1 Min

Persönliche Haftung für die Informationssicherheit: So minimieren Geschäftsführer Ihr Risiko

Die Compliance eines Unternehmens – also ihre Einhaltung von Gesetzen – ist immer Aufgabe der Geschäftsführung (in Rechtsformen wie der GmbH) bzw. des Vorstands (in einer Aktiengesellschaft). Darunter fällt auch die Umsetzung von Maßnahmen zur Informationssicherheit. Das bedeutet nicht, dass CEOs und Vorstände diese selbst planen und umsetzen müssen. Geht jedoch etwas schief, so lastet die Schuld auf ihren Schultern.  

Wie Sie sich vor den Konsequenzen fehlender InfoSec-Compliance schützen und D&O-Prämien senken können, erfahren Sie hier.

Gesetzliche Grundlage für Haftungsansprüche

Die finanziellen Schäden nach einem Cyberangriff oder einer Datenpanne umfassen gleich mehrere Aspekte:

  • Umsatzausfall
  • Gerichtskosten
  • Bußgelder
  • Bemühungen zur Eindämmung der Cyberattacke oder Datenschutzlücke
  • Schadensersatzansprüche von Kunden und Partnern, deren Daten kompromittiert wurden

Eine persönliche Haftung für diese Schäden ist möglich, wenn Geschäftsführung bzw. Vorstand ihre Pflichten verletzt haben und der Sicherheitsvorfall auf diese Pflichtverletzung zurückzuführen ist. Verankert ist diese Haftung in § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG.

Pflicht zum Aufbau von Risikominimierungsmaßnahmen

Entsprechende Verpflichtungen zum Aufbau der Informationssicherheit lassen sich aus zahlreichen Gesetzen herleiten: dem GmbH- und Aktienrecht, dem IT-Sicherheitsgesetz, der KRITIS-Verordnung, der NIS-Richtlinie, dem TTSG und der DSGVO. Dort wird die Informationssicherheit häufig als Teil des Risikomanagements gezählt.

Im Aktienrecht heißt es nach § 91 Organisation:

  • (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Im Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG) heißt es nach § 43 Haftung der Geschäftsführer:

  • (1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
  • (2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden. 

D&O-Versicherungen kann vor Ansprüchen schützen

Sofern es sich bei der Pflichtverletzung um keine „wissentlichen Pflichtverletzung“ handelt, kann im Falle einer persönlichen Haftung eine D&O-Versicherung (Directors-and-Officers-Versicherung) greifen.

Allerdings richten die Versicherungsprämien sich unter anderem nach den Informationssicherheitsmaßnahmen, die Ihr Unternehmen nachweislich ergreift. Dazu gehört oft der Aufbau eines Informationssicherheits-Managementsystems (ISMS)einem Rahmenwerk aus Richtlinien und Verfahren, mit dem Sie Sicherheitsrisiken minimieren Sicherheitsverletzungen vorbeugen – und seiner anschließenden Zertifizierung nach ISO 27001 oder TISAX®.

Übrigens: Eine Cyber-Versicherung kann von Unternehmen hohe Beiträge fordern. Erfahren Sie hier, wie eine ISO 27001-Zertifizierung diese Kosten senkt.

Unternehmen schützen und Prämien senken durch ein zertifiziertes ISMS

Wenn gegen Sie persönlich Haftungsansprüche erhoben werden, liegt die Beweislast bei Ihnen: Sie müssen zeigen, dass Sie Ihren Pflichten nachgekommen und die gesetzlich erforderlichen Maßnahmen getroffen haben.  

Im besten Fall haben sie ein ISMS aufgebaut (und das auch dokumentiert) und nach einem der internationalen Standards zertifizieren lassen. Für die meisten Unternehmen ist das die ISO 27001, für Unternehmen der Automobilindustrie die TISAX®.

So können wir helfen

Wir unterstützen Unternehmen beim Aufbau eines ISMS mit unserem erprobten und bewährten hybriden Ansatz. Hybrid bedeutet, dass wir das Fachwissen unserer Informationssicherheitsexperten mit einer web-basierten Sicherheitsplattform kombinieren. 

Wir bieten branchenspezifische Beratung, unterstützen Sie bei der Einrichtung Ihres ISMS und bereiten Sie auf ein externes Audit vor. Bisher hatten wir dabei eine Erfolgsquote on 100% im ersten Versuch. Damit Sie auch langfristig zertifiziert bleiben, arbeiten wir kontinuierlich mit Ihnen zusammen.

 

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Beratung zu Informationssicherheit Beratung zu Informationssicherheit

Sie brauchen Unterstützung in der Informationssicherheit? 

Unsere Experten haben eine 100% Quote wenn es darum geht, Kunden erfolgreich auf eine ISO 27001 oder TISAX®-Zertifizierung vorzubereiten.

Über den Autor

DataGuard Informationssicherheit DataGuard Informationssicherheit
DataGuard Informationssicherheit

Tipps und Best Practices zur erfolgreichen Erlangung von Zertifizierungen wie ISO 27001 oder TISAX®, die Bedeutung robuster Sicherheitsprogramme, effiziente Risikominderung... und vieles mehr!

Profitieren Sie von der jahrelangen Erfahrung unserer zertifizierten Informationssicherheitsbeauftragen (oder CISOs) in Deutschland, UK und Österreich, um Ihr Unternehmen auf den nachhaltigen Erfolgspfad zu bringen – indem Sie Ihre Informationswerte und Mitarbeitenden vor gängigen Risiken wie Cyberangriffen schützen.

Diese Qualifizierungen unserer Informationssicherheitsberater stehen für Qualität und Vertrauen: Certified Information Privacy Professional Europe (IAPP), ITIL® 4 Foundation Certificate for IT Service Management, ISO 27001 Lead Implementer/Lead Auditor/Master, Certificate in Information Security Management Principles (CISMP), Certified TickIT+ Lead Auditor, Certified ISO 9001 Lead Auditor, Cyber Essentials

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000