Verschärfte Haftung und Kündigungsrisiken für Geschäftsführer und Vorstände – Einige Hinweise zur persönlichen Absicherung
Die digitale Bedrohungslage hat die deutschen Vorstandsetagen erreicht – und diesmal ist es persönlich. Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 hat der Gesetzgeber ein neues Zeitalter der Managerhaftung eingeläutet. Cybersicherheit ist nicht mehr „nur“ ein IT-Problem, das man an den CISO (Chief Information Security Officer) delegieren kann. Sie ist eine gesetzliche Kardinalpflicht der Geschäftsleitung.
Für Sie als Geschäftsführer, Vorstand oder leitende Führungskraft bedeutet das: Ein schwerwiegender Cybervorfall bedroht nicht mehr nur die Bilanz Ihres Unternehmens, sondern direkt Ihr Privatvermögen und Ihre berufliche Existenz. In der Praxis erleben wir als Kanzlei immer häufiger, dass Compliance-Verstöße als Hebel für außerordentliche Kündigungen genutzt werden.
Dieser Beitrag zeigt Ihnen, wo die arbeitsrechtlichen und haftungsrechtlichen Fallstricke liegen und wie Sie Ihren beruflichen Alltag so gestalten, dass Sie auch im Krisenfall rechtssicher agieren.
Kurz & Knapp: Das Wichtigste für Eilige
Persönliche Haftung: § 38 BSIG statuiert eine direkte, persönliche Verantwortung der Geschäftsleitung für die Umsetzung von Sicherheitsmaßnahmen. Diese Pflicht ist nicht delegierbar.
-
Kündigungsrisiko: Verstöße gegen NIS-2-Pflichten gelten als gravierende Pflichtverletzung und können eine außerordentliche Kündigung des Dienstvertrags (ohne Abfindung) rechtfertigen.
-
Beweislastumkehr: Im Schadensfall müssen Sie beweisen, dass Sie Ihren Überwachungspflichten nachgekommen sind. Ohne lückenlose Dokumentation ist dieser Entlastungsbeweis kaum zu führen.
-
D&O-Falle: Versicherer berufen sich zunehmend auf den „Wissentlichkeitsausschluss“. Wer die gesetzlichen Pflichten kennt und Budgets kürzt, riskiert den Verlust des Versicherungsschutzes.
-
Berufsverbot: Bei gravierenden Verstößen kann das BSI Ihnen als Führungskraft die Ausübung von Leitungsaufgaben untersagen (§ 61 BSIG).
-
Strategie: Dokumentieren Sie jede Billigung von Maßnahmen und jede Schulungsteilnahme revisionssicher. „Mut zur Lücke“ ist keine Option mehr.
Welche neuen Pflichten kommen auf mich als Führungskraft zu?
Die Zeiten, in denen IT-Sicherheit als „technisches Detail“ galt, sind vorbei. Das neue BSI-Gesetz (BSIG) nimmt die Geschäftsleitung in § 38 explizit in die Pflicht. Diese Norm etabliert drei zentrale Säulen der Verantwortung, deren Missachtung direkte arbeitsrechtliche Konsequenzen haben kann.
1. Die Billigungspflicht (Approbation Duty) Sie müssen die Risikomanagementmaßnahmen (z. B. Backup-Strategien, Verschlüsselung, Notfallpläne) nicht selbst programmieren, aber Sie müssen sie formell billigen. Das bedeutet: Sie müssen sich die Konzepte erklären lassen, sie verstehen und die erforderlichen Ressourcen (Budget, Personal) freigeben.Praxis-Tipp: Ein „Abnicken“ im Flur reicht nicht. Protokollieren Sie den Beschluss zur Freigabe des IT-Sicherheitsbudgets schriftlich. Wenn Sie Budgets kürzen, dokumentieren Sie, warum das Restrisiko vertretbar ist.
2. Die Überwachungspflicht (Supervisory Duty) Vertrauen ist gut, Kontrolle ist Gesetz. Sie müssen die Umsetzung der Maßnahmen überwachen. Das Gesetz verlangt keine tägliche Kontrolle der Firewalls, aber ein funktionierendes Berichtswesen. Haftungsfalle: Wenn Ihr CISO Ihnen monatelang „grünes Licht“ meldet, obwohl in der Presse von Sicherheitslücken in Ihrer Softwarearchitektur berichtet wird, müssen Sie nachhaken. Ignoranz schützt nicht vor Haftung – sie begründet sie.
3. Die Schulungspflicht (Competence Duty) Ein Novum im deutschen Wirtschaftsrecht: § 38 Abs. 3 BSIG schreibt vor, dass jedes Mitglied der Geschäftsleitung regelmäßig an Schulungen teilnehmen muss. Ziel ist es, Risiken eigenständig bewerten zu können. Risiko: Fehlt der Schulungsnachweis, haben Sie im Haftungsprozess schlechte Karten. Ein Insolvenzverwalter oder Aufsichtsrat wird argumentieren: „Der Geschäftsführer war gar nicht qualifiziert, die Risiken zu beurteilen, und handelte daher fahrlässig.“
Warum droht mir bei einem Cyberangriff die Kündigung?
Viele Manager unterschätzen die arbeitsrechtliche Dimension von NIS-2. In der Praxis sehen wir, dass Aufsichtsräte oder Gesellschafterversammlungen Sicherheitsvorfälle nutzen, um sich von Führungskräften zu trennen – oft fristlos.
Die rechtliche Mechanik der „Kündigung aus wichtigem Grund“ Nach § 626 BGB kann ein Dienstverhältnis aus wichtigem Grund gekündigt werden, wenn dem Dienstherrn die Fortsetzung unzumutbar ist. Ein Verstoß gegen die gesetzlichen Hauptpflichten aus § 38 BSIG liefert hierfür die perfekte Munition.
-
Szenario: Ihr Unternehmen wird Opfer eines Ransomware-Angriffs. Die Forensik zeigt, dass eine Multi-Faktor-Authentifizierung (MFA) fehlte, obwohl diese nach § 30 BSIG Stand der Technik ist.
-
Der Vorwurf: Sie haben als Geschäftsführer das Budget für MFA gestrichen oder die Umsetzung nicht überwacht. Dies stellt eine grobe Pflichtverletzung dar („Organisationsverschulden“).
-
Die Konsequenz: Der Aufsichtsrat spricht die außerordentliche Kündigung aus. Da es sich um eine Pflichtverletzung handelt, entfallen oft Abfindungsansprüche, und es drohen Schadensersatzforderungen in Millionenhöhe (Innenhaftung nach § 43 GmbHG / § 93 AktG).
Das Damoklesschwert: Untersagung der Leitungsaufgaben Noch drastischer ist § 61 BSIG. Bei „besonders wichtigen Einrichtungen“ kann das BSI bei anhaltenden Verstößen beantragen, dass der Geschäftsleitung die Wahrnehmung ihrer Aufgaben vorübergehend untersagt wird. Ein solches behördliches „Berufsverbot“ macht Sie faktisch unkündbar – im negativen Sinne: Sie sind für den Arbeitsmarkt „verbrannt“.
Greift meine D&O-Versicherung im Ernstfall überhaupt noch?
Die Directors-and-Officers-Versicherung (D&O) ist der Rettungsanker vieler Manager. Doch NIS-2 bohrt Löcher in diesen Schutzschirm. Das Stichwort lautet: Wissentlichkeit.
Die „Wissentlichkeits-Falle“ D&O-Policen schließen den Versicherungsschutz bei vorsätzlicher oder wissentlicher Pflichtverletzung aus. Durch die expliziten Vorgaben des § 38 BSIG (Schulung, Billigung) wird es für Versicherer leichter, „Wissentlichkeit“ zu argumentieren.
-
Aktuelle Rechtsprechung: Der Bundesgerichtshof hat in seiner Entscheidung IV ZR 66/25 vom 19.11.2025 zwar betont, dass der Wissentlichkeitsausschluss eng auszulegen ist und die Beweislast beim Versicherer liegt.
-
Das Aber: Wenn Sie an einer NIS-2-Schulung teilgenommen haben (was Sie müssen) und dort gelernt haben, dass MFA Pflicht ist, und Sie dennoch aus Kostengründen darauf verzichten, handeln Sie nicht mehr fahrlässig. Sie handeln im Wissen um die Pflichtwidrigkeit. In diesem Fall kann der Versicherer die Deckung verweigern. Sie haften dann mit Ihrem Privatvermögen.
Regress von Bußgeldern Die Bußgelder nach NIS-2 sind massiv (bis zu 10 Mio. Euro oder 2 % des weltweiten Umsatzes). Ob ein Unternehmen dieses Bußgeld vom Geschäftsführer zurückfordern kann (Regress), ist juristisch hochumstritten. Der BGH hat diese Frage im Kartellrecht zuletzt dem EuGH vorgelegt (KZR 74/23), was zeigt, wie unsicher die Rechtslage ist. Viele Experten gehen jedoch davon aus, dass bei groben Verstößen ein Regressanspruch besteht – und genau dieser ist in den meisten D&O-Policen nicht versicherbar.
Wie organisiere ich meine Verteidigung proaktiv?
Als erfahrene Arbeitsrechtler raten wir: Warten Sie nicht auf den Ernstfall. Bauen Sie Ihre Verteidigungslinie jetzt auf („Pre-Litigation Strategy“).
1. Dokumentation als Lebensversicherung Im Prozess gilt die Beweislastumkehr (§ 93 Abs. 2 AktG analog). Siemüssen beweisen, dass Sie sorgfältig gehandelt haben.
-
Lassen Sie sich Berichte des CISO schriftlich vorlegen.
-
Dokumentieren Sie Ihre Rückfragen („Warum ist Patch XY noch nicht eingespielt?“).
-
Führen Sie Protokoll über Budgetentscheidungen. Wenn Sie ein Sicherheitsbudget ablehnen, begründen Sie schriftlich, warum (z.B. „Risikoanalyse vom 12.03. zeigt geringe Eintrittswahrscheinlichkeit“).
2. Der formale Protest (Remonstration) Wenn Sie als Geschäftsführer (z.B. in einem Konzern) Weisungen erhalten, Budgets zu kürzen, die die Sicherheit gefährden, müssen Sie schriftlich protestieren. Eine E-Mail („Ich weise darauf hin, dass diese Kürzung gegen § 30 BSIG verstoßen könnte“) kann im Kündigungsschutzprozess Ihre Position retten.
3. Schulungen wahrnehmen und abheften Besuchen Sie die geforderten Schulungen. Heften Sie die Zertifikate nicht nur in der Personalakte ab, sondern behalten Sie eine Kopie für Ihre privaten Unterlagen. Im Falle einer fristlosen Kündigung haben Sie oft keinen Zugriff mehr auf Ihre Firmen-E-Mails.
4. D&O-Check und Asset Protection Lassen Sie Ihre D&O-Police von einem Fachanwalt prüfen. Enthält sie eine „Abwehrdeckung“ auch bei Vorwurf des Vorsatzes? Gibt es Deckung für Reputationsschäden? Überlegen Sie zudem, einen Teil Ihres Privatvermögens rechtlich zulässig abzusichern (Asset Protection), bevor ein Haftungsfall eintritt.
Fazit: Agieren statt Reagieren
Die NIS-2-Richtlinie ist ein scharfes Schwert, das tief in die Rechtsposition von Führungskräften einschneidet. Die Kombination aus persönlicher Haftung, Bußgeldrisiken und der Gefahr einer außerordentlichen Kündigung erfordert ein Umdenken.
Doch Panik ist ein schlechter Ratgeber. Mit einer sauberen Governance, lückenloser Dokumentation und dem Bewusstsein für die rechtlichen Rahmenbedingungen können Sie die Risiken beherrschbar machen.
Nutzen Sie die neuen Pflichten auch als Chance: Ein Geschäftsführer, der Cybersicherheit zur Chefsache macht, schützt nicht nur sein Unternehmen, sondern positioniert sich als moderne, risikobewusste Führungskraft. Wer hier Exzellenz zeigt, hat im „War for Talent“ die besten Karten.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
