Wie haften Geschäftsführer nach dem NIS2-Umsetzungsgesetz?

Wie haften Geschäftsführer nach dem NIS2-Umsetzungsgesetz?
Photo by Grianghraf / Unsplash
  • Häufig wird behauptet, dass die Geschäftsführung nach dem NIS2-Umsetzungsgesetz erstmals persönlich für IT-Sicherheitsverstöße haftet
  • Diese Behauptung ist falsch, denn schon heute kann die Geschäftsführung persönlich bei IT-Sicherheitsverstößen haften
  • Durch das NIS2-Umsetzungsgesetz ändert sich nichts (grundlegendes) an der Haftung der Geschäftsführung

Kaum ein Post auf LinkedIn zum NIS2-Umsetzungsgesetz kommt ohne den Hinweis aus, dass zukünftig die Geschäftsführung in Millionenhöhe persönlich haftet. Hierfür steht exemplarisch der folgende Post (ich hätte auch einen beliebigen anderen hierfür wählen können):

Mich hinterlassen diese Posts immer ein wenig ratlos. Denn in Wirklichkeit wird sich durch das NIS2-Umsetzungsgesetz im Bereich der Geschäftsführerhaftung nicht viel ändern im Vergleich zur jetzigen Rechtslage. Warum dies so ist und was sich genau ändern wird, ist Inhalt dieses Blogbeitrags.

I. Was ist mit Haftung eigentlich gemeint?

Zunächst muss man sich allerdings die Frage stellen, was überhaupt mit Haftung gemeint ist, denn der Begriff der Haftung ist sehr mehrdeutig.

In der Diskussion über die Geschäftsführerhaftung im Bereich des NIS2-Umsetzungsgesetzes geht es allerdings meist nur um die Frage, ob die Geschäftsführung bei einem Fehlverhalten Geld aus ihrem persönlichen Vermögen zahlen muss. Somit konzentriert sich die Diskussion aus meiner Sicht auf zwei Aspekte: Zum einen geht es um zivilrechtliche Schadensersatzansprüche von privater Seite gegenüber der Geschäftsführung. Zum anderen geht es um mögliche Bußgelder, die von einer staatlichen Behörde gegenüber der Geschäftsführung verhängt werden.

Im Bereich der zivilrechtlichen Schadensersatzansprüche (auch Haftungsansprüche genannt), kann man zwischen der sogenannten Innen- und Außenhaftung unterscheiden. Im Rahmen der Innenhaftung geht es um die Haftungsverhältnisse innerhalb des Unternehmens, also eine möglichen Haftung der Geschäftsführung gegenüber der eigenen Gesellschaft. Im Rahmen der Außenhaftung geht es um die Frage der Haftung der Geschäftsführung gegenüber Personen außerhalb des eigenen Unternehmens, also beispielsweise gegenüber geschädigten Kunden des Unternehmens oder sonstigen Dritte. Dieser Blog-Beitrag wird auf auf die zivilrechtliche Innenhaftung beschränkt. Denn, wie später gezeigt wird, das NIS2-Umsetzungsgesetz trifft nur zu dieser Form der zivilrechtlichen Haftung überhaupt eine Aussage.

Die Haftung der Geschäftsführung gegenüber seiner Gesellschaft hängt zudem davon ab, welche Gesellschaftsform die Gesellschaft hat. Es geht also um die Frage, ob es sich um eine Personengesellschaft (zum Beispiel OHG oder KG), um eine Kapitalgesellschaft (zum Beispiel GmbH oder AG) oder um eine andere Gesellschaftsform (z.B. Regie- und Eigenbetriebe) handelt. Dieser Blogbeitrag betrachtet nur die Haftung des GmbH-Geschäftsführers. Gleichwohl sind die Aussagen im Grundsatz auch auf die restlichen Gesellschaftsformen übertragbar, weil es sich um allgemeine gültige Aussagen handelt.

💡
Dieser Blogbeitrag betrachtet also nur die zivilrechtliche Innenhaftung des GmbH-Geschäftsführers gegenüber der eigenen Gesellschaft. Das Thema der staatlichen Bußgelder wird nur gestriffen.

Der Blogbeitrag wird zunächst die allgemeinen und bereits jetzt geltenden Haftungsregeln für die Innenhaftung des GmbH-Geschäftsführers gegenüber der eigenen Gesellschaft beschreiben (II.). Dies beschreibt gleichzeitig auch den aktuellen Stand der Haftung im Bereich der IT-Sicherheit, denn das BSIG enthält bisher kein eigenen Haftungsregeln. Im Anschluss (III.) werden die Änderungen beschrieben, die sich aus dem NIS2-Umsetzungsgesetz ergeben. Es folgt eine kurze Betrachtung möglicher Bußgelder (IV.) bevor ein Fazit (V.) gezogen wird.

person writing on brown wooden table near white ceramic mug
Photo by Unseen Studio / Unsplash

II. Grundlagen der Geschäftsführer-Haftung in der GmbH

Grundlage der Geschäftsführer-Haftung innerhalb der GmbH ist § 43 Abs. 2 GmbHG. Dieser lautet wie folgt:

(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.

Folgende Tatbestandsvoraussetzungen lassen sich hieraus ableiten:1

  1. Pflichtverletzung der Geschäftsführer
  2. Verschulden
  3. Schaden
  4. Kausalität zwischen schuldhafter Pflichtverletzung und dem Schaden
  5. Haftungsbegrenzungen

Konzentriert wird sich im Folgenden auf Fragen der Pflichtverletzungen, des Schadens und der möglichen Haftungsbegrenzungen.

Geschäftsführerpflichten im Bereich der IT-Sicherheit

Welche Pflichten hat die Geschäftsführung? Üblicherweise wird festgestellt, dass die Geschäftsführung sowohl Sorgfalts- als auch Treuepflichten treffen.2 Klammert man die Treuepflichten aus und setzt einen speziellen Bezug zur IT-Sicherheit, so lassen sich aus der Sorgfaltspflicht die folgenden Pflichten ableiten:3

  • Legalitätspflicht: Pflicht zur Einhaltung von zwingenden gesetzlichen Vorgaben.
  • Sorgfaltspflichten im engeren Sinn: Pflicht zur Anwendung der Sorgfalt eines ordentlichen Geschäftsführers in der konkreten Situation unter Berücksichtigung unternehmerischen Ermessens.
  • Überwachungspflicht: Pflicht zur Überwachung der übrigen Geschäftsführer wie auch nachgeordneter Hierarchie bei horizontaler und vertikaler Delegation.
  • Compliance-Pflicht: Pflicht Gesetzesverstöße von Unternehmensangehörigen durch geeignete und zumutbare Schutzvorkehrungen zu verhindern.

Aus der Legalitätspflicht folgt, dass insbesondere die gesetzlichen Vorschriften zum Schutz der IT-Sicherheit eingehalten und durch entsprechende Compliance-Maßnahmen abgesichert werden. Dies bedeutet, dass die Pflichten aus dem IT-Sicherheitsrecht (also insbesondere aus dem BSIG, dem TKG und dem EnWG) Pflichten im Sinne des § 43 Abs. 2 GmbHG sind, deren Verletzung zu einer Haftung der Geschäftsführung führen können. Die Verantwortung zur Einhaltung dieser Pflichten sind im Grundsatz unstreitig der Geschäftsführung zugeordnet.

Selbst wenn keine spezifischen Pflichten aus dem IT-Sicherheitsrecht (insbesondere dem BSIG) einschlägig sind, weil die eigene Gesellschaft keine kritische Infrastruktur betreibt, so müssen gleichwohl angemessene Maßnahmen für die IT-Sicherheit umgesetzt werden. Dies wurde aus den Sorgfaltspflichten im engeren Sinn und der gesellschaftsrechtlich gebotene Etablierung von Maßnahmen zum angemessenen Risikomanagement (vgl. §§ 91 Abs. 2, 93 Abs. 1 AktG; § 43 GmbHG) abgeleitet. Solche Maßnahmen auf der Grundlage allgemeiner Sorgfaltspflichten der Unternehmensleitung gehen auch über eine Compliance i.e.S. zum Zwecke rechtstreuen Verhaltens hinaus. Die Umsetzung in konkrete Entscheidungen und Prozesse zur Gewährleistung hinreichender IT-Sicherheit, sowie das entsprechende Risikomanagement i.w.S. sind Aufgabe der Geschäftsführung. Es wurde jedoch bisher nicht angenommen, dass aus dieser allgemeinen Pflicht automatisch die Pflicht zur Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach BSI-Grundschutz oder ISO 27001 folgt. Vielmehr liegt eine solche Einführung im Ermessen der Geschäftsführung unter Beachtung der Business Judgment Rule.

Adressat der Geschäftsführerpflichten

Besteht die Geschäftsführung aus mehr als einem Geschäftsführer stellt sich die Frage, wen die zuvor dargelegten Pflichten im Bereich der IT-Sicherheit treffen. Allgemein gilt dabei, dass alle Geschäftsführer zusammen die Geschäftsleitung als Gesamtaufgabe mit Gesamtverantwortung wahrnehmen. Jeden einzelnen trifft die Verantwortung der Geschäftsleitung im Ganzen, sodass im Grundsatz auch die Pflichten im Bereich der IT-Sicherheit jeden Geschäftsführer selbst und alle gemeinsam treffen.4

Horizontale Delegation auf einzelne Mitglieder der Geschäftsführung

Der Grundsatz der Gesamtverantwortung wird allerdings in der Praxis regelmäßig dadurch durchbrochen, dass jedem Mitglied der Geschäftsführung ein Ressort zugewiesen wird. Das Gesellschaftsrecht lässt im Interesse der Effektivität der Geschäftsführung eine solche Geschäftsverteilung zu. Dies gilt auch für das Ressort der IT-Sicherheit. Auch hierfür ist es möglich einer einzelnen Person der Geschäftsleitung eben dieses Ressort zuzuweisen. Diese Person trägt dann die volle Verantwortung für das ihm so zugewiesene Ressort.

Diese interne Aufgabenverteilung führt allerdings nicht zur Aufhebung des Grundsatzes der Gesamtverantwortung für die IT-Sicherheit der Geschäftsführung. Bei der Zuteilung von Ressortverantwortlichkeiten ändert sich lediglich die konkrete Pflicht der Geschäftsleitungsmitglieder im Hinblick auf die anderen Ressorts. Die ressortfremden Mitglieder der Geschäftsführer sind nicht länger zur Vornahme von konkreten Geschäftsführungsmaßnahmen im Bereich der IT-Sicherheit verpflichtet. Vielmehr besteht ihre Pflicht nunmehr darin, den ressortverantwortlichen Geschäftsführer für die IT-Sicherheit zu überwachen.

Der konkrete Umfang der Überwachungspflicht ist hierbei einzelfallabhängig. Die Überwachung kann z.B. darüber erfolgen, dass sich die restlichen Geschäftsführungsmitglieder über Reportings über die Tätigkeit des IT-Ressortverantwortlichen informieren lassen. Die Überwachungspflicht intensiviert sich dabei in Krisensituationen wie bei einem IT-Sicherheitsvorfall. Bestehen Anhaltspunkte, dass der Geschäftsführer mit dem Ressort der IT-Sicherheit seine Pflichten nicht ordnungsgemäß wahrnimmt, so besteht für die anderen Geschäftsführer eine Pflicht zum eingreifen.5

Vertikale Delegation an Dritte außerhalb der Geschäftsführung

Der ressortverantwortliche Geschäftsführer für die IT-Sicherheit kann seinerseits die Umsetzung der IT-Sicherheitspflichten an Mitarbeiter oder Dritte delegieren. Es handelt sich hierbei um eine vertikale Delegation, die durch Vertrag oder im Rahmen von vertraglichen (arbeitsrechtlichen) Weisungen erfolgt. Ein typischer Fall ist, dass die Umsetzung der Maßnahmen zur Erreichung der IT-Sicherheitspflichten an den IT-Sicherheitsbeauftragten des Unternehmens (intern oder extern) delegiert werden.

Durch die vertikale Delegation wandeln sich die Pflichten des ressortverantwortlichen Geschäftsführers. Er ist einerseits zur sorgfältigen Auswahl dessen verpflichtet, an den er seine Aufgaben delegiert. Andererseits ist er zur sorgfältigen Aufsicht des so ausgewählten Dritten verpflichtet. Möchte sich der Geschäftsführer im Falle einer Pflichtverletzung durch den Dritten entlasten, muss er den Nachweis einer sorgfältigen Auswahl, Instruktion und laufenden Überwachung erbringen, nicht jedoch den Nachweis über die Erfüllung der IT-Sicherheitspflicht selbst. Die Erfüllt der IT-Sicherheitspflichten, muss der entsprechende Dritte erbringen um sich selbst zu entlasten.6

Ersatzfähiger Schaden

Eine zivilrechtliche Haftung in Form eines Schadensersatzes kommt nur in Betracht, wenn dem Unternehmen ein kausaler und ersatzfähiger Schaden durch die Pflichtverletzung des Geschäftsführers entstanden ist. Blendet man die Schwierigkeit des Nachweises der Kausalität zwischen Pflichtverletzung und einem möglichen Schaden aus, so lohnt es sich über die Ersatzfähigkeit des Schadens Gedanken zu machen.

Wenig problematisch ist die Ersatzfähigkeit, wenn z.B. die gesamte IT eines Unternehmens auf Grund eines Cybersicherheitsvorfalls ausgetauscht werden muss. Hier liegt im Grundsatz ein ersatzfähiger Schaden vor.

Weniger eindeutig ist dies, falls auf Grund eines Cybersicherheitsvorfalls das BSI ein Bußgeld gegen das Unternehmen verhängt. Ob das Unternehmen seinen Geschäftsführer für dieses Bußgeld in Regress nehmen kann, ist bisher nicht entschieden. In der juristischen Literatur7 existieren hierzu verschiedene Auffassung, weshalb ein gewisses Regressrisiko für den Geschäftsführer besteht. Unten im Blogbeitrag (IV.) wird näher auf mögliche Bußgelder eingegangen.

Haftungsbegrenzungen

Zumindest in der GmbH besteht die Möglichkeit in der Satzung oder im Anstellungsvertrag des Geschäftsführers die Haftung für mögliche Schäden zu begrenzen. Im Raum steht beispielswiese, eine Reduzierung des Verschuldensmaßstabs auf grobe Fahrlässigkeit oder vorsätzliches Handeln. Teilweise werden auch verkürzte Verjährungsfristen vereinbart.

Das GmbhG kennt kaum gesetzliche Einschränkungen für den Verzicht auf oder den Vergleich über Schadensansprüchen der Gesellschaft gegen ihre Geschäftsführer. Daher sind sowohl Verzicht als auch Vergleich im Grundsatz zulässig.8

D&O-Versicherungen

Die zivilrechtlichen Schadenersatzansprüche lassen die Geschäftsführung bereits jetzt mit seinem persönlichen Vermögen haften. Um dieses Haftungsrisiko der Geschäftsführung zu beschränken, werden regelmäßig D&O-Versicherungen ("Directors and Officers"-Versicherunen) abgeschlossen. Hierbei handelt es sich um eine (gesellschaftsfinanzierte) Haftpflichtversicherung. Sie ermöglicht den versicherungsrechtlichen Schutz der Geschäftsführer vor Haftungsrisiken im Innen- wie Außeverhältnis des Unternehmens.9

grayscale photo of two Volkswagen cars parked on sidewalk
Photo by Nikola Johnny Mirkovic / Unsplash

III. Geschäftsführerhaftung nach dem NIS2-Umsetzungsgesetz

Nachdem zuvor die allgemeine Haftung der Geschäftsführung in der GmbH beschrieben wurde, wird jetzt die Haftung der Geschäftsführung nach dem NIS2-Umsetzungsgesetz betrachtet. Wenn und soweit das NIS2-Umsetzungsgesetz nicht eindeutig eine andere Regelung zur Geschäftsführerhaftung festlegt, so bleibt es bei den zuvor dargestellten allgemeinen Haftungsregeln.

Maßgebliche Norm der Geschäftsführerhaftung im NIS2-Umsetzungsgesetz ist § 38 BSIG.

Geschäftsführerhaftung nach § 38 BSIG

Enthält § 38 Abs. 2 BSIG überhaupt eine Haftungsgrundlage für die GmbH-Geschäftsführung?

Zunächst muss man jedoch die auf den ersten Blick etwas überraschende Frage stellen, ob § 38 BSIG überhaupt eine Anspruchsgrundlage für die Haftung der GmbH-Geschäftsführung enthält. Ins Auge springt hierbei § 38 Abs. 2 BSIG, denn nur dort wird die Haftung der Geschäftsführung angesprochen. § 38 Abs. 1 und Abs. 3 stellen lediglich spezielle Pflichten für die Geschäftsführung auf (siehe hierzu weiter unten).

Zunächst lässt sich feststellen, dass nur die zivilrechtliche Innenhaftung der Geschäftsführung gegenüber der eigenen Gesellschaft angesprochen wird. § 38 Abs. 2 S. 1 BSIG spricht von der Haftung gegenüber ihrer Einrichtung (also der GmbH) und die Gesetzesbegründung (S. 169) führt aus:

"[...] Die Binnenhaftung des Geschäftsleitungsorgans bei Verletzung von Pflichten nach dem BSI-Gesetz ergibt sich grundsätzlich aus den allgemeinen Grundsätzen (bspw. § 93 AktG). Für solche Rechtsformen, für die nach den anwendbaren gesellschaftsrechtlichen Bestimmungen keine solche Binnenhaftung besteht, sieht die Vorschrift einen Auffangtatbestand vor. [...]"

Weiter lässt sich feststellen, dass es sich lediglich um einen Auffangtatbestand handelt: Nach § 38 Abs. 2 S. 2 BSIG soll eine Haftung nur eintreten, falls die maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregeln nach § 38 Abs. 2 S. 1 BSIG enthalten. Wie oben dargestellt, existiert für GmbHs mit § 43 Abs. 2 GmbhG bereits eine Haftungsregel. Zumindest für GmbHs ist maßgebliche Haftungsgrundlage somit weiterhin § 43 Abs. 2 GmbhG und nicht § 38 Abs. 2 BSIG.

Folgen der Auffangnorm des § 38 Abs. 2 BSIG

Weiter kann man sich darüber streiten, ob § 38 Abs. 2 BSIG überhaupt eine Auffangnorm für die Geschäftsführungshaftung darstellt.

Dies wird zwar in der Gesetzesbegründung so beschrieben. Nach § 38 Abs. 2 S. 1 BSIG haftet die Geschäftsleitung bei Verletzung der Pflichten nach § 38 Abs. 1 BSIG allerdings "nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts". Es wird also in § 38 Abs. 2 S. 1 BSIG gerade keine eigenständige Haftungsgrundlage beschrieben, sondern auf die Regeln des Gesellschaftsrechts (also z.B. § 43 Abs. 2 GmbhG) verwiesen. Ggf. soll aber auch § 38 Abs. 2 S. 2 BSIG selbst die Haftungsgrundlage sein, ohne deren Voraussetzungen für eine Haftung weiter auszuformulieren.

Entscheidend ist dies alles aber nicht. Schon bisher sind mir keine Haftungslücken in Bezug auf die Geschäftsführerhaftung für andere Gesellschaftsformen bekannt. Sollte man in § 38 Abs. 2 BSIG eine eigene Haftungsgrundlage erkennen, so werden sich dessen Haftungsvoraussetzungen nicht grundlegend von der Haftungsgrundlage in § 43 Abs. 2 GmbH unterscheiden.

Wen treffen die speziellen Geschäftsführerpflichten nach nach § 38 Abs. 1, 3 BSIG?

Um zu belegen, dass die Haftung der Geschäftsführung nach dem NIS2-Umsetzungsgesetz deutlich strenger wird als bisher, wird meist § 38 Abs. 1 BSIG herangezogen. Schaut man nüchtern auf die Norm, so stellt man fest, dass § 38 Abs. 1 BSIG im Ergebnis nichts an den schon bisher geltenden Pflichten der Geschäftsführung ändert.

§ 38 Abs. 1 BSIG lautet wie folgt:

"(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen."

Die dazugehörige Gesetzesbegründung lautet wie folgt (S.168):

"Absatz 1 dient der Umsetzung von Artikel 20 Absatz 1 der NIS-2-Richtlinie und der dort vorgesehenen Pflichten der organschaftlichen Geschäftsleitungen. Nach dieser Verpflichtung haben die Geschäftsleitungen die konkret zu ergreifenden Maßnahmen zunächst als für geeignet zu billigen und deren Umsetzung kontinuierlich zu überwachen. Auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich. [...]."

Zunächst werden die nachfolgenden Pflichten den Geschäftsleitungen zugeordnet (so auch in § 38 Abs. 3 BSIG). Definiert wird der Begriff der Geschäftsleitung in § 2 Nr. 13 BSIG:

„13. Geschäftsleitung“ eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist; [...]"

Wie oben dargelegt ist die Geschäftsführung (und somit auch die Einhaltung der Pflichten der IT-Sicherheit) als Gesamtaufgabe mit Gesamtverantwortung wahrzunehmen. Auch wenn im BSIG die Geschäftsleitung etwas unglücklich als "eine natürliche Person" definiert wird, ändert dies nichts an der der Gesamtverantwortung der Geschäftsführung. Das BSIG stellt nämlich in den maßgeblichen Normen des § 38 auf die Mehrzahl der Geschäftsleitungen und somit auf die gesamte Geschäftsführung ab. Im Grundsatz treffen die Einhaltung der Pflichten nach § 30 BSIG somit alle Geschäftsführer in Gesamtverantwortung.

Inhalt und Auswirkungen der speziellen Geschäftsführungspflichten nach § 38 Abs. 1, 3 BSIG

Welche Pflichten treffen nun also die Geschäftsführung? Nach § 38 Abs. 1 BSIG müssen sie zunächst die Risikomanagementmaßnahmen nach § 30 BSIG umsetzen und ihre Umsetzung überwachen.

Mit dieser Formulierung wird aus meiner Sicht eine Selbstverständlichkeit beschrieben, die auch schon bisher gilt. Im Rahmen der Sorgfaltspflichten (und hiervon abgeleitet aus der Legalitätspflicht) sind die zwingenden gesetzlichen Vorgaben (hier also § 30 BSIG) durch die Geschäftsführung einzuhalten. Ich erkenne keine Änderung zur bisherigen Rechtslage, auch wenn der Begriff "umsetzen" gewählt wird (sehr lesenswert und sehr ähnlich zur Fassung vom 07.05.2024 auch die Stellungnahme des Deutschen Anwaltsvereins).

Juristische Begründung

Alleine aus dem Umstand, dass die Gesetzesbegründung davon spricht, die konkret zu ergreifenden Maßnahmen zu billigen ergibt sich ebenfalls nichts anderes. Das dort das Wort "billigen" gewählt wird, lässt sich auf Art. 20 Abs. 1 S. 1 der NIS2-Richtlinie zurückführen. Alleine aus dem nicht aus der NIS2-Richtlinie stammenden Wort "konkret" ableiten zu wollen, dass jede einzelne Maßnahme durch die Geschäftsführung bewertet werden muss, führt zu weit. Der Gesetzgeber hat wiederholt betont, dass er im Grundsatz eine 1:1 Umsetzung der NIS2-Richtlinie anstrebt und hätte eine verschobene Pflichtentiefe und Umsetzungstiefe durch die Geschäftsführung sicherlich explizit beschrieben, wenn dies ausnahmsweise gewollt sein sollte. Auch würde eine solche Auslegung nicht dem Ziel des Gesetzes gerecht werden, das IT-Sicherheitsniveau zu erhöhen. Über das NIS2-Umsetzungsgesetz werden bereits die Anzahl der umzusetzenden Maßnahmen deutlich erhöht und auch auf deutlich kleinere Unternehmen ausgeweitet. Darüber hinaus auch noch die tiefere Beschäftigung der Geschäftsführung mit jeder einzelnen Maßnahme zur Erfüllung der Pflichten zu erzwingen wäre kontraproduktiv, weil sie die Geschäftsführung (zeitlich) überfordern würde. Es bleibt also dabei, dass die Geschäftsführung durch das NIS2-Umsetzungsgesetz auch zukünftig nicht selbst jede einzelne Einstellung an der Firewall billigen muss. Dies wurde teilweise in der Diskussion suggeriert. Bei den wirklich wichtigen Entscheidungen in Bezug auf die IT-Sicherheit muss selbstverständlich weiterhin auch die Geschäftsführung genauer hingucken und ggf. auch ausdrücklich seine Zustimmung geben.

Nicht verschwiegen werden soll jedoch, dass es in der juristischen Literatur wohl auch bereits eine andere Auffassung gibt.8a Danach soll eine Pflicht bestehen zur ausdrückliche Zustimmung. Die konkrete Ausgestaltung und Umsetzung des Cybersicherheitsmanagements erfordere danach eine ausdrückliche Zustimmung der Leitungsorgane. Gestützt wird dies darauf, dass in Erwägungsgrund 137 in diesem Zusammenhang das Wort "genehmigen" genutzt wird. Mir ist allerdings die Konsequenz dieser Auffassung nicht ganz klar. Soll damit eine ausdrückliche Zustimmung der Geschäftsführung zu jeder Einstellung in der Firewall zur Pflicht werden? Oder soll dies nur für die wirklich wichtigen Maßnahmen im Bereich der IT-Sicherheit, wie beispielsweise den Aufbau eines Cybersicherheitsmanagements in Form eines ISMS oder ähnlichen gelten? Sollte letzteres gemeint sein, so stimme ich dem zu. Ich würde jedoch behaupten, dass die Abstufung der Pflichtentiefe sich bereits aus den allgemeinen gesellschaftsrechtlichen Regeln ergibt und nichts spezifisch neues der NIS2-Richtlinie ist.

Das die Umsetzung zu "überwachen" ist, ergibt sich ebenfalls bereits aus der oben beschriebenen Überwachungspflicht bzw. der Compliance-Pflicht und ist lediglich eine Wiederholung der allgemeinen Regeln.

Fasst man die etwas komplizierten Erwägungen zusammen so gilt: § 38 Abs. 1 BSIG statuiert nichts Neues im Vergleich zu § 43 Abs. 2 GmbH.

Juristische Spitzfindigkeiten zu § 38 Abs. 1 BSIG

Eigentlich ist § 38 Abs. 1 BSIG sogar eher schädlich als gewinnbringend. Man könnte spitzfindig fragen, ob die sonstigen Pflichten aus dem BSIG (z.B. die Melde- und Registrierungspflichten in §§ 32, 33 BSIG oder Anzeigepflicht für kritische Komponenten in § 41 BSIG) denn nicht von der Geschäftsführung umgesetzt werden müssen? Dieses Ergebnis wäre natürlich absurd und ist auch nicht der Fall. Denn es würde die Legalitätspflicht der Geschäftsführung greifen.

Die eigentlich einzige Änderung der Pflichten der Geschäftsführung findet sich in § 38 Abs. 3 BSIG. Denn dieser schreibt verbindlich die regelmäßige Teilnahme an Schulungen vor, um ausreichend Kenntnisse im Bereich der Cybersicherheit aufzubauen. Laut Gesetzesbegründung (S. 169) bedeutet "regelmäßig" alle drei Jahre. Auch wenn man schon bisher vertreten konnte, dass die Geschäftsleitung rudimentäre Kenntnisse im Bereich der IT-Sicherheit haben muss (siehe hier), so wird jetzt erstmals eine harte Pflicht festgeschrieben.

Auswirkungen auf die horizontale und vertikale Delegation

Besonders häufig heißt es, dass zukünftig eine Delegation der Pflichten nicht mehr zulässig sei. Woher diese Annahme kommt, ist schwer nachzuvollziehen. Ggf. liegt dies daran, dass in der Fassung des Gesetztes vom 03.07.2023 davon die Rede war, dass "die Beauftragung eines Dritten zur Erfüllung der Verpflichtungen" nicht zulässig sei. Dieser Satz findet sich (aus gutem Grund) nicht mehr im Regierungsentwurf.

Der Wortlaut von § 38 Abs. 1 BSIG in Form des Regierungsentwurfs spricht im Gegenteil dafür, dass eine Delegation möglich ist. Wieso sollte eine Überwachung der Umsetzung erfolgen müssen, wenn die Geschäftsführung doch selbst die Maßnahmen gemeinsam umsetzten muss? Gleiches gilt, wenn man an den Begriff des "billigen" der Gesetzesbegründung bzw. der NIS2-Richtlinie anknüpft. Ferner spricht die Gesetzesbegründung vom Einschalten einer Hilfsperson, was sehr deutlich für die Zulässigkeit sowohl einer horizontalen als auch einer vertikalen Delegation spricht. Das die Gesetzesbegründung feststellt, dass die Letztverantwortung beim Leitungsorgan verbleibt, ist ebenfalls eine Selbstverständlichkeit. Es kann deshalb vollumfänglich nach oben auf die allgemeinen Ausführungen zur Delegation innerhalb der GmbH verwiesen werden. Eine Delegation bleibt unter den dort dargelegten allgemeinen Grundsätzen möglich.

Eine Ausnahme bei der Möglichkeit der Delegation sehe ich zumindest teilweise bei der Pflicht zur Teilnahme an den Cybersicherheitsschulungen nach § 38 Abs. 3 BSIG. Ich gehe davon aus, dass diese Pflicht weder horizontal noch vertikal komplett "wegdelegiert" werden kann. Auch für die Auswahl und Überwachung von anderen Personen in Bezug auf die Cybersicherheit sind entsprechende Kenntnisse nötig, die gerade durch die Schulung vermittelt werden sollen. Ggf. müssen aber die Schulungen für die Geschäftsführung nicht so in die Tiefe gehen, wie dies z.B. für die Schulungen bzw. Fortbildungen für den IT-Sicherheitsbeauftragten gilt.9a Dies kann man aber wohl auch anders sehen und zumindest die Zulässigkeit einer horizontalen Delegation bejahen (so z.B. der Deutsche Anwaltsverein in seiner Stellungnahme).

Auswirkungen auf den ersatzfähiger Schaden

Keine Änderungen ergeben sich beim ersatzfähigen Schaden. Weiterhin ist unklar, ob tatsächlich Bußgelder gegen das Unternehmen von der Geschäftsführung im Rahmen des Innenregress zurückgefordert werden können.9b Zu den Bußgeldern siehe sogleich unter IV.

Auswirkungen auf die Haftungsbegrenzungen

In den Vorentwürfen des § 38 Abs. 2 BSIG (z.B. Fassung vom 07.05.2024) wurde teilweise der Verzicht und Vergleich zwischen Geschäftsführung und Gesellschaft ausgeschlossen. Im Regierungsentwurf finden sich diese Ausführungen nicht mehr wieder, sodass der Verzicht und Vergleich weiterhin nach allgemeinen Regeln zulässig ist.

Auswirkungen auf die D&O-Versicherungen

Keine Auswirkungen sehe ich auf die grundsätzliche Möglichkeit D&O-Versicherungen abzuschließen. Dass der Abschluss von D&O-Versicherungen weiterhin möglich sein soll, war in der Gesetzesbegründung des Entwurfs vom 07.05.2024 noch explizit vorgesehen. In der aktuellen Fassung findet sich diese Passage zwar nicht mehr wieder. Allerdings sehe ich auch keinen Anhaltpunkt im Gesetz, die den Abschluss einer entsprechenden Versicherung für unzulässig erklären. Ich vermute, dass die Passage zur D&O-Versicherung versehentlich in der Gesetzesbegründung gelöscht wurde. Denn diese Passage hat sich in der Begründung zu § 38 Abs. 2 BSIG befunden und dieser Absatz der Norm wurde in den neueren Entwürfen gänzlich neu gefasst. Es wurde nämlich die Einschränkung des Verzichts und des Vergleichs wieder aus dem Gesetz entfernt (siehe zuvor).

Keine Aussage vermag ich zu treffen, ob und welchem Inhalt D&O-Versicherungen aber überhaupt noch angeboten werden (siehe bereits hier die Andeutung, dass sich wohl etwas ändern wird).

Spezialregelungen im EnWG

Durch den Regierungsentwurf wurden in § 5c Abs. 9 - 11 EnWG Regelungen aufgenommen, die dem allgemeinen Regelungen des § 38 BSIG entsprechen. Es gelten insoweit die zuvor gemachten Ausführungen auch für die Unternehmen der Energiewirtschaft, die unter das EnWG fallen.

two 10 and 20 banknotes on floor
Photo by Christian Wiediger / Unsplash

IV. Bußgelder

Häufig wird auf die "neuen Bußgelder in Millionenhöhe" verwiesen, wenn es um Fragen der Haftung der Geschäftsführung geht. Dies ist per se nicht falsch, aber in dieser Pauschalität höchst irreführend. Deshalb soll im Folgenden in aller Kürze ein realistisches Bild in Bezug auf mögliche Bußgelder gegeben werden.

Zunächst ist es nichts Neues, dass für Verstöße gegen IT-Sicherheitspflichten Bußgelder in Millionenhöhe drohen. Eine solche Bußgeldhöhe wird bereits heute in § 14 Abs. 5 S. 1, 2 BSIG festgelegt. Dort wird nach den verschiedenen Pflichtverletzungen abgestuft und für gewissen Pflichtverstößen Geldbußen bis zu zwei Millionen bzw. bis zu einer Millionen Euro angedroht. Der unscheinbare Verweis in § 14 Abs. 5 S. 3 BSIG auf § 30 Abs. 2 S. 3 OWiG führt dabei dazu, dass sich der Bußgeldrahmen in Bezug auf juristische Personen teilweise verzehnfacht und somit im Ergebnis ein Bußgeld von bis zu 20 Millionen / 10 Millionen Euro bereits jetzt "droht".10

Im NIS2-Umsetzungsgesetz wird der Bußgeldrahmen (ebenfalls abhängig vom konkreten Pflichtverstoß) feiner ausdifferenziert, aber beträgt weiterhin über den Verweis auf § 30 Abs. 2 S. 3 OWiG bis zu 20 Millionen / 10 Millionen Euro (vgl. § 65 Abs. 5 S. 2 BSIG). Teilweise beträgt der Bußgeldrahmen auch bis zu 2 Prozent des Jahresumsatzes (vgl. § 65 Abs. 6 BSIG). Hierbei liegt die Betonung übrigens auf "bis zu". Es handelt sich eben um das höchstmögliche Bußgeld, was gleichzeitig bedeutet, dass nicht für jede Pflichtverletzung ein Bußgeld von 20 Millionen Euro zulässig wäre und verhängt wird.

Bußgelder können teilweise direkt gegen die Geschäftsführung und teilweise gegen die Gesellschaft verhangen werden (siehe oben zur Frage, ob Bußgelder gegen die Gesellschaft überhaupt von der Geschäftsführung eingefordert werden können). Allerdings dürfte weiter gelten was, auch schon bisher in Bezug auf die Bußgelder galt: Es handelt sich um die "ultima ratio", also das letzte Mittel, dass das BSI oder andere Behörden zur Durchsetzung von Pflichten oder Ahndung von Pflichtverletzungen wählen wird.11 Das BSI hat eine Vielzahl anderer Möglichkeiten die IT-Sicherheitspflichten durchzusetzen (vgl. § 61 - 63 BSIG) und wird diese regelmäßig auch nutzen, bevor ein Bußgeld verhängt wird. Hierbei haben das Bundesinnenministerium und das BSI bereits informell durchscheinen lassen, dass nicht pünktlich mit in Kraft treten des NIS2-Umsetzungsgesetzes mit der Gießkanne Bußgelder über die Unternehmen ausgegossen werden. Allen Beteiligten ist bewusst, dass die Umsetzung des NIS2-Umsetzungsgesetzes gerade die kleineren Unternehmen vor große Herausforderungen stellt. Man möchte hier vornehmlich unterstützend tätig werden und möglichst nicht mit dem scharfen Schwert des Bußgeldes hantieren. Dies passt zur schon bisher vorsichtigen Linie des BSI was Bußgelder angeht. So wurde mit Stand 28.02.2024 genau zwei Bußgeldverfahren vom BSI eingeleitet, aber (wohl) bisher noch in keinem einzigen Fall tatsächlich ein Bußgeld verhängt (so die Auskunft des BSI, siehe hier).

V. Fazit

Die Geschäftsführung kann zivilrechtlich mit ihrem Privatvermögen für Pflichtverletzungen im Bereich der IT-Sicherheit haften. Dies war schon unter dem bisher geltenden IT-Sicherheitsrecht so und wird auch nach in Kraft treten des NIS2-Umsetzungsgesetzes so bleiben. Diese Haftung entspricht schlicht der allgemeinen Haftung aus dem Gesellschaftsrecht und ist keine Besonderheit des neuen NIS2-Umsetzungsgesetzes. Das eigentlich neue der NIS2-Richtlinie ist die Ausweitung des Anwendungsbereichs auf deutlich mehr Unternehmen und die weitergehenden Pflichten der Unternehmen.

Auch nach in Kraft treten des NIS2-Umsetzungsgesetzes kann die Geschäftsführung ihre Aufgaben in Bezug auf die IT-Sicherheit delegieren, wobei Auswahl und Überwachungspflichten bestehen bleiben und selbstverständlich die Letztverantwortung (im Sinne der Haftung) weiterhin bei der Geschäftsführung verbleibt. Auch Verzichte und Vergleiche sind weiterhin so möglich, wie sie auch bisher möglich waren. Gleiches gilt für den Abschluss einer D&O-Versicherung, die das NIS2-Umsetzungsgesetz nicht verbietet. Neu ist eigentlich nur die Pflicht der Geschäftsführung zur Teilnahme an IT-Sicherheitsschulungen, die wohl nicht komplett wegdelegiert werden kann.

Betrachtet man die Bußgeldandrohung realistisch, so sind diese zwar nicht ausgeschlossen, aber eher nicht Kern einer persönlichen Haftung der Geschäftsführung. Vielmehr werden sie wohl nur im Ausnahmefall überhaupt verhängt werden.

Konsequenz sollte nun aber nicht sein, die IT-Sicherheit auf die leichte Schulter zu nehmen. Die tatsächliche Gefährdungslage ist so hoch (und wird es bleiben), dass ein hohes Eigeninteresse der Geschäftsführung an der IT-Sicherheit bestehen sollte. Es besteht weiterhin ein Unterschied dazwischen, ob man "compliant" ist (also alle gesetzlichen Regeln einhält) oder wirklich gut geschützt ist. Ziel sollte sein, möglichst wenig Ressourcen für die bloße Compliance aufwenden zu müssen, um die Ressourcen zielgerichtet auf auf die Erhöhung der tatsächlichen Sicherheit zu konzentrieren.


Quellen:

[1]: Ring/Grziwotz, Systematischer Praxiskommentar GmbH-Recht, 3. Auflage 2019, § 43, Rn. 28.

[2]: Ring/Grziwotz, Systematischer Praxiskommentar GmbH-Recht, 3. Auflage 2019, § 43, Rn. 10; siehe näher jeweils zum Inhalt dieser Pflichten z.B. Krieger/Schneider, Handbuch Managerhaftung, 4. Auflage 2023, § 45, Rn. 45.4; § 2. Rn. 2.13.

[3] Zum gesamten folgenden Abschnitt: Krieger/Schneider, Handbuch Managerhaftung, 4. Auflage 2023, § 45, Rn. 45.4; ff.):

[4] Zum gesamten Abschnitt: Krieger/Schneider, Handbuch Managerhaftung, 4. Auflage 2023, § 26, Rn. 26.2 - 26.6.

[5] Zum gesamten Abschnitt: Voigt, IT-Sicherheitsrecht, 2018, Rn. 37 - 39; 209 - 212.

[6] Zum gesamten Abschnitt: Voigt, IT-Sicherheitsrecht, 1. Auflage 2018, Rn. 37 - 39; 213 - 214)

[7] Siehe z.B. Gabel/Heinrich/Kiefner, Rechtshandbuch Cyber-Security, 1. Auflage 2021, Rn. 114, 115.

[8] Zum gesamten Abschnitt: Voigt, IT-Sicherheitsrecht, 2018, Rn. 206. Siehe näher zu den Haftungsbegrenzungen Krieger/Schneider, Handbuch Managerhaftung, 4. Auflage 2023, § 1 Rn. 115 ff. und speziell Rn. 1.24 zu den Grenzen des Verzichts / Vergleichs.

[8a] Hessel/Callewaert/Schneider, RFamU 2024,
200, 203.

[9] Zum gesamten Abschnitt: Voigt, IT-Sicherheitsrecht, 1. Auflage 2018, Rn. 207, 208.

[9a] Ähnlich: Hessel/Callewaert/Schneider, RFamU 2024,
200, 204.

[9b] Andere Auffassung: Hessel/Callewaert/Schneider, RFamU 2024,
200, 204, allerdings zur Gesetzesfassung vom 22.12.2023.

[10] Kipker/Reusch/Ritter/Glade, 1. Aufl. 2023, BSIG § 14 Rn. 54.

[11] Vgl. Kipker/Reusch/Ritter/Glade, 1. Aufl. 2023, BSIG § 14 Rn. 1.