Cybersecurity als Unternehmensleitungsaufgabe – Neue Aspekte der Organhaftung

Angriffe auf die Cybersecurity von Unternehmen sowohl der Privatals auch – und vor allem – der öffentlichen Wirtschaft führen zu Schäden in Höhe von vielen Milliarden pro Jahr. So schätzte der Branchenverband Bitkom, dass Attacken auf die deutsche Industrie 102,9 Milliarden Euro Schaden jährlich verursachen.1 Dieses Schadenspotential führt zu einer erheblichen Steigerung des Haftungsrisikos des Managements. Die Grundsätze der Organhaftung sind seit über 20 Jahren in der Rechtsprechung etabliert. Im Jahr 1997 hat der Bundesgerichtshof im Grundsatzurteil „ARAG/Garmenbeck“2 festgestellt, dass Ansprüchen gegen die Organe des Unternehmens nachzugehen ist, soweit ein Schaden des Unternehmens auf einer Handlung oder Unterlassung des Organs beruht. Das in Anspruch genommene Organ trifft die Beweislast, dass die jeweilige Handlung oder Unterlassung nicht pflichtwidrig war. Es bedarf wenig Phantasie, um Schäden aufgrund von Angriffen auf die Cybersicherheit eines Unternehmens auf Handlungen oder Unterlassungen des Managements zurückzuführen, da ein Cyberangriff regelmäßig eine technische oder menschliche Sicherheitslücke im Unternehmen braucht, um erfolgreich zu sein. Der Entlastungsnachweis, dass hier keine Pflichtwidrigkeit zugrundeliegt, ist denkbar schwierig. Das Ergebnis ist ein sehr hohes Haftungsrisiko für die Geschäftsleitung von Unternehmen. Das hohe Haftungsrisiko zeigt sich auch an den gestiegenen Compliance-Anforderungen. Seit mehreren Jahren gelten etablierte Grundsätze im Hinblick auf die erforderliche Compliance-Organisation im Unternehmen. 2013 hat das Landgericht München I im sogenannten „Siemens/Neubürger“-Urteil3 dargelegt, dass die Unternehmensleitung in ihrem Ver-