Cyberrisiken

Die geschäftsführenden Organe von juristischen Personen sollten sich heutzutage umfassend der aus dem digitalen Raum hervorgehenden Risiken bewusst sein. Mit dem nachfolgenden Beitrag möchten wir beispielhaft auf im Einzelfall notwendige präventive Maßnahmen der Geschäftsführung hinsichtlich Cyberrisiken eingehen. Weiterhin gehen wir anhand der Entscheidung des OLG Zweibrücken vom 18.08.2022 (Az.: 4 U 198/21) beispielhaft auf einen konkreten Fall ein, in dem sich ein Cyberrisiko verwirklicht hat und die Haftung der Geschäftsführung im Raum stand.

Grundlegend zur Haftung

Nach § 43 GmbHG müssen Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes einhalten (Parallelregelung im AktG: § 93 AktG). Dabei handelt es sich zunächst um eine weitläufige Formulierung, die allerdings bereits durch Rechtsprechung und Literatur zahlreiche Ausformungen erhalten hat.

An dieser Stelle verweisen wir auf unsere weiteren Beiträge zur Haftung von GmbH-Geschäftsführern:

Geschäftsführerhaftung

Geschäftsführerhaftung – Innenhaftung

Geschäftsführerhaftung – Aussenhaftung

Im Zuge der flächendeckenden Digitalisierung und der aus dem Cyberraum hervorgehenden Gefahren stellt sich die Frage, welche Sicherheitsvorkehrungen die Geschäftsführung bezüglich digitaler Gefahren treffen muss und welche Haftungsrisiken in diesem Zusammenhang für die Geschäftsführung bestehen.

Dieses Thema hat für die Geschäftsführung in den letzten Jahren erheblich an Dringlichkeit gewonnen, da bereits eine Vielzahl von Unternehmen in Deutschland Angriffen aus dem Cyberraum ausgesetzt war. Die Qualität und Häufigkeit dieser Angriffe wird in der Zukunft weiter ansteigen. Dadurch rückt es immer mehr in den Pflichtenkanon der Geschäftsführung, wirksame Maßnahmen gegen Cyberrisiken zu treffen, da die Verantwortung für eine sichere digitale Infrastruktur des Unternehmens unzweifelhaft der Geschäftsführung zufällt.

In welcher Art und Weise Vorkehrungen durch die Geschäftsführung getroffen werden müssen liegt dabei grundsätzlich im Ermessen der Geschäftsführung und unterscheidet sich je nach Unternehmen. Bei einem kleinen Unternehmen mit nur teilweiser Digitalisierung sind die Anforderungen geringer als bei einem größeren Unternehmen, in welchem sämtliche Prozesse digital abgewickelt werden.

Die Pflicht, solche Vorkehrungen zu treffen, betrifft grundsätzlich die gesamte Geschäftsführung. Im Falle der Zuweisung dieser Aufgabe an einen einzelnen Geschäftsführer besteht für die restliche Geschäftsführung immer noch eine Überwachungspflicht.

Vermeidung Haftungsrisiken durch präventive Maßnahmen

Die Geschäftsführung sollte zur Vermeidung von Haftungsrisiken bereits im Vorfeld verschiedene Maßnahmen zur Vermeidung und Abwehr von Cyberrisiken treffen bzw. zumindest nachvollziehbar bewerten, ob solche Maßnahmen erforderlich sind. Die nachfolgenden Maßnahmen sind lediglich beispielhaft, um aufzuzeigen, welche vielfältigen Möglichkeiten für die Geschäftsführung bestehen, um Cyberrisiken bereits im Vorfeld zu minimieren. Sämtliche der nachfolgenden Maßnahmen sollten durch die Geschäftsführung dokumentiert und regelmäßig überprüft werden, da dies im Rahmen von Haftungsfällen von entscheidender Bedeutung sein kann. Die Geschäftsführung kann Haftungsrisiken durch den Abschluss von D&O-Versicherungen (betreffen Geschäftsführung) und Cyberversicherungen (betreffen Unternehmen) weiter reduzieren.

Bedrohungslage

 Zunächst sollte die Geschäftsführung grundsätzlich bewerten, welche Bedrohungslage in Bezug auf Cyberrisiken besteht. Diese Bewertung ist von erheblicher Bedeutung, da sich daraus zum einen konkrete Maßnahmen ableiten lassen, die zur Abwehr / Vermeidung von Cyberrisiken erforderlich sind. Außerdem kann eine durchgeführte Bewertung der Bedrohungslage durch die Geschäftsführung im Rahmen einer möglichen Haftung der Geschäftsführung eine wesentliche Rolle spielen, um bereits dadurch zu belegen, dass die Geschäftsführung ihre entsprechenden Pflichten wahrgenommen hat.

Ausgangspunkt dieser Bewertung der Bedrohungslage können zum Beispiel sein:

  • Ermittlung der Daten des Unternehmens, die für das Unternehmen einen hohen Wert haben und damit für potentielle Angreifer interessant sein können. Außerdem die Ermittlung inwiefern diese Daten digital verfügbar sind und durch welche Sicherheitsmechanismen diese geschützt sind.
  • Bewertung ob und für welche Angreifer die Daten des Unternehmens bzw. das Unternehmen an sich attraktiv sind.
  • Ermittlung ob es bereits Angriffe gegen das Unternehmen gab und in welcher Form diese stattgefunden haben.
  • Ermittlung von möglichen Schwachstellen in der digitalen Infrastruktur des Unternehmens.
  • Ermittlung, welche internen Richtlinien und Sicherheitsstandards bereits bestehen.

 Diese Bewertung sollte fortlaufend überprüft und aktualisiert werden. Außerdem ist eine Dokumentation zu empfehlen, damit die Geschäftsführung die Überwachung der Bedrohungslage nachweisen kann.

 Technische Maßnahmen

 Die Geschäftsführung muss grundlegend sicherstellen, dass alle notwendigen und zumutbaren technischen Maßnahmen zur Abwehr / Verhinderung von Cyberangriffen vorgenommen wurden. Dafür können fachliche Mitarbeiter oder externe Berater eingesetzt werden.

Hinsichtlich der technischen Maßnahmen zur Abwehr von Cyberangriffen kommt Folgendes in Betracht:

  • Aktueller Virenschutz auf sämtlichen technischen Geräten. Außerdem sollten sämtliche Betriebssysteme und sonstige Software auf dem aktuellsten Stand sein.
  • Die digitale Freigabe von Unterlagen an Mitarbeiter sollte lediglich in dem Umfang erfolgen, wie es für den Mitarbeiter zur Erfüllung seiner spezifischen Aufgaben erforderlich ist.
  • Wichtige Daten sollten an getrennten Orten (offline und online) gespeichert werden (segmentiert und dupliziert).
  • Weiterhin sind selbstverständlich starke Passwörter zu verwenden. Dahingehend und hinsichtlich des Umgangs mit Passwörtern sind auch die Mitarbeiter zu sensibilisieren.

Auch die technischen Maßnahmen müssen dokumentiert, fortlaufend überprüft und gegebenenfalls aktualisiert werden.

Organisatorische Maßnahmen

Ein weiterer Baustein für die Geschäftsführung zur Abwehr / Vermeidung von Cyberrisiken sind organisatorische Maßnahmen.

Als organisatorische Maßnahmen kommen beispielsweise folgende in Betracht:

  • Implementierung klarer Verantwortlichkeitsstrukturen, durch die Verantwortlichkeiten hinsichtlich Weisungs- und Kontrollfunktionen klar festgelegt werden. Diese Strukturen müssen den Mitarbeitern bekannt sein, damit diese etwaige Verdachtsfälle o. ä. schnellstmöglich an die zuständigen Mitarbeiter melden können.
  • Es kann ein Notfallplan erarbeitet werden, der das Vorgehen im Falle eines Cyberangriffes regelt.
  • Die IT-Infrastruktur des Unternehmens sollte vollumfänglich bekannt und innerhalb eines Plans wiedergegeben werden. Dies kann im Fall eines Cyberangriffs eine schnellere Abwehr ermöglichen und verhindert, dass die vorhandene IT-Infrastruktur während eines Angriffes „erforscht“ werden muss.
  • Hinsichtlich einzelner Prozesse (z.B. Zahlungsanweisungen) kann ein Vier-Augen-Prinzip eingeführt werden, um die Wahrscheinlichkeit zu erhöhen, dass Angriffe (z.B. Phishing E-Mails) erkannt werden.

Mitarbeiterschulungen

Außerdem sollten die Mitarbeiter des Unternehmens regelmäßig hinsichtlich Cyberrisiken geschult werden. Ein Großteil der Cyberangriffe wird durch (unbedachte) Handlungen von Mitarbeitern ermöglicht. Die Information von Mitarbeitenden über Phishing und Social Engineering kann wesentlich dazu beitragen, Cyberangriffe zu verhindern und Cyberrisiken zu minimieren.

Verwirklichung Cyberrisiko – OLG Zweibrücken Urteil vom 18.08.2022 – 4 U 198/21

Auch wenn sich ein Cyberrisiko verwirklicht, ist es stets eine Frage des konkreten Sachverhalts, ob und in welchem Umfang eine Haftung der Geschäftsführung besteht.

Nachfolgend möchten wir anhand des Urteils des OLG Zweibrücken vom 18.08.2022 – 4 U 198/21 einen konkreten Fall darstellen, in dem sich ein Cyberrisiko verwirklicht hat und die Geschäftsführerin in diesem Zusammenhang auf Schadenersatz in Anspruch genommen wurde.

Nachfolgend fassen wir den wesentlichen Sachverhalt des Urteils zusammen:

Die betroffene Gesellschaft tätigte weltweit Geschäfte. Die Kommunikation mit einem Lieferanten aus Südkorea erfolgte nahezu ausschließlich über E-Mail. Dabei gab es bei dem Lieferanten aus Südkorea eine zentrale Ansprechpartnerin mit der E-Mailadresse „[…]@w[…]film.com“. Ab einem bestimmten Zeitpunkt kommunizierte ein Betrüger mit der betroffenen Gesellschaft und gab sich als der Lieferant aus Südkorea aus. Der Betrüger nutzte die E-Mailadresse „[…]@w[…]flim.com“. Ein klassischer Fall einer Phishing E-Mail. Dies blieb im konkreten Fall zunächst unbemerkt. Die Geschäftsführerin kommunizierte mehrere Monate mit dieser (falschen) E-Mailadresse und nahm mehrere Überweisungen an durch den Betrüger genannte Bankkonten vor.

Das Gericht hat zusammengefasst die folgenden rechtlichen Ausführungen vorgenommen:

Durch das Gericht war zu entscheiden, ob es für die Geschäftsführerin eine Pflichtverletzung nach § 43 Abs. 2 GmbHG darstellt, dass sie Opfer der Phishing-Attacke geworden ist.

Das Gericht hat eine Haftung der Geschäftsführerin nach § 43 Abs. 2 GmbHG abgelehnt. Dabei hat das Gericht klargestellt, dass der § 42 Abs. 2 GmbHG lediglich einschlägig sein soll, wenn die Geschäftsführung eine spezifische organschaftliche Pflicht verletzt. Zu diesen organschaftlichen Pflichten des Geschäftsführers gehören unter anderem die Legalitätspflicht (Einhaltung rechtlicher Vorgaben), Sorgfaltspflicht im engeren Sinne (Ausübung Unternehmensleitung wie ordentlicher Geschäftsführer eines vergleichbaren Unternehmens), Überwachungspflicht (Überprüfung ob andere Geschäftsführer und Mitarbeiter gesetzeskonform handeln) und Compliance-Pflicht (Gesetzesverstöße durch Schutzvorkehrungen im Vorfeld zu unterbinden).

Vorliegend hat das Gericht festgestellt, dass die Überweisungen der Geschäftsführerin auf Grund der betrügerischen E-Mails kein Verstoß gegen die Pflichten der Geschäftsführung darstellt, da typischerweise die Vornahme von Überweisungen eine Tätigkeit der Buchhaltung darstellt. Damit hat die Geschäftsführerin durch die fehlerhaften Überweisungen keine Geschäftsführertätigkeit vorgenommen bzw. Pflicht aus der Geschäftsführung verletzt, die § 43 Abs. 2 GmbHG unterfallen würde.

Ebenso hat das Gericht eine Haftung aus § 280 I BGB und § 823 BGB abgelehnt. Im Rahmen dieser Haftungstatbestände hat das Gericht eine Haftungsmilderung nach den Grundsätzen des innerbetrieblichen Schadensausgleich angenommen. Die Grundsätze des innerbetrieblichen Schadensausgleich können auch bei Pflichtverletzungen von Geschäftsführern anzuwenden sein, wenn die Pflichtverletzung der Geschäftsführung in einem Bereich auftritt, in welchem die Geschäftsführung wie jeder beliebige Dritte am Rechtsverkehr teilnimmt. Nach den Grundsätzen des innerbetrieblichen Schadensausgleich besteht keine Haftung bei leichter Fahrlässigkeit. Das Gericht hat die Überweisung der Geschäftsführerin auf Grund der betrügerischen E-Mails als leichte Fahrlässigkeit eingestuft. Diese Einstufung erfolgte, da sich die E-Mailadresse nur minimal unterschied, die Phishing E-Mails auch auf zuvor erfolgten E-Mailverkehr eingingen, die übersandten Rechnungen in den betrügerischen E-Mails plausibel und nachvollziehbar waren und der Lieferant aus Südkorea bereits vor der Phishing-Attacke eine Änderung seiner Kontoverbindung ankündigte.

Ein weiterer Grund gegen einen Schadenersatzanspruch gegenüber der Geschäftsführerin war, dass der Mitgeschäftsführer und Alleingesellschafter laufend Kenntnis von den Vorgängen hatte.

Das Gericht ging im Ergebnis davon aus, dass es sich um eine so professionelle Phishing-Attacke handelte, dass der Geschäftsführerin lediglich leichte Fahrlässigkeit vorgeworfen werden kann, wodurch ihr gegenüber kein Schadenersatzanspruch besteht.

Ergebnis

Aus dem soeben dargestellten Urteil ergibt sich, dass sich Cyberrisiken tagtäglich verwirklichen und zu großen Schäden führen können. Im Nachgang an solche Vorfälle stellt sich die Frage der Haftung und Verantwortlichkeit. Grundsätzlich sollte daher – zur Gewährleistung der Sicherheit des Unternehmens und der Haftungsreduzierung – bereits im Vorfeld darauf geachtet werden, geeignete Schutzmaßnahmen zu treffen. Bei der Umsetzung entsprechender Schutzmaßnahmen ist im Einzelfall die Konsultation von rechtlicher und technischer Expertise zu empfehlen.

Im Falle der Verwirklichung eines Cyberrisikos bestehen zahlreiche Haftungsfragen. Bei der Bewertung und Durchsetzung oder Abwehr einer möglichen Haftung empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.

 

Weiterlesen zu diesem Thema

Thematisch passend aus dem GmbH-Recht
  1. Cyberrisiken I Organhaftung der GmbH Geschäftsführung
Auf dieser Seite
Weitere Ressourcen
Diese Seite teilen

Ansprechpartner aus unserem Team

Ähnliche Beiträge

Gesellschafterwechsel in der GmbH
Gesellschafterwechsel in der GmbH
GmbH – Gesellschaft mit begrenzter Haftung
GmbH – Gesellschaft mit begrenzter Haftung

Heute ist die Wirtschaftsrechtskanzlei für ihre Mandanten erfolgreich, die durch Spezialwissen besticht. Wir sind hochspezialisierte Berater im GmbH-Recht.

Informationsanspruch des GmbH-Gesellschafters
Informationsanspruch des GmbH-Gesellschafters

Gesellschafter Informationsrecht Informationen sind Grundlage jegliches Handelns, der Kontrolle und Einflussnahme und damit ein entscheidendes Werkzeug zur Wahrnehmung der Gesellschafterrechte. [...]

Versammlungsleiter in GmbH-Gesellschafterversammlungen
Versammlungsleiter in GmbH-Gesellschafterversammlungen

Vorbemerkung zum Versammlungsleiter in der Gesellschafterversammlung einer GmbH Die Bestimmung des Versammlungsleiters in einer GmbH dient neben der Herstellung der [...]

GmbH-Geschäftsführerhaftung – Außenhaftung
GmbH-Geschäftsführerhaftung – Außenhaftung

Die Außenhaftung des Geschäftsführers beschreibt die Haftung gegenüber außenstehenden Dritten, nicht gegenüber der GmbH.

Betriebsaufspaltung bei einer GmbH
Betriebsaufspaltung bei einer GmbH

Grundlagen 1. Formen der Betriebsaufspaltung 1. Echte Betriebsaufspaltung 2. Unechte Betriebsaufspaltung 3. Kapitalistische Betriebsaufspaltung 4. Mitunternehmerische Betriebsaufspaltung 5. Umgekehrte Betriebsaufspaltung 6. Unmittelbare Betriebsaufspaltung 7. Mittelbare Betriebsaufspaltung 8. Betriebsaufspaltung über [...]