Lange Verjährungsfristen sorgen für rechtliche Unsicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Tagen eine auffällige Häufung an Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen.

Cyberattacken werfen viele Rechtsfragen auf. Zu den bislang wenig beachteten Rechtsproblemen gehört die Haftung von Vorstandsmitgliedern und Geschäftsführern eines Unternehmens, das Opfer einer Cyberattacke wurde, für die entstandenen Schäden. Der Gesamtschaden der Cyberangriffe in Deutschland wird für 2017 auf bis zu 55 Mrd. Euro geschätzt. Der Schaden beim einzelnen Unternehmen, das zum Opfer wurde, ist häufig so hoch, dass man versuchen sollte, zumindest einen Teil des Schadens ersetzt zu bekommen.

Im Bereich der Cyberkriminalität werden Täter jedoch selten erwischt. Häufig scheiden auch Ansprüche gegen Sachversicherer aus, es wurden keine Cyberpolicen abgeschlossen und Haftungsansprüche gegen andere mögliche Verantwortliche scheitern an Beweisproblemen. Damit rückt die Haftung des eigenen Managements und etwaiger D&O -Versicherer in den Fokus der Regressprüfung. Haftbar ist das Management für eigenes pflichtwidriges Tun oder Unterlassen, das kausal dafür war, dass die Cyberattacke einen solchen Schaden verursachte.

Viele unterschiedliche Pflichtverstöße sind denkbar: Es wird nicht geprüft, wie Risiken aus Cyberattacken durch Vertragsklauseln oder Versicherungslösungen verringert werden können. Das Risikomanagement befasst sich nicht ausreichend mit Cyberattacken. Mitarbeiter werden nicht über typische und aktuelle Formen von Cyberangriffen geschult. Es fehlt ein spezielles Notfallkonzept.

Fehler gibt es häufig auch beim Krisenmanagement: Die Chance, durch Betrug oder Erpressung erlangte Gelder bei Banken rechtlich oder faktisch zu arrestieren, wird nicht schnell genug ergriffen. Informationspflichten werden nicht rechtzeitig erfüllt.

Wird als Folge einer Cyberattacke bekannt, dass das Unternehmen datenschutzrechtliche Bestimmungen oder Anforderungen zur IT-Sicherheit nicht eingehalten hat, drohen überdies Geldbußen. Bei Geldbußen gegen ein Unternehmen ist umstritten, ob Vorstandsmitglieder oder Geschäftsführer für solche Zahlungen ersatzpflichtig sein können.

Für das Management sind Cyberattacken ein schwer abzuschätzendes Haftungsrisiko: Rechtsprechung und Literatur haben noch keine Standards herausgearbeitet, in welchem Umfang Vorstand und Geschäftsführung eigene, nicht delegierbare Organisations- oder Kontrollpflichten betreffend die Cyber Security haben. Diese Rechtsunsicherheit geht grundsätzlich zu Lasten der verklagten Organmitglieder. Sie müssen im Streitfall beweisen, sorgfaltsgemäß gehandelt zu haben.

Ein Problem aus Managersicht ist auch der Faktor Zeit: Da Organhaftungsansprüche erst fünf Jahre – bei Banken und börsennotierten Aktiengesellschaften sogar erst zehn Jahre – nach Schadenseintritt verjähren und da Haftungsprozesse oft weitere fünf bis zehn Jahre benötigen, werden die Gerichte mitunter erst in ein oder zwei Jahrzehnten über Klagen auf Schadenersatz für heutige Cyberattacken entscheiden. Faktisch werden den Urteilen zukünftige Vorstellungen von pflichtgemäßem Verhalten zugrunde liegen.

Umso wichtiger ist es, dass die Gesellschaftsorgane ihr Verhalten hinsichtlich Cyberrisiken zumindest an den Maßstäben ausrichten, die schon heute allgemein für sorgfaltsgemäßes Organhandeln gelten: Dazu gehören eine gründliche Befassung mit den Risiken, eine Orientierung allein am Unternehmensinteresse, eine Abwägung aller sinnvollen Handlungsalternativen, eine Dokumentation dieses Entscheidungsprozesses und ein Schutz dieser Dokumentation gegen verfrühte Vernichtung.

Quelle:

Börsen-Zeitung

Autor:

Autor Dr. Hansjörg Scheel, Corporate-Partner bei Gleiss Lutz

Unser Tipp:

Vergleichen Sie hier direkt Ihre Cyberversicherung

Kontaktieren Sie unseren Spezialisten für Firmenversicherungen und lassen Sie sich ausführlich und kompetent zu  ihrem Schutz als Manager beraten.