19.01.2017
19.01.2017
Was verbindet eBay, den App Store von Apple, JP Morgan, das Seitensprung-Portal Ashley Madison und die Telekom? Sie alle fielen in der jüngeren Vergangenheit sogenannten Cyber-Angriffen zum Opfer.
Dies zeigt: Unternehmen sehen sich einer stetig wachsenden Bedrohung durch Hackerattacken ausgesetzt. Täglich werden Daten erbeutet oder Produktionsprozesse beeinträchtigt, was nicht selten erhebliche finanzielle Schäden bei den betroffenen Unternehmen verursacht.
Da die Identität der verantwortlichen Angreifer regelmäßig nicht festzustellen sein wird, stellt eine Kompensation auf diesem Wege nur im Ausnahmefall eine Option dar. Oftmals wird der Angriff allerdings nur realisierbar gewesen sein, weil das angegriffene Unternehmen nicht hinreichend gegen Cyber-Angriffe geschützt war. Dies kann unter anderem auf Pflichtverletzungen eines Geschäftsleiters zurückzuführen sein.
Inwieweit es einem attackierten Unternehmen im Falle einer derartigen Pflichtverletzung möglich ist, den betreffenden Geschäftsleiter – seien es Vorstände einer AG oder Geschäftsführer einer GmbH – auf Schadensersatz in Anspruch zu nehmen, hängt vom Einzelfall ab.
Anspruchsvoraussetzungen und -durchsetzung
Anspruchsgrundlagen für einen Schadensersatzanspruch gegen den Vorstand einer Aktiengesellschaft bzw. den Geschäftsführer einer GmbH sind § 93 Abs. 2 S. 1 AktG bzw. § 43 Abs. 2 GmbHG. Die schadensersatzbegründende Pflichtverletzung kann sich entweder aus dem Verstoß gegen eine generelle Sorgfaltspflicht oder aus einem Gesetzesverstoß, sei dieser durch den Geschäftsleiter selbst verübt worden oder ihm nach den allgemeinen Vorschriften zuzurechnen, ergeben.
Was eine generelle Sorgfaltspflicht ist, bestimmen § 91 Abs. 2 AktG bzw. § 43 Abs. 1 GmbHG. Nach dem Aktiengesetz muss der Vorstand geeignete Maßnahmentreffen, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Ebenso allgemein verfährt das GmbH-Gesetz, wonach der Geschäftsführer in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden hat.
Wie diese Pflichten konkret auszufüllen sind, ist fraglich. In der Literatur wird gefordert, dass ein sorgfältiger Geschäftsleiter verpflichtet sein müsse, sich über informationstechnische Gefahren kundig zu machen und bei Bedarf entsprechende Vorkehrungen zu treffen. Das Ausmaß der Vorkehrungen ist also stark einzelfallabhängig. Jedes Unternehmen sollte jedoch das Standardrepertoire an Datensicherung, Virenschutz und Notfallvorsorge eingerichtet haben. Andernfalls führt dies selbst bei Unternehmen mit einer geringen Abhängigkeit von IT-Systemen zu einer Pflichtverletzung des Geschäftsleiters.
Einfacher gestaltet sich die Feststellung einer Pflichtverletzung bei einem Gesetzesverstoß. In diesem Fall kann sich eine Pflichtverletzung des Geschäftsleiters bereits aus dem Verstoß gegen die Pflicht ergeben, sicherzustellen, dass die Gesellschaft ihre gesetzlichen Pflichten im Außenverhältnis wahrt. Dies kann etwa der Fall sein bei Verstößen gegen Normen des Bundesdatenschutzgesetzes (BDSG) oder bei Verletzungen von Pflichten, die sich aus dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) ergeben.
Besonders zu erwähnen sind zudem die anzuwendenden Beweislastregeln: Geschäftsleiter müssen darlegen und beweisen, dass sie – freilich aus ex ante Sicht – taugliche Maßnahmen getroffen, also die erforderliche Sorgfalt beachtet haben oder kein Verschulden trifft. Im Prozess trifft den Geschäftsleiter damit die Darlegungs- und Beweislast. Für den Vorstand ergibt sich dies aus § 93 Abs. 2 S. 2 AktG und gilt für den Geschäftsführer – trotz fehlender vergleichbarer Regelungen im GmbHG – entsprechend.
Pflicht zur Inanspruchnahme des Geschäftsleiters?
Die Inanspruchnahme des verantwortlichen Geschäftsleiters ist für ein Unternehmen, welches einem Cyber-Angriff zum Opfer gefallen ist, also durchaus als prüfenswerte Handlungsoption zur Abmilderung des entstandenen Schadens zu bewerten. Erst recht, wenn für die Mitglieder der Geschäftsleitung – wie so häufig – eine D&O-Versicherung abgeschlossen wurde. Besteht in der Gesellschaft ein Aufsichtsrat, der die Geschäftsleitung zu überwachen hat, ist dieser in der Regel sogar verpflichtet, bestehende Regressansprüche gegen das verantwortliche Geschäftsleitungsmitglied zu verfolgen.
 | Dr. Stephan Bausch, D.U. |
 | Simon Heetkamp
|
Facebook 
Linkedin 
XING 
Youtube