Besonders kritisch wird es, wenn ein solcher Angriff die Zahlungsunfähigkeit oder Überschuldung des Unternehmens zur Folge hat. In diesen Fällen rückt die persönliche Haftung des Geschäftsführers in den Fokus. Der folgende Beitrag beleuchtet die rechtlichen Rahmenbedingungen der Geschäftsführerhaftung, typische Versäumnisse und die entlastende Wirkung einer Cyberversicherung.

1. Haftungsrahmen des Geschäftsführers nach § 43 GmbHG und § 64 GmbHG a.F. / § 15b InsO

Nach § 43 Abs. 1 GmbHG hat der Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmanns anzuwenden. Verletzt er diese Pflicht und entsteht der Gesellschaft dadurch ein Schaden, haftet er persönlich (§ 43 Abs. 2 GmbHG).

Bei Eintritt der Insolvenzreife – also Zahlungsunfähigkeit (§ 17 InsO) oder Überschuldung (§ 19 InsO) – trifft ihn zudem die Pflicht zur rechtzeitigen Insolvenzanmeldung (§ 15a InsO). Unterlässt er diese, droht ihm eine zivilrechtliche Haftung nach § 15b InsO sowie strafrechtliche Konsequenzen (§ 15a Abs. 4 InsO).

2. Cyberangriff als haftungsrelevantes Ereignis

Ein Cyberangriff kann haftungsrechtlich relevant werden, wenn:

• unzureichende technische und organisatorische Maßnahmen (TOMs) gegen IT-Risiken vorlagen (§ 91 Abs. 2 AktG analog für GmbH),

• Pflichten des Geschäftsführers zur IT-Sicherheit vernachlässigt wurden (z.B. keine Risikoanalyse, kein Notfallplan, fehlende Sicherheitsstandards wie ISO/IEC 27001),

• keine oder verspätete Reaktion auf bekannte Sicherheitslücken oder Warnungen erfolgte,

• der Geschäftsführer trotz erkennbarer Insolvenzreife nicht rechtzeitig Insolvenz anmeldet.

Ein prominentes Beispiel ist das Urteil des OLG München vom 14.01.2021 (7 U 3296/20), das die Pflicht zur Einrichtung eines funktionierenden Compliance-Systems – einschließlich IT-Sicherheit – als Teil der Sorgfaltspflichten des Geschäftsleiters bekräftigte.

3. Typische Versäumnisse mit haftungsrechtlichen Folgen

Die Geschäftsführung kann insbesondere in folgenden Konstellationen haftbar gemacht werden:

• Fehlende Prävention: Kein aktuelles Sicherheitskonzept, keine regelmäßigen Schulungen, keine Penetrationstests.

• Ignorieren von Warnsignalen: Hinweise von Mitarbeitenden oder externen IT-Dienstleistern bleiben unberücksichtigt.

• Verzögerte Reaktion: Es wird zu spät auf einen Angriff reagiert, was Schäden potenziert.

• Unvollständige Dokumentation: Mangelhafte Nachvollziehbarkeit von Entscheidungsprozessen und Sicherheitsmaßnahmen.

• Keine Insolvenzmeldung trotz Datenverlusts oder Betriebsstillstands, obwohl eine Überschuldung oder Zahlungsunfähigkeit offensichtlich ist.

4. Entlastung durch den Business Judgement Rule (§ 93 Abs. 1 Satz 2 AktG analog)

Sofern ein Geschäftsführer auf Grundlage angemessener Informationen zum Wohl der Gesellschaft gehandelt hat, ist er haftungsfrei – selbst wenn sich eine Maßnahme ex post als nachteilig herausstellt. Voraussetzung ist aber eine saubere Dokumentation und ein nachweislich fundierter Entscheidungsprozess.

5. Die Rolle der Cyberversicherung

Cyberversicherungen bieten keinen Freibrief, aber eine relevante haftungsrechtliche Entlastung:

• Finanzielle Absicherung: Übernahme von Kosten für IT-Forensik, Betriebsunterbrechung, Datenwiederherstellung oder PR-Maßnahmen.

• Risikomanagement-Anforderungen: Viele Versicherer setzen umfangreiche Sicherheitsstandards voraus (z. B. Patch-Management, Multifaktor-Authentifizierung), deren Einhaltung haftungsrechtlich entlastend wirkt.

• Incident Response Services: Schnelle externe Unterstützung kann Schäden minimieren und Organisationsverschulden vermeiden helfen.

• Dokumentation von Schutzmaßnahmen: Die Antragstellung zwingt zu einer strukturierten Auseinandersetzung mit dem Stand der IT-Sicherheit – ein klarer Vorteil bei späteren Haftungsfragen.

Dennoch: Die Cyberversicherung schützt nicht vor der persönlichen Haftung des Geschäftsführers im Fall von grober Fahrlässigkeit oder Pflichtverletzung. Sie kann jedoch entscheidend zur Risikobegrenzung beitragen – sowohl präventiv als auch reaktiv.

6. Fazit

Ein Cyberangriff kann zum Zivil- und Strafrisiko für den Geschäftsführer werden – insbesondere, wenn dieser seinen Organisations- und Überwachungspflichten nicht nachkommt. Die Pflicht zur IT-Risikoprävention ist inzwischen integraler Bestandteil der organschaftlichen Sorgfaltspflicht. Eine fundierte Cyberversicherung, flankiert von tatsächlicher Umsetzung der zugesagten Maßnahmen, kann ein wichtiges Entlastungsmoment darstellen – sie ersetzt jedoch keine ordnungsgemäße Unternehmensführung.