senkt.

Unternehmen schützen und Prämien senken durch ein zertifiziertes ISMS

Wenn gegen Sie persönlich Haftungsansprüche erhoben werden, liegt die Beweislast bei Ihnen: Sie müssen zeigen, dass Sie Ihren Pflichten nachgekommen und die gesetzlich erforderlichen Maßnahmen getroffen haben.  

Im besten Fall haben sie ein ISMS aufgebaut (und das auch dokumentiert) und nach einem der internationalen Standards zertifizieren lassen. Für die meisten Unternehmen ist das die ISO 27001, für Unternehmen der Automobilindustrie die TISAX®.

So können wir helfen

Wir unterstützen Unternehmen beim Aufbau eines ISMS mit unserem erprobten und bewährten hybriden Ansatz. Hybrid bedeutet, dass wir das Fachwissen unserer Informationssicherheitsexperten mit einer web-basierten Sicherheitsplattform kombinieren. 

Wir bieten branchenspezifische Beratung, unterstützen Sie bei der Einrichtung Ihres ISMS und bereiten Sie auf ein externes Audit vor. Bisher hatten wir dabei eine Erfolgsquote on 100% im ersten Versuch. Damit Sie auch langfristig zertifiziert bleiben, arbeiten wir kontinuierlich mit Ihnen zusammen.