Ein Ransomware-Angriff legt den Betrieb lahm. Die IT steht still, Mandantendaten sind kompromittiert, die Datenschutzbehörde verlangt binnen 72 Stunden eine Meldung. In dieser Situation stellt sich eine Frage, die viele Geschäftsführer erst dann bemerken: Wer haftet? Die Antwort ist eindeutig: Die Geschäftsleitung. Persönlich. Und diese Haftung hat sich durch die NIS-2-Richtlinie, die DSGVO und den EU Cyber Resilience Act in den vergangenen Monaten erheblich verschärft.
Die gesellschaftsrechtliche Grundlage
Die Sorgfaltspflicht des GmbH-Geschäftsführers nach § 43 Abs. 1 GmbHG verlangt die Sorgfalt eines ordentlichen Geschäftsmannes. Für den Vorstand einer Aktiengesellschaft gilt § 93 Abs. 1 Satz 1 AktG: die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Beide Normen umfassen die Pflicht, das Unternehmen vor vorhersehbaren Schäden zu schützen.
Cyberangriffe sind vorhersehbar. Das BSI meldet jährlich steigende Angriffszahlen. Die ENISA identifizierte 2025 rund 42.595 neu offengelegte Schwachstellen. Google dokumentierte 90 aktiv ausgenutzte Zero-Day-Schwachstellen im Jahr 2025. Ein Geschäftsführer, der IT-Sicherheit als reines IT-Thema behandelt und keine angemessenen Schutzmaßnahmen veranlasst, verlässt den Bereich unternehmerischen Ermessens.
Die Beweislast ist zulasten der Geschäftsleitung verteilt. § 93 Abs. 2 Satz 2 AktG verlangt vom Vorstandsmitglied den Beweis, dass es die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat. Beim GmbH-Geschäftsführer gilt die entsprechende Beweislastverteilung nach § 43 Abs. 2 GmbHG. Wer nach einem Cyberangriff nicht nachweisen kann, dass angemessene Schutzmaßnahmen bestanden, haftet.
NIS-2: Persönliche, nicht delegierbare Haftung
Das NIS-2-Umsetzungsgesetz, das am 6. Dezember 2025 in Deutschland in Kraft getreten ist, hat die Geschäftsführerhaftung für IT-Sicherheit auf eine neue Stufe gehoben. Die zentrale Neuerung: Die Haftung der Geschäftsleitung für die Einhaltung der Risikomanagementmaßnahmen ist persönlich und nicht delegierbar. Die Geschäftsleitung kann die Umsetzung delegieren. Die Verantwortung bleibt bei ihr.
NIS-2 erfasst rund 29.500 Unternehmen in Deutschland. Die Pflichten umfassen zehn Bereiche des Risikomanagements, ein dreistufiges Meldesystem – 24 Stunden Frühwarnung, 72 Stunden Bewertung, einen Monat Abschlussbericht – und die Verpflichtung der Geschäftsleitung, an Cybersicherheitsschulungen teilzunehmen.
Die Bußgelder sind erheblich: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Aber die persönliche Haftung wiegt schwerer: Sie kann nicht an die Gesellschaft zurückübertragen werden.
DSGVO: Die Beweislastumkehr nach Art. 82 Abs. 3
Die DSGVO begründet einen eigenen Haftungsstrang. Art. 82 Abs. 1 DSGVO gibt jeder Person, die durch einen Datenschutzverstoß einen Schaden erlitten hat, einen Schadensersatzanspruch – einschließlich immaterieller Schäden. Art. 82 Abs. 3 DSGVO kehrt die Beweislast um: Nicht der Geschädigte muss die Fahrlässigkeit nachweisen. Der Verantwortliche muss beweisen, dass er für den Schaden nicht verantwortlich ist.
Für die Geschäftsleitung bedeutet das: Nach einem erfolgreichen Cyberangriff mit Datenabfluss genügt es nicht, auf den Angreifer als Ursache zu verweisen. Es muss nachgewiesen werden, dass die getroffenen Schutzmaßnahmen dem Stand der Technik entsprachen und risikoadäquat waren. Das erfordert Dokumentation – vor dem Angriff, nicht danach.
Die Bußgeldrahmen der DSGVO reichen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Der EU Cyber Resilience Act fügt ab 2027 einen weiteren Rahmen hinzu: bis zu 15 Millionen Euro oder 2,5 Prozent des Umsatzes.
Wann ein Zero-Day-Angriff haftungsbefreiend wirkt – und wann nicht
Die Regel ist: Wer eine Schwachstelle nicht kennen konnte, haftet nicht für ihre Ausnutzung. Ein reiner Zero-Day-Angriff – die Ausnutzung einer dem Hersteller unbekannten Schwachstelle – begründet für sich genommen keinen Sorgfaltsvorwurf.
Die Ausnahme ist praxisrelevanter als die Regel. Die Haftung entsteht durch die Gesamtbewertung der Sicherheitsarchitektur. Fehlende Netzwerksegmentierung, die dem Angreifer nach dem Eindringen ungehinderte Bewegung im gesamten Netzwerk ermöglicht. Mangelhaftes Monitoring, das einen Angriff erst Wochen später erkennen lässt. Unzureichende Zugriffskontrollen, die einem kompromittierten Nutzerkonto Zugriff auf alle Unternehmensdaten gewähren. Fehlende oder ungetestete Notfallpläne. Verspätete Reaktion nach Kompromittierung.
Der DLA-Piper-Fall illustriert das Muster: Der NotPetya-Angriff 2017 nutzte eine Schwachstelle, die von der NSA entdeckt und nach deren Diebstahl öffentlich geworden war. Die Verheerung bei DLA Piper resultierte aber nicht primär aus der Schwachstelle selbst, sondern aus der flachen Netzwerkstruktur, die eine unkontrollierte globale Ausbreitung ermöglichte. Der anschließende Versicherungsstreit mit Hiscox dauerte Jahre.
KI verändert das Zeitfenster
Die Ankündigung von Anthropics Claude Mythos am 7. April 2026 und die BSI-Warnung vor Umwälzungen in der Schwachstellenlandschaft verändern den Haftungsmaßstab nicht unmittelbar. Sie verändern aber den Kontext, in dem er angewandt wird.
Wenn KI-gestützte Werkzeuge Schwachstellen im industriellen Maßstab auffinden können und Sicherheitsexperten warnen, dass vergleichbare Fähigkeiten innerhalb von sechs bis zwölf Monaten auch Angreifern zur Verfügung stehen werden, verkürzt sich das verfügbare Reaktionsfenster. Der Stand der Technik verschiebt sich. Was gestern als angemessene Reaktionszeit galt, kann morgen als verspätet bewertet werden.
Für die Geschäftsleitung bedeutet das: IT-Sicherheit ist keine einmalige Investition. Sie ist ein fortlaufender Prozess, der an die sich verändernde Bedrohungslage angepasst werden muss. Die Dokumentation dieses Prozesses ist kein bürokratischer Aufwand. Sie ist der Haftungsschutz der Geschäftsleitung.
D&O-Versicherung und Cyber-Deckung
D&O-Versicherungen decken grundsätzlich die persönliche Haftung von Geschäftsführern und Vorständen. Bei Cyberangriffen kommt es auf die Ausschlussklauseln an. Viele Policen enthalten Obliegenheiten zur IT-Sicherheit. Werden diese verletzt – etwa durch Nichteinhalten von Patch-Zyklen, fehlende Sicherheitsaudits oder Verstoß gegen regulatorische Vorgaben – kann der Versicherer die Deckung verweigern.
Ergänzend zur D&O-Versicherung existieren eigenständige Cyber-Versicherungen, die Betriebsunterbrechungsschäden, Wiederherstellungskosten und Haftungsansprüche Dritter abdecken. Auch hier gelten Obliegenheiten: dokumentierte Sicherheitsmaßnahmen, regelmäßige Updates, geschulte Mitarbeiter. Der DLA-Piper/Hiscox-Versicherungsstreit zeigt, dass die Durchsetzung von Ansprüchen im Ernstfall alles andere als selbstverständlich ist.
IT-Sicherheit als Leitungsaufgabe
Die Rechtslage ist eindeutig: IT-Sicherheit ist eine nicht delegierbare Verantwortung der Geschäftsleitung. Das folgt aus § 43 GmbHG und § 93 AktG, aus der NIS-2-Umsetzung und aus der DSGVO. Die Umsetzung kann delegiert werden. Die Verantwortung nicht.
Das erfordert keine technische Expertise der Geschäftsleitung. Es erfordert die Einrichtung und Überwachung einer angemessenen Sicherheitsorganisation: klare Zuständigkeiten, regelmäßige Risikobewertungen, dokumentierte Maßnahmen, getestete Notfallpläne und die Bereitstellung ausreichender Ressourcen. Wer das nachweisen kann, hat auch nach einem erfolgreichen Angriff eine vertretbare Haftungsposition.
FAQ
1. Haftet der Geschäftsführer persönlich bei einem Cyberangriff?
Grundsätzlich ja, wenn er seine Sorgfaltspflichten verletzt hat. § 43 GmbHG und § 93 AktG verlangen die Sorgfalt eines ordentlichen Geschäftsleiters. Dazu gehört die Pflicht, das Unternehmen vor vorhersehbaren Schäden zu schützen. Cyberangriffe sind vorhersehbar. Die Beweislast liegt beim Geschäftsführer: Er muss nachweisen, dass er angemessene Maßnahmen ergriffen hat. Das NIS-2-Umsetzungsgesetz hat diese Haftung für die rund 29.500 erfassten Unternehmen noch verschärft: Die Verantwortung der Geschäftsleitung für die Einhaltung der Risikomanagementmaßnahmen ist persönlich und nicht delegierbar. Sie kann nicht an die Gesellschaft zurückübertragen werden.
2. Was bedeutet „nicht delegierbare Haftung“ bei NIS-2?
Die Geschäftsleitung kann die operative Umsetzung von IT-Sicherheitsmaßnahmen an IT-Abteilungen oder externe Dienstleister delegieren. Die Verantwortung dafür, dass angemessene Maßnahmen bestehen und wirken, bleibt bei der Geschäftsleitung. Sie kann sich nicht darauf berufen, die Aufgabe einem Dritten übertragen zu haben. Zudem verpflichtet NIS-2 die Geschäftsleitung, persönlich an Cybersicherheitsschulungen teilzunehmen. Ein Geschäftsführer, der keine Kenntnis der Bedrohungslage hat, kann nicht argumentieren, er habe die Risiken nicht einschätzen können. Die Schulungspflicht schließt dieses Argument aus.
3. Welche Bußgelder drohen bei unzureichender IT-Sicherheit?
Die Bußgeldrahmen kumulieren aus mehreren Rechtsquellen. Das NIS-2-Umsetzungsgesetz sieht bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Die DSGVO erlaubt Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes. Der EU Cyber Resilience Act, der ab Dezember 2027 gilt, fügt bis zu 15 Millionen Euro oder 2,5 Prozent hinzu. Diese Bußgelder können parallel verhängt werden, wenn verschiedene Pflichtverletzungen vorliegen. Neben den Bußgeldern stehen zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO und §§ 43, 93 GmbHG/AktG, die von der persönlichen Haftung der Geschäftsleitung nicht zu trennen sind.
4. Kann eine D&O-Versicherung die persönliche Haftung abdecken?
D&O-Versicherungen decken grundsätzlich die persönliche Haftung von Geschäftsführern und Vorständen. Bei Cyberangriffen kommt es auf die konkreten Obliegenheiten der Police an. Viele Versicherer verlangen dokumentierte IT-Sicherheitsmaßnahmen, regelmäßige Updates und die Einhaltung regulatorischer Vorgaben als Voraussetzung für die Deckung. Werden diese Obliegenheiten verletzt, kann der Versicherer die Deckung verweigern. Der Versicherungsstreit zwischen DLA Piper und Hiscox nach dem NotPetya-Angriff 2017 zeigt, dass die Durchsetzung von Ansprüchen im Ernstfall langwierig und unsicher sein kann. Eine D&O-Versicherung ersetzt nicht die tatsächliche IT-Sicherheit.
5. Wie verändert KI-gestützte Schwachstellensuche die Haftungslage?
Die Haftungsnormen ändern sich nicht. Der Maßstab, an dem sie gemessen werden, verschiebt sich. Wenn KI-gestützte Werkzeuge Schwachstellen im industriellen Maßstab auffinden und Sicherheitsexperten warnen, dass vergleichbare Fähigkeiten bald auch Angreifern zur Verfügung stehen, verkürzt sich das verfügbare Reaktionsfenster. Der Stand der Technik, an dem Art. 32 DSGVO und die NIS-2-Risikomanagementpflichten gemessen werden, steigt. Was gestern als angemessene Sicherheitsmaßnahme galt, kann morgen als unzureichend bewertet werden. Die Geschäftsleitung muss ihre Sicherheitsarchitektur fortlaufend an die sich verändernde Bedrohungslage anpassen und diese Anpassung dokumentieren.
6. Welche Schutzmaßnahmen muss ein Geschäftsführer nachweisen können?
Der Nachweis angemessener Sorgfalt erfordert keine bestimmten Produkte oder Zertifizierungen, sondern eine nachvollziehbare Sicherheitsorganisation. Dazu gehören: eine regelmäßig aktualisierte Risikobewertung, dokumentierte technische und organisatorische Maßnahmen, Netzwerksegmentierung, Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung, regelmäßig getestete Notfallpläne, aktuelle Patch-Management-Prozesse und geschulte Mitarbeiter. Entscheidend ist die Dokumentation: Im Haftungsfall muss die Geschäftsleitung beweisen, welche Maßnahmen bestanden und wie sie überwacht wurden. Retrospektive Dokumentation nach einem Angriff genügt nicht.
7. Fallen alle Unternehmen unter NIS-2?
Nein. NIS-2 erfasst Unternehmen in 18 definierten Sektoren ab einer Größe von 50 Mitarbeitern und 10 Millionen Euro Umsatz. Anwaltskanzleien sind nicht direkt in den Sektorenlisten aufgeführt. Die indirekte Betroffenheit ist jedoch erheblich: NIS-2 verpflichtet regulierte Unternehmen zur Absicherung ihrer Lieferketten. Kanzleien, die für Banken, Energieunternehmen oder Gesundheitsdienstleister tätig sind, müssen mit vertraglichen Cybersicherheitsanforderungen ihrer Mandanten rechnen. Die Haftung der Kanzlei-Geschäftsleitung nach § 43 GmbHG besteht unabhängig von NIS-2 und umfasst die Pflicht zur angemessenen IT-Sicherheit bereits nach geltendem Gesellschaftsrecht.
8. Was ist der wichtigste Schritt für die Geschäftsleitung?
Der wichtigste Schritt ist die ausdrückliche Übernahme der Verantwortung für IT-Sicherheit auf Geschäftsleitungsebene – nicht als Schlagwort, sondern als dokumentierter Prozess. Dazu gehört ein regelmäßiger Bericht an die Geschäftsleitung über den Stand der IT-Sicherheit, die Bedrohungslage und offene Risiken. Die Geschäftsleitung muss die Risikobewertung zur Kenntnis nehmen, Entscheidungen über Maßnahmen treffen und diese dokumentieren. Dieser Prozess schützt nicht vor Angriffen. Er schützt vor dem Vorwurf, die Sorgfaltspflicht verletzt zu haben. Und darauf kommt es im Haftungsfall an.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
