Schutz vor Hackerangriffen ist Geschäftsführeraufgabe
Ohne Risikoanalyse und unternehmerische Entscheidung keine Haftungsverminderung nach business-judgement-Regeln
Wer auf eine Phishing-Mail hereinfällt, handelt in der Regel auch dann fahrlässig, wenn der Angriff gut gemacht ist. Das OLG Zweibrücken hat dies vor Kurzem erneut bestätigt (Urteil vom 18. August 2022, Az.: 4 U 198/21) und bewegt sich damit auf der Linie anderer Gerichte (vgl. z. B. LG Frankfurt Urteil vom 12.04.2022 mit weiteren Nachweisen).
Geschäftsführer und Vorstände müssen zu jeder Zeit die Frage beantworten können, ob und wie sie die unternehmerische Entscheidung getroffen haben, wie mit IT-Risiken umzugehen ist. Ein absoluter Schutz vor Hacker-Angriffen von außen, DSGVO-Verstößen und sonstigen menschlichen Fehlern von Mitarbeitern usw. ist nicht möglich und nicht erforderlich. Unternehmensleitungen müssen sich dem Thema aber stellen und abwägen, inwieweit Risiken vermindert werden können und müssen.
Im Fall des OLG Zweibrücken hatte die Geschäftsführerin Glück im Unglück. Sie selbst hatte nicht erkannt, dass sich jemand unter einer E-Mail-Anschrift mit einem Buchstabendreher (…flim@...) als ein (tatsächlich existierender) Kunde (..film@….) der Gesellschaft ausgab. Das Gericht behandelte sie in der Konstellation des konkreten Einzelfalls wie eine Arbeitnehmerin. Bei lediglich leichter Fahrlässigkeit gelten für Arbeitnehmer Haftungsprivilegien. D. h., die in der Regel hohen, zuweilen sogar bestandsgefährdenden Schäden trägt das Unternehmen. Die Geschäftsführerin hatte Überweisungen auf angebliche Lieferantenkonten vorgenommen. Das Gericht legte lediglich den Haftungsmaßstab für Arbeitnehmende an, weil es die Überweisungen (1) nicht den organschaftlichen Aufgaben der Geschäftsführerin zuordnete und (2) ihren Fehler als lediglich leicht fahrlässig einordnete.
Anders wäre der Fall wohl dann ausgegangen, wenn Mitarbeitende fahrlässig gehandelt hätten und man der Geschäftsführerin hätte vorwerfen können, keine Risikovorsorge vor Cyberangriffen getroffen zu haben. Geschäftsführer müssen im Rahmen ihrer Leitungsaufgaben als Organe auf der Grundlage angemessener Informationen zum Wohle des Unternehmens die unternehmerische Entscheidung getroffen haben, wie mit IT-Gefahren umzugehen ist. Sie müssen Risiken kennen und angemessen damit umgehen. Vor allem müssen sie jederzeit nachweisen können, dass sie sich selbst oder mithilfe von Fachleuten, zum Beispiel in Form eines IT-Sicherheits-Quick-Checks, einen Überblick darüber verschafft haben:
- Wie ist die Cyber-Bedrohungslage des Unternehmens?
- Welche IT-Sicherheits-Risiken können daraus abgeleitet werden?
- Welches Verbesserungspotenzial besteht?
- Wie gehen Mitarbeiter mit IT-Sicherheitsfragen um?
- Gibt es einen Plan für den Fall, dass einmal etwas passiert?
Geschäftsführer und Vorstände, die sich nicht angemessen zu diesen und weiteren Fragen informieren, um dann zu entscheiden, ob und was zu unternehmen ist, werden sich im Schadensfall nicht entlasten können, wenn sie sich Haftungsforderungen nach § 43 Abs. 2 GmbHG oder § 93 Abs. 2 AktG ausgesetzt sehen. Erscheinen Haftungsansprüche möglich, müssen sich nachfolgende Geschäftsführer und Aufsichtsräte zum Wohle des Unternehmens und im Extremfall sogar Insolvenzverwalter damit befassen, ob sie durchgesetzt werden können und müssen.