Sensible Informationen von Privatpersonen und Organisationen sind über das Internet heute weltweit und jederzeit verfügbar. Alle Bereiche des gesellschaftlichen und wirtschaftlichen Lebens nutzen die technologischen Möglichkeiten, die der virtuelle Raum bietet. Staat, Wirtschaft und Bevölkerung sind in einer vernetzten Welt immer stärker auf die Informations- und Kommunikationstechnik angewiesen und miteinander verbunden.
Die Gesellschaft ist durch diesen zunehmend digitalen Transformationsprozess dynamischer, aber auch verletzlicher geworden. [1] Denn nicht nur Unternehmen und Privatpersonen sind im Internet aktiv, auch Kriminelle verlagern ihre “Wertschöpfung” in das Internet und können so von jedem Ort der Welt als hoch professionelle Cyber-Kriminelle agieren.
Es wundert also kaum, dass Großunternehmen neben der Verletzung des Datenschutzes in Cyberangriffen, welche man als gezielte Angriffe gegen die IT-Infrastruktur mit dem Ziel einer Sabotage oder des Datendiebstahls bezeichnen könnte, [2] das Risiko mit dem höchsten Bedrohungspotential sehen. [3] Laut der zehnten Umfrage des Allianz Risk Barometers zählen Cyber-Vorfälle in Deutschland und weltweit zu den wichtigsten Geschäftsrisiken in 2021, neben der Pandemie und Betriebsunterbrechungen. [4]
Gerade kleinere und mittelständische Unternehmen unterschätzen diese digitalen Risiken jedoch weiterhin. Dort mangelt es zudem häufig auch an einer umfassenden IT-Sicherheit. [5]
Zusätzlich zur technischen Risikovorsorge, also einer durchdachten technischen und organisatorischen IT-Sicherheitsstruktur und dem Aufbau eines eigenen Risikomanagements, bietet sich für Unternehmen seit wenigen Jahren auch in Deutschland der Abschluss sogenannter Cyberversicherungen an. Denn die Auswirkungen eines Cyberangriffes können vielfältig sein und reichen von Drittschäden, z.B. aufgrund von Datendiebstahl, über Betriebsunterbrechungen bis hin zu Kosten für die Datenwiederherstellung und IT-Forensik. Solch eine Cyberversicherung kann also Unternehmen vor den finanziellen Folgen eines Cyberangriffes schützten und hilft dabei den eingetretenen Schaden durch Entschädigungsleistungen und umfassende Service-Angebote so gering wie möglich zu halten. [6]
Und trotz dieses umfassenden Schutzes ist die Durchdringung der Cyberversicherung am Markt noch immer gering. So teilte der GDV auf Nachfrage der Zeitschrift Procontra mit, dass das Marktpotential zum Ende des Jahres 2019 mit gerade einmal 0,5% ausgeschöpft wurde. Wobei dies einem Beitragsvolumen von etwa 85 Mio. € bei einer Stückzahl von rund 60.000 Verträgen entspricht. [7]
Auf dem Hintergrund des enormen Schadenpotentials, dem gleichwohl meist sowohl eine mangelhafte technische Risikovorsorge als auch nicht eingekaufter Versicherungsschutz gegenübersteht, stellt sich die Frage, ob das geschäftsführende Organ persönlich für seine diesbezüglichen Entscheidungen gegenüber der Gesellschaft einzutreten hat.
Im Folgenden soll dies vertieft für den fehlenden Abschluss der Cyberversicherung beleuchtet und damit die Frage beantwortet werden, ob Manager als geschäftsführendes Organ bei Nichtabschluss einer Cyberversicherung haften.
Wie und wonach geschäftsführende Organe haften
Die persönliche Haftung des geschäftsführenden Organs, also des Managers, gegenüber seiner Gesellschaft (nachfolgend Innenhaftung) findet seine Anspruchsgrundlagen je nach Gesellschaftsart in unterschiedlichen Normen. So ist der § 43 Abs. 2 GmbHG die Anspruchsgrundlage der Innenhaftung für GmbH-Geschäftsführer und der § 93 Abs. 2 AktG für Vorstände einer Aktiengesellschaft. Die im Folgenden nicht vertiefte Innenhaftung der Genossenschaftsvorstände findet seine Grundlage hingegen im § 34 Abs. 2 GenG und die des Vereinsvorstandes im § 31a BGB.
Nach § 43 Abs. 1 GmbHG wird vom Geschäftsführer einer GmbH das Handeln als sorgfältiger Geschäftsmann verlangt, der § 93 Abs. 1 AktG spricht von der “Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters”. Die haftungsauslösende Pflichtverletzung ist in beiden Fällen sinngemäß insofern die Verletzung der Sorgfalt eines ordentlichen Kaufmanns.
Die Gesetze lassen dabei offen, welcher Maßstab an die Sorgfalt eines ordentlichen Kaufmanns gestellt wird. Er muss wie ein selbstständiger, treuhänderischer Verwalter fremden Vermögens handeln. [8] Es wird also erwartet, dass er den Gesellschaftszweck effektiv verfolgt [9], wobei zum einen die Gesellschaft (Art, Wirtschaftslage, Größe etc.), aber auch die konkrete Führungsmaßnahme des Geschäftsleiters (Umfang, Folgen etc.) zu beachten ist. Der Maßstab kann dabei nur objektiv bewertet werden, so dass persönliche Merkmale (Erfahrung, Alter, Belastung etc.) außen vor bleiben. [10]
Es liegt in der Natur des Aufgaben- und Tätigkeitsbereiches des Geschäftsleiters (im Folgenden für GmbH-Geschäftsführer und AG-Vorstände) Entscheidungen zu treffen, denen in der Regel verschiedene Handlungsoptionen voraus gehen. Es muss ihm bei Entscheidungen ein Ermessenspielraum zugebilligt werden. Erst bei Überschreitung gezogener Grenzen oberhalb dieses Horizontes kann der Vorwurf eines Pflichtenverstoßes gerechtfertigt sein. Diesen Ermessenspielraum kann es nur dann nicht geben, wenn es um die Beachtung von Gesetz und Satzung geht (sog. Legalitätsprinzip), dazu gehören z.B. die Beachtung von straf- oder ordnungsrechtlichen Vorgaben. [11]
Übertragbarkeit der Haftungsgrundsätze auf den Abschluss einer Cyberversicherung
Die Entscheidung zum Abschluss einer Cyberversicherung basiert nicht auf gesetzlichen oder satzungsgemäßen Vorgaben, so dass es sich hier um eine reguläre geschäftliche bzw. unternehmerische Entscheidung des Geschäftsleiters handelt. Die Handlungsoptionen für oder gegen den Abschluss müssen daher im Rahmen des erläuterten Ermessenspielraums bewertet werden.
Ein Ermessensspielraum käme in diesem Kontext nur dann nicht in Frage, wenn der Abschluss einer Cyberversicherung optionslos wäre. Das dürfte jedoch so gut wie nie der Fall sein.
So wird die Cyberversicherung meist nur eine Ergänzung zur IT-Sicherheitsstruktur sein, die dann das noch verbleibende kleine oder große Risiko absichert. Dies setzt mithin eine Erwägung voraus, ist also nicht optionslos. Anders könnte dies jedoch bei hoch digitalisierten und damit enorm gefährdeten Betrieben angesehen werden. Vergleichbar wäre dies mit dem fehlenden Abschluss einer Feuerversicherung in höchst feuergefährdeten Unternehmen. Hier besteht die einzige realistische Möglichkeit der Risikovorsorge aufgrund des trotz technischen und organisatorischen Brandschutzes enormen Schadenpotenzials im Vorhalten von Versicherungsschutz. [12]
Vermögenseinbußen, die die Gesellschaft kausal durch eine fehlende Cyberversicherung erleidet, führen daher nicht per se zu einer Haftung des Geschäftsleiters – soweit er seine Handlungsoptionen auf Grundlage angemessener Informationen und ohne Berücksichtigung sachfremder Interessen, ausschließlich zum Wohl der Gesellschaft abgewogen und entschieden hat. [13] Der Gesetzgeber hat dies für AG-Vorstände im § 93 Abs. 1 Satz 2 AktG normiert, dessen Grundsatz weitgehend auch für GmbH-Geschäftsführer angewendet werden kann. [14] Die gesetzliche Regelung geht, auf die durch der BGH [15] anerkannte, ursprünglich aus dem US-amerikanischen Gesellschaftsrecht stammende Business Judgement Rule [16] zurück.
Um wie hier überhaupt eine Entscheidung treffen zu können, wird von dem Geschäftsleiter also die Schaffung einer ausreichenden Tatsachengrundlage erwartet. Der Geschäftsleiter muss dabei möglichst alle ihm zur Verfügung stehenden Informationsquellen heranziehen, wobei eine Abwägung zwischen Kosten und Nutzen vorzunehmen ist. Unabhängig davon, dass in der Realität mutmaßlich niemals alle möglichen Informationsquellen heranziehbar sind, bleibt auch in der Wahl der Informationsquellen selbst wiederum ein Entscheidungsmaßstab, der im Einzelfall richterlich zu bewerten ist. [17]
In jedem Fall hat die Bewertung der (Fehl-) Entscheidung im Sinne der Business Judgement Rule ex-ante zu erfolgen. Es kommt darauf an, ob der Geschäftsleiter zum Zeitpunkt der Entscheidung diese nachvollziehbar und auf Grundlage ausreichender Informationen und zum Wohle der Gesellschaft getroffen hat.
Die notwendigen Informationen für oder gegen den Abschluss einer Cyberversicherung beschränken sich keinesfalls nur auf die Deckungsinhalte und -summen des Versicherungsvertrags, sondern sind wesentlich weitreichender.
So muss sich der Geschäftsleiter zunächst einen Überblick verschaffen, welche Schäden ein Cyberangriff überhaupt verursachen könnte. Darauf aufbauend muss er beurteilen können, welche technischen und organisatorischen Maßnahmen zum Schutz solcher Angriffe bereits ergriffen wurden oder noch werden können, um daraus abzuleiten ob und wenn ja welches Restrisiko für die Gesellschaft besteht. Dieses Risiko wiederum muss zum einen mit dem gebotenen Versicherungsschutz abgeglichen, wirtschaftlich aber auch ins Verhältnis mit der zu zahlenden Versicherungsprämie gesetzt werden. [18]
Eine ordentliche Dokumentation des Entscheidungsprozesses zum Abschluss einer Cyberversicherung, der durch den großen Informationsbedarf relativ komplex ist, ist für den Geschäftsleiter ratsam. Denn auch wenn die Gesellschaft darlegungs- und beweisverpflichtet ist für die Eröffnung des Anwendungsbereichs der §§ 43 GmbHG oder 92 AktG sowie für die Tatsachen, die den Vorwurf einer schuldhaften Pflichtverletzung begründen können, [19] treffen auch den Geschäftsleiter umfangreiche Darlegungs- und Beweispflichten.
So muss der Geschäftsleiter nach § 93 Abs. 2 Satz 2 AktG und entsprechend angewendet auch für GmbH-Geschäftsführer darlegen und beweisen, dass er seinen Sorgfaltspflichten nachgekommen ist bzw. der Schaden auch bei pflichtgemäßem Verhalten eingetreten wäre. Im Hinblick auf den Abschluss der Cyberversicherung müsste der Geschäftsleiter mit Blick auf die Business Judgement Rule also darlegen und beweisen können, auf welcher Informationsgrundlage er welche entscheidungsrelevanten Abwägungen getroffen hat, um sich von seiner Haftung zu exkulpieren. [20]
Es handelt sich bei der Entscheidung zum Abschluss einer Cyberversicherung also um eine unternehmerische Ermessensentscheidung, die nur dann nicht notwendig erscheint, wenn die Gesellschaft ohnehin nur über geringfügige Cyberrisiken verfügt. Hat sich der Geschäftsleiter mit der Möglichkeit des Abschlusses einer Cyberversicherung, überhaupt nicht beschäftigt, so wird die Pflichtverletzung zu bejahen sein. Hat er sich mit dem Abschluss einer Cyberversicherung zwar beschäftigt, kommt es bei ausreichender Informationsfülle entgegen der Business Judgement Rule jedoch zu keiner vertretbaren Entscheidung, liegt diese ebenfalls vor. Daraus folgend ist eine Pflichtverletzung auch die Entscheidung auf Grundlage einer zu geringen Informationsdichte. Durchaus streitbar ist dabei jedoch der erforderliche Informationsumfang, der sich nur aus den Umständen des Einzelfalls ergeben kann.
Voraussetzung der Schadenersatzpflicht bleibt – neben der Pflichtverletzung – ein darauf zurückführender kausaler Schaden der Gesellschaft. Die Bemessung des Schadenersatzes ergibt sich aus § 249 Abs. 1 BGB, so dass mögliche Vorteile der Gesellschaft, etwa gesparte Versicherungsbeiträge, vom Schadenersatz abzuziehen sind.
Fazit
Heutzutage gibt es immer weniger Unternehmen, die über keinerlei oder nur geringfügige Cyberrisken verfügen, damit ist es für die Geschäftsleiter riskant, sich nur unzureichend oder gar nicht mit der technischen und organisatorischen IT-Sicherheit sowie der damit letztlich verbundenen Möglichkeit des Abschlusses einer Cyberversicherung eingehend zu beschäftigen.
Dieses Haftungspotential wird sich in den nächsten Jahren mit der weiter zunehmenden, nicht zuletzt durch die weltweite Corona-Pandemie befeuerten, Digitalisierung der Unternehmen noch verstärken und die Ermessensspielräume immer weiter einschränken. Problematisch wird in einer immer stärker vernetzen Welt der Maßstab der ausreichenden Information zur Bewertung der Handlungsoptionen werden, die für einen IT-Laien oder auch IT-Anwender inhaltlich kaum noch verständlich sind. Ohne fachkundige Berater wird der Geschäftsleiter damit, vermutlich schon heute, kaum noch in der Lage sein eine vertretbare Entscheidung zu treffen. So kann nur empfohlen werden, den Rat und die Unterstützung von IT-Experten frühzeitig einzuholen und das nicht nur zum persönlichen Haftungsschutz der Geschäftsleiter.
[1] vgl. https://www.verfassungsschutz.de/DE/themen/cyberabwehr/begriff-und-auftrag/begriff-und-auftrag_node.html – aufgerufen am 21.04.2022
[2] vgl. Publikation Vorstellung des Bundesamt für Verfassungsschutz 2019, – Seite 31, https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/allgemein/2019-06-das-bundesamt-fuer-verfassungsschutz.pdf?__blob=publicationFile&v=9 – abgerufen am 21.04.2022
[3] vgl. Studie Crisis Management 2018, EBS Law School
[4] vgl. 10. Umfrage des Allianz Risk Barometers https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2021-de.html – aufgerufen am 21.04.2022
[5] vgl. GDV Report Cyberrisiken im Mittelstand 2020
[6] vgl. https://www.gdv.de/de/themen/news/das-leistet-eine-cyberversicherung-31152 – aufgerufen am 21.04.2022 , Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung (AVB Cyber) – April 2017
[7] vgl. https://www.procontra-online.de/artikel/date/2020/05/cyber-versicherung-das-lange-warten-auf-den-kunden/ aufgerufen am 21.04.2022
[8] vgl. BGH Urteil vom 14.03.1983 Az. II ZR 102/82
[9] vgl. BGH 15.1.2013, NZG 2013, 293 Rn. 16
[10] vgl. Beurskens in Baumbach/Hueck, GmbH-Gesetz, 22. Auflage 2019, § 43 GmbHG, Rn. 8
[11] vgl. Oetker in Henssler/Strohn, Gesellschaftsrecht,5. Auflage 2021, § 43 GmbHG, Rn. 24-25
[12] vgl. Fortmann r+s 2019, 688, 691
[13] vgl. Hoffmann in Prinz/Winkeljohann, Beck’sches Handbuch der GmbH, 6. Auflage 2021, § 5, Rn. 162
[14] vgl. Beurskens in Baumbach/Hueck, GmbH-Gesetz, 22. Auflage 2019, § 43 GmbHG, Rn. 34
[15] vgl. BGH Urteil vom 21.04.1997 – II ZR 17595
[16] vgl. https://wirtschaftslexikon.gabler.de/definition/business-judgement-rule-53987 aufgerufen am 21.04.2022
[17] vgl. Spindler in Münchener Kommentar zum Aktiengesetz, 5. Auflage 2019,§ 93 AktG, Rn. 55-56
[18] vgl. Fortmann r+s 2019, 688, 691
[19] vgl. Beurskens in Baumbach/Hueck, GmbH-Gesetz, 22. Auflage 2019, § 43 GmbHG, Rn. 76
[20] vgl. Beurskens in Baumbach/Hueck, GmbH-Gesetz, 22. Auflage 2019, § 43 GmbHG, Rn. 81
Anmerkung durch die Autoren:
Aus Gründen der besseren Lesbarkeit wird im Text die männliche Sprachform verwendet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.