Organhaftung nach Cyberangriffen
Cyberattacken bleiben weiterhin ein großes Risiko für die deutsche Wirtschaft. Laut einer Umfrage des Branchenverbandes Bitkom gaben 84% der deutschen Unternehmen an, im Jahre 2022 Opfer einer Cyberattacke geworden zu sein. Begünstigt wird dies durch eineunklare Aufteilung der Zuständigkeiten für Informationssicherheit sowie der fehlende Fokus auf die Cybersecurity innerhalb der Unternehmen. Das Bundesinnenministerium (BMI) hat nunmehr einen Entwurf zur Umsetzung der europäischen NIS-Richtlinie 2.0 vorgelegt, um die Netz- und Informationssicherheit zu gewährleisten. Auch Innenministerin Nancy Faeser wirbt für eine Grundgesetzänderung, durch die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Zentralstelle gegen Cyberattacken ausgestaltet werden soll.
I. Entwicklung von Zuständigkeiten im Bereich der Cybersecurity
Im Falle eines Cyberangriffs, trägt zunächst das betroffene Unternehmen die Hauptverantwortung nach außen. Allerdings kann auch den Geschäftsleitern eine Haftung drohen, wenn sie nicht ausreichend für eine Cybersecurity gesorgt haben. Häufig kommt es jedoch intern zu Unklarheiten der Zuständigkeiten, sodass dadurch eine unzureichende Cybersecurity überhaupt erst entsteht. Um das Risiko von Cyberattacken zu verringern, sollten in den Unternehmen klare Strukturen zur Aufgabenverteilung geschaffen werden. Hierbei ist es nicht ausreichend, sich auf die IT-Abteilung des Unternehmens zu verlassen, sondern es sollten Zuständigkeiten auf Führungsebene etabliert und mit Ressourcen und Fachwissen ausgestattet werden.
II. Neuer Entwurf zur Umsetzung der NIS-Richtlinie 2.0
Aufgrund der hohen Schäden und möglicher Strafverfahren, die durch einen Cyberangriff ausgelöst werden können, besteht ein großes Bedürfnis der Klärung der Strukturen der Haftungspflicht des Unternehmens und verantwortlicher Personen.
Die EU-Staaten einigten sich daher bereits 2016 für Unternehmen der kritischen Infrastruktur (kurz „KRITIS“, z.B. Banken) auf die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie). Mit der NIS-Richtlinie wurden Maßnahmen zur Gewährleistung eines gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union einheitlich definiert. Die nationalen Regelungen zum Schutz der Informationstechnik, wie etwa zum Schutz der KRITIS, aber auch zur Zusammenarbeit der Sicherheitsbehörden, findet sich im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (kurz „BSIG“).
Nunmehr wurden die Anforderungen an die KRITIS durch die NIS-Richtlinie 2.0 aus dem Jahr 2022 weiter verschärft. Im Mai 2023 hat der Gesetzgeber hierzu das Anpassungsgesetz für die europäische NIS-Richtlinie 2.0 vorgestellt, Dieses Gesetz sieht eine direkte Inanspruchnahme der Verantwortlichen vor. In § 38 BSIG-E wird den Geschäftsleitern besonders wichtiger Einrichtungen eine Überwachungspflicht auferlegt. Hiernach müssen die Geschäftsleiter Maßnahmen zur Risikobewertung billigen und deren Umsetzung überwachen. Äußerst beachtenswert ist, dass die Delegation der Billigung und Überwachung des Risikomanagements an Dritte nunmehr unzulässig ist. Zudem schreibt § 38 Abs. 2 BSIG-E vor, dass die Geschäftsleiter persönlich für den entstandenen Schaden haften, einschließlich Regress- und Bußgeldforderungen. Hiermit wird die persönliche Haftung der Geschäftsleiter für Schäden durch Verletzungen der Cybersecurity erheblich erweitert.
Sollte dieser Entwurf umgesetzt werden, könnte dies erhebliche Auswirkungen auf die Rechtsprechung haben.
III. Urteil des OLG Zweibrücken*
Zuletzt beschäftigte sich das OLG Zweibrücken mit Urteil vom 27.10.2022 (Az.: 4 U 198/21) mit der Frage nach einem Regressanspruch der Gesellschaft gegenüber ihrer Geschäftsführerin und bewertet dabei einige wichtige rechtliche Aspekte in diesem Zusammenhang teils erstmals gerichtlich. Hierbei erhielt die beklagte Geschäftsführerin der Klägerin mehrere sogenannte Phishing-Mails. In diesen E-Mails gaben sich Betrüger als Mitarbeiter eines Unternehmens aus, mit dem die Klägerin tatsächlich in Geschäftsbeziehung stand. Die E-Mail-Adresse in den Phishing-Mails war leicht abgewandelt, was die Geschäftsführerin nicht bemerkte. Sie überwies daher insgesamt 137.328,13 US-Dollar als Reaktion auf mehrere Zahlungsaufforderungen. In den E-Mail-Verkehr zwischen den Tätern und der Geschäftsführerin war auch der Alleingesellschafter und Mitgeschäftsführer einkopiert.
IV. Entscheidungsgründe
Das OLG hat entschieden, dass eine Haftung nach § 43 Abs. 2 GmbHG ausscheide, da keine organschaftliche Tätigkeit vorliege und demnach der Anwendungsbereich des § 43 GmbHG nicht eröffnet sei. Die Überweisung sei eine Aufgabe der Buchhaltung und gerade keine Pflicht der Geschäftsführung.
Das OLG wendet lediglich den Haftungsmaßstab der §§ 280 ff., 823 BGB an und überträgt die arbeitsrechtlichen Grundsätze des innerbetrieblichen Schadensausgleichs mit der Folge des Haftungsausschlusses für fahrlässiges Handeln auf Geschäftsführer.
Eine Haftung der Geschäftsführerin komme auch deshalb nicht in Betracht, weil der Alleingesellschafter und Mitgeschäftsführer in den E-Mail-Verkehr mit dem vermeintlichen Geschäftskontakt einkopiert wurde und kein Widerspruch erfolgte und somit ein informelles Einverständnis der Gesellschaft vorliege, das einem Gesellschafterbeschluss gleichkomme.
V. Fazit für die Praxis und Ausblick
Erfreulicherweise konnte das OLG Zweibrücken einige wichtige Aspekte der Organhaftung nach Cyberangriffen gerichtlich bewerten. Leider blieben hierbei aber auch wichtige Fragen über die Pflicht zur Entwicklung eines Compliance-Systems zum Schutz vor Cyberangriffen unbeantwortet. Solche Antworten wären aber insbesondere im Hinblick darauf, dass auch aufgrund des neuen Entwurfs zur Umsetzung der NIS-Richtlinie 2.0 eine direkte Inanspruchnahme des Geschäftsführers bei einer Verletzung seiner Überwachungspflicht möglich ist, angezeigt.
Außerdem ist die Anwendbarkeit des innerbetrieblichen Schadensausgleichs für nicht-organspezifische Tätigkeiten höchst umstritten und muss weiterhin in der Rechtsprechung geklärt werden. Insgesamt bleibt der Aufbau einer umfassenden Cyber-Compliance für Geschäftsleiter unverzichtbar.
*Die Autoren besprechen die Entscheidung des OLG Zweibrücken umfassend in der NJW 2023 (Heft 22) auf Seiten 1548 ff.