Evolution der Managerhaftung am Beispiel der Netz- und Informationssysteme-Richtlinie NIS-2
Regelwerke der Europäischen Union setzen Unternehmen und deren Geschäftsleitungen neuen und komplexeren Haftungsrisiken aus. Bei Rechtsverstößen droht nicht nur eine persönliche Schadensersatzpflicht der Unternehmensleiter. Auch Sanktionen des Strafrechts (Geld- und Freiheitsstrafen) sowie des Rechts der Ordnungswidrigkeiten (in der Regel Geldbußen) sind gegen die Organmitglieder persönlich sowie über Zurechnungstatbestände Schadensersatzansprüche und andere Rechtsfolgen gegen die vertretenen Unternehmen vorgesehen. Hinzu kommen regulatorische Eingriffsrechte staatlicher Behörden. Gerade die Verknüpfung dieser Ebenen sowie neu eingeführte Haftungstatbestände stellen die Beteiligten vor neuartige Herausforderungen.
Exemplarisch werden diese Herausforderungen an das Risiko-Management durch die Ende 2022 verabschiedete Netz- und Informationssysteme-Richtlinie („NIS-2-RL“) des Europäischen Parlaments belegt. Diese Richtlinie präzisiert weitgehende Pflichten im Bereich der Cybersicherheit und weitet diese aus. Die Transformation der Bestimmungen in nationales Recht steht vor dem Abschluss: Das Bundeskabinett hat am 24.07.2024 den Gesetzesentwurf des BMI zur Umsetzung der NIS-2-RL („NIS-2-Umsetzungsgesetz“) beschlossen. Dieses Gesetz sieht im Wesentlichen eine Überarbeitung des BSIG („BSIG-E“) vor (vgl. hierzu bereits den Noerr Newsletter vom 23.07.2024). Im Fokus stehen insbesondere die in §§ 30 f. BSIG‑E geregelten und von den betroffenen Einrichtungen zu implementierenden Risikomanagementmaßnahmen im Bereich der IT‑Sicherheit. § 38 Abs. 1 BSIG-E adressiert unmittelbar die Geschäftsleiter des Unternehmens. Diese haben die zu ergreifenden Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen. Zur Durchsetzung der gesetzlichen Vorschriften sieht das Gesetz neben öffentlich-rechtlichen Aufsichtsmaßnahmen und Sanktionsmöglichkeiten eine zivilrechtliche Haftung der Geschäftsleiter nach § 38 Abs. 2 Satz 1 BSIG‑E vor, sollten diese ihren Pflichten nicht nachkommen. Im Folgenden werden die praxisrelevanten Auswirkungen auf die Managerhaftung (I.) sowie die Rechtspraxis allgemein (II.) näher betrachtet.
I. Auswirkungen zunehmender Regulierung auf die Managerhaftung
Die Ausweitung des Anwendungsbereichs der europarechtlichen Regelungen wirkt sich auf die gesellschaftsrechtliche Innenhaftung von Leitungsorganen (1.), auf deren deliktsrechtliche Außenhaftung und deshalb auch mittelbar auf die Gesellschaft selbst aus (2.).
1. Gesellschaftsrechtliche Innenhaftung von Geschäftsleitern
Die gesellschaftsrechtliche Innenhaftung von Geschäftsleitern, d.h. eine Schadensersatzpflicht der Geschäftsleiter gegenüber der Gesellschaft, und eine unbeschränkte Haftung mit deren Privatvermögen, ergibt sich je nach Gesellschaftsform aus § 93 Abs. 2 AktG, § 43 Abs. 2 GmbHG oder § 34 Abs. 2 GenG. Die verschärften Regulierungsbestrebungen des europäischen Gesetzgebers werfen die Frage auf, wie sich zunehmende Sondertatbestände verschiedenster Rechtsgebiete zu den allgemeinen gesellschaftsrechtlichen Bestimmungen in Deutschland verhalten. Wirft man einen Blick auf die im Bereich der Organhaftung ergangene Rechtsprechung lässt sich eine Konturierung der Verhaltensanforderungen insbesondere im Zusammenhang mit Organisations- und Überwachungsmaßnahmen feststellen. Die von der Rechtsprechung herausgearbeiteten Grundsätze erlauben dabei, situationsangemessen und flexibel Verhaltenspflichten zu bestimmen. Es ist daher zu begrüßen, dass sich der deutsche Gesetzgeber im finalen Entwurf des NIS‑2‑Umsetzungsgesetzes gegen eine eigenständige Haftungsnorm entschieden hat, sondern auf das allgemeine Gesellschaftsrecht verweist.
Die Zunahme regulatorischer Vorschriften im Bereich der Wirtschaft beschränkt die unternehmerische Handlungsfreiheit. Diese wird im Recht der Organhaftung durch die sog. Business Judgement Rule geschützt. Danach ist die Haftung eines Geschäftsleiters bei vernünftigen Entscheidungen auf Grundlage angemessener Informationen zum Wohle der Gesellschaft ausgeschlossen (§ 93 Abs. 1 Satz 2 AktG). Allerdings gilt dieses Haftungsprivileg nur innerhalb der Grenzen der sog. Legalitätspflicht, d.h. der Pflicht zur Beachtung der Rechtsordnung. Je mehr gesetzliche Vorgaben Geschäftsleiter einzuhalten und umzusetzen haben, umso mehr weitet sich deren Legalitätspflicht aus und wird der unternehmerische Handlungsspielraum eingeschränkt. Neben diese Legalitätspflicht tritt die sog. Legalitätskontrollpflicht. Danach sind Unternehmen so zu organisieren und zu beaufsichtigen, dass Gesetzesverstöße aus dem Unternehmen heraus verhindert werden.
2. Deliktsrechtliche Außenhaftung von Geschäftsleitern und Unternehmen
Die umfassenden Pflichtenkataloge werfen zudem die Frage der deliktischen Außenhaftung von Managern nach § 823 Abs. 2 BGB auf, das heißt eine Haftung nicht gegenüber dem Unternehmen, sondern gegenüber außenstehenden Dritten. Im Einzelfall ist zu entscheiden, ob die Rechtsprechung regulatorische Verhaltensanforderungen als Schutzgesetze nach § 823 Abs. 2 BGB einordnet und auf diese Weise eine deliktische Außenhaftung von Geschäftsleitern begründet. Die Annahme eines Schutzgesetzes setzt voraus, dass die jeweilige gesetzliche Vorschrift zum Schutz des Einzelnen oder einzelner Personenkreise gegen die Verletzung eines bestimmten Rechtsguts zu dienen bestimmt ist. Über die Zurechnungsnorm des § 31 BGB führt eine deliktische Haftung eines Organmitglieds unmittelbar zu einer summenmäßig unbegrenzten Schadensersatzpflicht des betroffenen Unternehmens. Auch diese Risiken sind von der Geschäftsleitung zu antizipieren und zu managen.
II. Weitere Auswirkungen auf die allgemeine Rechtspraxis
Das Beispiel der Regulierung der Cybersicherheit verdeutlicht, dass Haftungsrisiken für Geschäftsleitung sowie Unternehmen keineswegs einschichtig betrachtet werden dürfen. Die Verknüpfung öffentlich-rechtlicher, zivilrechtlicher sowie strafrechtlicher Haftungsmechanismen ist prägend für die moderne Regulatorik des europäischen Gesetzgebers. Genau dies ist nicht nur im NIS-2-Umsetzungsgesetz, sondern etwa auch im Fall des auf europäischem Recht basierenden Unternehmensstabilisierungs- und -restrukturierungsgesetzes („StaRUG“; vgl. hierzu den Noerr Newsletter vom 29.09.2020, 05.03.2021, 16.07.2021 sowie 24.03.2022) oder der jüngst verabschiedeten Corporate Sustainability Due Diligence Directive („CSDDD“; vgl. hierzu den Noerr Newsletter vom 21.03.2024, 26.04.2024 sowie 10.06.2024) zu beobachten. Diese Tendenz verdeutlicht zudem das Beispiel der andauernden Diskussion um die Frage, ob Unternehmen ihre Geschäftsleitung für gegen die Gesellschaft verhängte Bußgelder in Regress nehmen dürfen. Auch im Bereich der Cybersicherheit ist diese Frage relevant. Im Bereich der Cybersicherheit hat der Gesetzgeber nunmehr jedoch von der ursprünglich vorgesehenen Gesetzesbegründung des BSIG-E, nach welcher der Schadensersatz nach § 38 Abs. 2 BSIG‑E auch Regressforderungen sowie Bußgelder umfassen sollte, abgesehen. Insoweit verbleibt es bei der allgemeinen Gesetzeslage und Rechtsprechung hierzu.
Zu guter Letzt folgendes: Es ist nicht auszuschließen, dass die Rechtsprechung auf Grundlage neuer Sorgfaltspflichten und Verhaltensanforderungen disruptive rechtliche Entwicklungen anstoßen wird. Dies zeigt ein Blick ins Ausland: In ESG-bezogenen Streitigkeiten hat der Supreme Court des Vereinigten Königreichs in Sachen Vedanta (UK Supreme Court, Dec. 10.04.2019, UKSC 2017/0185) und Okpabi (UK Supreme Court, Dec. 23.06.2020, UKSC 2018/0068) derartige Entscheidungen bereits verkündet. In jenen Fällen klagten im Ausland ansässige Betroffene wegen behaupteter Umweltschäden bzw. Menschenrechtsverletzungen nicht nur gegen das unmittelbar schädigende ausländische Tochterunternehmen, sondern vor allem auch gegen deren britische Muttergesellschaft. Auf Grundlage englischen Rechts bejahte der Supreme Court die Möglichkeit einer Zuständigkeit englischer Gerichte und einer Durchgriffshaftung gegen die Muttergesellschaft – ein Ergebnis, das im deutschen internationalen Verfahrensrecht, Delikts- und Gesellschaftsrecht abgelehnt wird.
III. Fazit und Handlungsempfehlung
Die gesetzlichen Pflichten im Bereich der Cybersicherheit verdeutlichen die praktische Relevanz der regulatorischen Bestrebungen des europäischen Gesetzgebers für eine umfassende Verantwortung von Geschäftsleitern und Unternehmen. Sonderregelungen verschiedenster Bereiche schränken die unternehmerische Handlungsfreiheit ein und begründen neue Haftungsrisiken. Für die Praxis ergibt sich hieraus die Handlungsempfehlung, die jüngsten Maßnahmen des europäischen sowie nationalen Gesetzgebers im Blick zu behalten und Organisations- sowie Überwachungsstrukturen anzupassen, um kostspielige Sanktionierungen von Geschäftsleiter und Gesellschaft zu vermeiden.
Ausführlich zur NIS-2-RL und Managerhaftung vgl. Sieg/Bradshaw, PHi 5/2024, 156.
Weitere Tipps von uns zur Vorbereitung auf die NIS-2-RL finden Sie hier.
Mit unserem NIS2-Checker können Einrichtungen kostenlos und unverbindlich prüfen, ob sie voraussichtlich in den Anwendungsbereich der NIS-2-RL fallen werden.