Mehr Cyberattacken und die Frage nach der Verantwortung
Die Zahl der Cyberattacken auf Unternehmen steigt seit Jahren stetig an. Die drohenden Schäden sind immens und können für Unternehmen existenzbedrohend werden. Kommt es zu einer Cyberattacke, steht deswegen schnell die Frage im Raum: Hätte man das verhindern können? Und: Wer ist rechtlich verantwortlich?
Cyberattacken: auch ein Datenschutz-Risiko
Risiken, die mit Cyberattacken verbunden sind, beschränken sich nicht auf bestimmte Branchen. Schlagzeilen machte beispielsweise die Insolvenz eines Fahrradherstellers, den u.a. der Produktionsausfall nach einer Cyberattacke finanziell in die Knie zwang.
Neben Schäden wie Umsatzeinbußen, Kosten für die Wiederherstellung der Systeme, Schadensersatzforderungen von Kunden wegen Lieferverzögerungen etc. bestehen vor allem im Bereich Datenschutz zusätzliche Haftungsrisiken. Denn im Falle einer Cyberattacke, bei der personenbezogene Daten betroffen sind, steht zusätzlich die Haftung wegen einer Verletzung der Datenschutzgrundverordnung (DSGVO) im Raum: Nach Art. 5 Abs. 1 f) DSGVO muss die Datenverarbeitung in Unternehmen so gestaltet sein, dass unberechtigter Zugriff, Datenverlust und eineZerstörung von Daten möglichst verhindert wird bzw. ein angemessenes Schutzniveau besteht.
Außerdem enthält die DSGVO im Hinblick auf Cyberattacken spezifische Regelungen. Unternehmen sind u.a. verpflichtet,
- nach einer Cyberattacke rasch die Verfügbarkeit von betroffenen personenbezogenen Daten wiederherzustellen (Art. 32 Abs. 1 c) DSGVO)
- die Cyberattacke an Datenschutzbehörden und betroffene Personen zu melden (Art. 33, Art. 34 DSGVO)
- Datenschutzverletzungen, deren Folgen und durchgeführte Abhilfemaßnahmen zu dokumentieren (Art. 33 Abs. 5 DSGVO)
Die Folgen von Verletzungen derartiger DSGVO- Vorschriften: Es drohen neben zusätzlichen Schadensersatzforderungen der Verletzten auch empfindliche Bußgelder.
Überwachung und Organisation: Verantwortung der Geschäftsführung
Das Beispiel des Fahrradherstellers zeigt: Schäden, die eine Cyberattacke verursachen kann, können für Unternehmen existenzbedrohend sein. Deshalb sind IT-Sicherheit und Datenschutz Aufgaben der Geschäftsleitung.
Als rechtliche Grundlage hierfür werden die § 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG i.V.m. § 91 Abs. 2 AktG (ggf. analog) herangezogen: Die Geschäftsleitung ist verpflichtet, das Unternehmen so zu organisieren und zu überwachen, dass schwerwiegende, den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt und passende Gegenmaßnahmen ergriffen werden. Das betrifft laut LG München (LG München I, Urteil v. 10.12.2013, Az.: 5 HKO 1387/10) auch eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation.
Schlussendlich können Vorstände und Aufsichtsräte einer AG für Schäden durch Cyberattacken nach § 93 AktG bzw. § 116 Satz 1 i.V.m. § 93 AktG persönlich, Geschäftsführer einer GmbH nach § 43 Abs. 2 GmbHG ebenfalls persönlich haften. Dabei steht grundsätzlich die gesamte Geschäftsführung in der Verantwortung, auch wenn ggf. spezielle IT-Verantwortlichkeiten existieren. Der Verweis, intern nicht „zuständig“ zu sein, verfängt im Hinblick auf Haftungsfragen nicht per se.
Prävention: effiziente IT-Compliance & exakte Dokumentation unverzichtbar
Um unternehmerische Risiken und persönliche Haftungsrisiken zu reduzieren, ist Prävention der erste Schritt. Dafür muss die Geschäftsleitung auf Basis eines individuellen Risikoprofils angemessene Compliance-Management-Systeme (CMS) so im Unternehmen etablieren, dass eine effektive Risikokontrolle und Schadensprävention stattfinden kann. Entlang eines individuellen Risikoprofils gilt es dann, effiziente Prozesse zu implementieren und die IT-Infrastruktur u.a. mit Schwachstellenscannern und regelmäßigen Penetrationstests zu testen.
Geht es um die Implementierung eines CMS, können ISO-zertifizierte IT-Compliance-Systeme sinnvoll sein, genauso aber auch die Umsetzung entsprechender BSI-Standards. Denn gerade diese Handlungsempfehlung des Bundesamtes für IT-Sicherheit („BSI“) gelten als sehr gute Hilfestellung für den Aufbau eines angemessenen, effizienten CMS.
In rechtlicher Hinsicht ist das von großer Bedeutung: Durfte die Geschäftsleitung vernünftigerweise annehmen, auf Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln (§ 93 Abs. 1 S. 2 AktG), reduziert das persönliche Haftungsrisiken auch im Falle von Cyberattacken erheblich.
Zusätzlich sollten Mitglieder der Geschäftsleitung auf eine genaue Dokumentation von Analyse- und Überwachungsmaßnahmen im Zusammenhang mit der Entwicklung und Etablierung von CMS achten. Denn stehen Haftungsfragen im Raum, ermöglicht eine exakte Dokumentation eine haftungsrechtliche Entlastung. Die Dokumentation sollte den gesetzlichen Anforderungen an ein entsprechendes Risikomanagementsystem genügen.
Reaktion: Notfallplan im Fall von Cyberangriffen
Last but no least sollte die Geschäftsleitung auf den Ernstfall einer Cyberattacke vorbereitet sein. Ein umfassender „Notfallplan“ ist hier nahezu unabdingbar. Hier können Unternehmen auf Vorgaben aus einem Notfallkonzept des BSI zurückgreifen. Die Beachtung der BSI-Standards bzw. Leitlinien für das Erstellen und Durchführen eines Notfallplanes kann die Geschäftsleitung im „Falle eines Falles“ rechtlich entlasten.
Versicherungen & Outsourcing als Lösung?
Stellt sich zuletzt die Frage: Können passende Cyber- oder D&O-Versicherungen oder ein Outsourcing des Themas IT-Sicherheit Haftungsrisiken im Zusammenhang mit Cyberattacken lösen?
Outsourcing kann Haftungsrisiken verschieben. Es bleibt allerdings die Frage, ob auf die Liquidität eines Dienstleisters vertraut werden kann bzw. sollte.
Genauso können Cyberpolicen finanzielle Risiken für das Unternehmen und D&O-Versicherungen persönliche Risiken für die Geschäftsleitung abfedern. Sich allein darauf zu verlassen, ist allerdings keine tragfähige Lösung – zu klar ist der Auftrag an die Geschäftsleitung, sich um (Daten-)Sicherheit im Unternehmen zu kümmern und zu nah liegt der Einwand eines Ausschlusses des Deckungsschutzes wegen einer vermeintlichen wissentlichen Pflichtverletzung.
Cyberattacken sind eine erhebliche Gefahr für Unternehmen und gleichzeitig ein enormes persönliches Haftungsrisiko für die Geschäftsleitung. Insofern gilt es für die Geschäftsleitung in Unternehmen jeder Größe, sich professionell präventiv gegen Cyberattacken aufzustellen, die Systeme laufend zu testen und mit einem Notfallplan für den Fall einer Attacke gewappnet zu sein, um (persönliche) Haftungsrisiken zu minimieren.