Rechtsfragen für die Geschäftsleitung sollten nicht übersehen werden
Die Umsetzung der NIS2-Richtlinie der EU (Network and Information Security Directive 2) in Deutschland verzögert sich voraussichtlich bis Herbst 2025. Ursprünglich sollte die Richtlinie bereits im Oktober 2024 in nationales Recht überführt werden, doch verschiedene Faktoren haben zu einer Verschiebung des Prozesses geführt. Ein Vertragsverletzungsverfahren wegen der Nichteinhaltung des Termines hat die EU dazu bereits eingeleitet.
Diese Verzögerung ist bedauerlich, die gestiegenen Anforderungen der NIS2-Verordnung sollten ja gerade dazu beitragen, die Widerstandsfähigkeit kritischer und wichtiger Unternehmen zu stärken!
Die Situation gibt Unternehmen und Behörden zwar mehr Zeit zur Vorbereitung, birgt jedoch auch Risiken. Denn Cyberangriffe und IT-Sicherheitsvorfälle nehmen kontinuierlich zu, Hacker warten nicht auf Gesetze!
Die Verschiebung bedeutet daher keineswegs, dass Unternehmen warten sollten! Vielmehr ist es eine Chance, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen und Prozesse, Sicherheitsmaßnahmen und Compliance-Strukturen rechtzeitig anzupassen, um rechtliche, finanzielle und organisatorische Risiken zu minimieren.
Wer früh handelt, reduziert das Risiko, in Zeitdruck zu geraten oder im letzten Moment hohe Investitionen tätigen zu müssen.
Wir wollen die für die Geschäftsleitung relevanten Aspekte kurz ansprechen, allerdings weisen wir darauf hin, dass dies noch nicht final ist, zudem in Deutschland noch kein geltendes Gesetz ist.
Geschäftsleitung trägt Risiken
Die Haftung der Geschäftsleitung in Bezug auf die NIS-2-Richtlinie ist für die Umsetzung in Deutschland noch nicht abschließend geregelt. Während die EU-Richtlinie die Haftung der Leitung einführt, verweist der Entwurf für die Umsetzung im NIS2UmsuCG explizit auf die "anwendbaren Regeln des Gesellschaftsrechts" für die Haftung der Geschäftsleitung. Dies bedeutet, dass bereits existierende Haftungsregelungen Vorrang haben.
Entgegen häufigen Behauptungen schafft das NIS2UmsuCG also keine grundlegend neue Haftungsgrundlage für Geschäftsführer. Es sieht jedoch einen Auffangtatbestand vor, nach dem Geschäftsleiter für schuldhaft verursachte Schäden haften, falls das Gesellschaftsrecht im Einzelfall keinen Haftungstatbestand enthält. In der Praxis werden voraussichtlich D&O-Versicherungen zur Reduktion des Verschuldensmaßstabs auf Vorsatz und grobe Fahrlässigkeit als Schutzmaßnahmen genutzt werden.
Was würde unter die persönliche Verantwortung fallen?
Geschäftsleiter sind persönlich für die Einhaltung der NIS-2-Vorgaben verantwortlich und müssen:
Die Risikomanagementmaßnahmen im Bereich Cybersicherheit billigen
Die Umsetzung dieser Maßnahmen überwachen
Aktiv ein solides Sicherheitsmanagement im Unternehmen etablieren
Selbst an Sicherheitsschulungen teilnehmen
Was ist der Haftungsumfang
Geschäftsleiter haften mit ihrem Privatvermögen für Schäden, die durch Nichteinhaltung der NIS-2-Anforderungen entstehen
Die Haftung bezieht sich insbesondere auf mangelnde Vorsorgemaßnahmen zur Verhinderung von Kompromittierungen
Eine bloße Delegation der Aufgaben an IT-Abteilungen oder externe Dienstleister reicht nicht zur Enthaftung
Eine Verschärfung der Haftung liegt vor
Haftungsverzichte oder Vergleiche über Ersatzansprüche sind unwirksam
Haftungsfreistellungen, -begrenzungen und Generalbereinigungen in Bezug auf NIS-2-Schäden dürften ebenfalls unwirksam sein
Schutzmaßnahmen sind möglich
Der Abschluss einer D&O-Versicherung wird als einzige Möglichkeit zur Beschränkung des persönlichen Haftungsrisikos gesehen
Regelmäßige Überprüfung und Anpassung der Cybersicherheitsmaßnahmen direkt auf Geschäftsleitungsebene ist jedoch erforderlich
Diese verschärfte Haftung unterstreicht die zunehmende Bedeutung von Cybersicherheit und zielt darauf ab, Geschäftsleiter zu einer proaktiven und umfassenden Herangehensweise an das Thema zu bewegen.
Tücken der Organhaftung und Beweislastverteilung
Laut § 93 AktG (für AGs) und § 43 GmbHG (für GmbHs) sind Vorstände und Geschäftsführer verpflichtet, ihre Unternehmen mit der Sorgfalt eines ordentlichen Geschäftsmannes zu führen. Dies schließt auch IT-Sicherheit und Compliance mit ein.
Falls also eine Geschäftsleitung fahrlässig oder vorsätzlich:
keine ausreichenden Cybersicherheitsmaßnahmen trifft,
Pflichten aus der NIS2 nicht erfüllt,
oder auf bekannte Risiken nicht angemessen reagiert,
kann sie persönlich zur Verantwortung gezogen werden – mit finanziellen Konsequenzen oder sogar Haftung mit Privatvermögen.
Dies gilt auch heute schon, ganz ohne die NIS2.
Beweislastumkehr
Bei der Organhaftung von Geschäftsführern einer GmbH ist die Beweislastverteilung wie folgt geregelt:
Die Gesellschaft (GmbH) muss zunächst nur nachweisen, dass ihr durch ein möglicherweise pflichtwidriges Verhalten des Geschäftsführers ein Schaden entstanden ist.
Anschließend liegt die Beweislast beim Geschäftsführer selbst. Er muss darlegen und beweisen, dass er:
seinen Sorgfaltspflichten nachgekommen ist
oder ihn kein Verschulden trifft
oder der Schaden auch bei pflichtgemäßem Alternativverhalten eingetreten wäre
Diese Beweislastumkehr zugunsten der Gesellschaft basiert auf der Überlegung, dass die Gesellschaft andernfalls bei Tatsachen, die allein den Einflussbereich der Geschäftsführung betreffen, regelmäßig in Beweisnot geraten würde.
Es ist wichtig zu beachten, dass diese Beweislastverteilung eine besondere Schärfe der Organhaftung darstellt. Der Geschäftsführer muss sich entlasten, nicht die Gesellschaft die Pflichtverletzung beweisen.
Um sich im Streitfall entlasten zu können, ist es für Geschäftsführer daher von großer Bedeutung, alle geschäftlichen Vorgänge sorgfältig zu dokumentieren.
Beweise und Dokumente
Um sich zu entlasten, kann ein Geschäftsführer z. B. folgende Beweise anführen:
Dokumentation der Geschäftsvorgänge: Sorgfältige und lückenlose Aufzeichnungen aller relevanten Geschäftsvorgänge, Entscheidungen und deren Grundlagen.
Protokolle von Sitzungen: Detaillierte Protokolle von Gesellschafterversammlungen und Geschäftsführerbesprechungen, die Entscheidungsprozesse und Begründungen dokumentieren.
Risikoanalysen und Due Diligence: Nachweise über durchgeführte Risikoanalysen und sorgfältige Prüfungen vor wichtigen Geschäftsentscheidungen.
Expertenrat: Belege für die Einholung von Expertenrat (z.B. Rechtsanwälte, Steuerberater) bei komplexen Entscheidungen.
Interne Kontrollsysteme: Nachweise über die Implementierung und Einhaltung interner Kontroll- und Compliance-Systeme.
Fortbildungen: Zertifikate über regelmäßige Fortbildungen zu relevanten Themen wie Compliance und Unternehmensführung.
Informationsbereitstellung: Belege dafür, dass alle relevanten Informationen den Gesellschaftern zur Verfügung gestellt wurden, insbesondere im Zusammenhang mit der Entlastung.
Alternativszenarien: Dokumentation von Alternativszenarien, die zeigen, dass der Schaden auch bei pflichtgemäßem Alternativverhalten eingetreten wäre.
Einhaltung gesetzlicher Vorschriften: Nachweise über die Einhaltung aller relevanten gesetzlichen Vorschriften und Sorgfaltspflichten.
Diese Beweise können dem Geschäftsführer helfen, im Falle eines Rechtsstreits darzulegen, dass er seinen Sorgfaltspflichten nachgekommen ist und ihn kein Verschulden trifft. Es ist wichtig, dass Geschäftsführer diese Dokumentation kontinuierlich und sorgfältig führen, um im Bedarfsfall gut vorbereitet zu sein.
Kritik
Ist das im Alltag realistisch, daß alles durchgängig gepflegt ist? Wie soll das erfolgen? Wo speichert man das? Wie sieht die Struktur aus? Wer hat die Zeit dafür und macht das in der Leitungsebene?
Daher empfiehlt es sich, andere Wege zu gehe und die Beweisführung im Bereich der integrierten Managementsysteme anzusiedeln.
Eine Beweisführung für Informationssicherheit über ein etabliertes Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 bzw. TISAX-Standards könnte wie folgt aussehen:
ISMS-Inhalte
Informationssicherheitspolitik: Nachweis einer dokumentierten und vom Management genehmigten Sicherheitspolitik.
Risikoanalyse und -behandlung: Belege für durchgeführte Risikoanalysen, identifizierte Risiken und implementierte Maßnahmen zur Risikominderung.
Anwendbarkeitserklärung: Dokumentation der ausgewählten und umgesetzten Kontrollen aus Anhang A der ISO 27001.
Implementierung von Kontrollen
Zugriffskontrollen: Nachweise für implementierte Zugriffsrichtlinien und -verfahren.
Physische Sicherheit: Dokumentation von Maßnahmen zum Schutz von Räumlichkeiten und Ausrüstung.
Netzwerksicherheit: Belege für implementierte Firewalls, Intrusion Detection Systeme und andere Sicherheitskontrollen.
Schulung und Bewusstsein
Schulungsnachweise: Dokumentation von durchgeführten Schulungen zur Informationssicherheit für Mitarbeiter.
Sensibilisierungskampagnen: Belege für regelmäßige Awareness-Maßnahmen.
Kontinuierliche Verbesserung
Interne Audits: Protokolle und Ergebnisse regelmäßiger interner Überprüfungen des ISMS.
Management-Reviews: Dokumentation von Managementbewertungen und daraus resultierenden Verbesserungsmaßnahmen.
Vorfallmanagement: Aufzeichnungen über Sicherheitsvorfälle und deren Behandlung.
Zertifizierungsnachweis
Zertifizierungsaudit: Bericht des externen Auditors über die Konformität mit ISO 27001.
ISO 27001-Zertifikat: Das offizielle Zertifikat als Nachweis der erfolgreichen Zertifizierung.
Diese Beweise demonstrieren die systematische Umsetzung und kontinuierliche Verbesserung des Informationssicherheits-Managementsystems nach ISO 27001 und können als objektiver Nachweis für die Einhaltung der Norm dienen, können aber auch helfen bei dem Nachweis, daß die Geschäftsführung Ihren Sorgfaltspflichten nachgekommen ist. Und damit kann die Geschäftsleitung dann ruhig schlafen!
Das gilt übrigens für beide Fälle, sowohl heute "ohne" als auch in Zukunft "mit" NIS2!
Fazit
Ein gut gepflegtes integriertes Managementsystem hilft nicht nur beim Aufbau einer sicheren Organisation und beim Betrieb, sondern nach einem Vorfall dient es auch der Entlastung der Geschäftsleitung bei Haftungsfällen.
Rechtlicher Hinweis: Das Umsetzungsgesetz ist noch nicht Inkraftgetreten, Aussagen dazu sind daher mit Vorbehalt zu sehen. Die getroffenen Aussagen wurden sorgsam recherchiert, erfolgen jedoch ohne Gewähr und stellen keine Rechtsberatung dar. Wir empfehlen, bei Bedarf eine Rechtsberatung hinzuzuziehen und stellen gerne Kontakte zu Experten für IT-Recht her.
Comments