Gesellschaftsrecht · Pflichten und Haftung von Geschäftsführer & Vorstand
Haftung von Geschäftsführern und Vorständen bei IT- und Cyberrisiken
IT-Ausfälle, Ransomware, Datenpannen und Cyberangriffe gehören zu den größten Haftungsrisiken für Geschäftsführer und Vorstände. Wir beraten zur IT-Compliance, Cyber-Governance, D&O- und Cyber-Versicherung und vertreten Organmitglieder bei der Abwehr persönlicher Haftungsansprüche nach Cyber-Incidents.
Spezialwissen, das im Detail entscheidet.
Geschäftsführer- und Vorstandshaftung bei IT- und Cyberrisiken: Pflichten, Cyber-Governance und persönliche Haftungsabwehr
Die Digitalisierung hat IT- und Cyberrisiken zu einem zentralen Haftungsfeld der Unternehmensleitung gemacht. Ransomware-Angriffe, Datenabflüsse, kompromittierte Lieferketten, fehlerhafte Cloud-Konfigurationen, Ausfälle kritischer Systeme und DSGVO-Verstöße können nicht nur erhebliche Schäden für das Unternehmen verursachen, sondern auch eine persönliche Haftung von Geschäftsführern und Vorständen begründen. Aufsichtsbehörden, Gerichte und Versicherer prüfen in solchen Fällen zunehmend, ob die Geschäftsleitung angemessene IT-Sicherheits-, Datenschutz- und Cyber-Compliance-Strukturen eingerichtet und überwacht hat.
Geschäftsführer einer GmbH und Vorstände einer Aktiengesellschaft sind nach §§ 43 GmbHG, 93 AktG verpflichtet, die Sorgfalt eines ordentlichen Geschäftsleiters anzuwenden. Dazu gehört heute zwingend, IT-, Informationssicherheits- und Cyberrisiken zu identifizieren, zu bewerten und durch geeignete organisatorische, personelle und technische Maßnahmen zu beherrschen. Ergänzend wirken regulatorische Vorgaben wie die DSGVO, das BSI-Gesetz, NIS2, DORA, branchenspezifische Anforderungen (z. B. KRITIS, Finanzaufsicht, Gesundheitswesen) sowie die Pflichten aus dem EU AI Act und der KI-Verordnung beim Einsatz Künstlicher Intelligenz.
Wir beraten Geschäftsführer, Vorstände, Aufsichtsräte und Gesellschaften zur Prävention, Strukturierung und Verteidigung der Organhaftung im Kontext von IT- und Cyberrisiken. Im Zentrum stehen tragfähige Cyber-Governance-Strukturen, eine rechtssichere Verzahnung von IT, Datenschutz, Compliance und Krisenmanagement sowie die sorgfältige Dokumentation von Entscheidungen nach der Business Judgment Rule. Im Schadensfall vertreten wir Organmitglieder gegenüber der Gesellschaft, Gesellschaftern, Aufsichtsbehörden, geschädigten Dritten, Strafverfolgungsbehörden und D&O- sowie Cyber-Versicherern.
Leistungen im Überblick
Was wir konkret für Sie tun.
Cyber-Governance, IT-Compliance & Pflichten der Geschäftsleitung
- Pflichtenanalyse: Identifikation der konkreten Geschäftsleitungspflichten zu IT-Sicherheit, Informationssicherheit, Datenschutz und Cyber-Resilienz, abgestimmt auf Rechtsform, Branche, Größe und Risikolage.
- Cyber-Governance: Konzeption rechtssicherer Governance-Strukturen für IT-Risiken, einschließlich Rollen von Geschäftsleitung, CISO, IT-Leitung, Datenschutzbeauftragten, Compliance- und Risikomanagement.
- ISMS & Sicherheitsorganisation: Rechtliche Begleitung beim Aufbau und der Pflege eines Informationssicherheits-Managementsystems (ISMS), z. B. nach ISO 27001 oder BSI-Grundschutz, aus Organhaftungssicht.
- Risikobewertung & Schutzbedarf: Strukturierung der rechtlich geforderten Risikoanalyse, Schutzbedarfsfeststellung, Bewertung kritischer Geschäftsprozesse und IT-Assets.
- Regulatorische Compliance: Beratung zu DSGVO, BSI-Gesetz, NIS2-Umsetzung, DORA, KRITIS-Pflichten, TK-Sicherheit und sektorspezifischen IT-Anforderungen.
- KI- und Automatisierungsrisiken: Bewertung von Haftungsrisiken aus dem Einsatz Künstlicher Intelligenz, automatisierter Entscheidungen, Algorithmen und KI-gestützter IT-Prozesse.
Incident Response, Krisenmanagement & Aufsichtsbehörden
- Cyber-Incident Response: Rechtliche Begleitung bei Ransomware-Angriffen, Datenabflüssen, Wirtschaftsspionage, CEO-Fraud, Insider-Vorfällen und Betriebsunterbrechungen.
- Meldepflichten: Beratung zu DSGVO-Meldungen an Datenschutzaufsicht und Betroffene, BSI-Meldungen, NIS2- und DORA-Notifikationen, kapitalmarktrechtlichen Ad-hoc-Pflichten und Versicherungsmeldungen.
- Behördenkommunikation: Vertretung gegenüber Datenschutz-Aufsichtsbehörden, BSI, BaFin und sektorspezifischen Aufsichten, einschließlich Anhörungen, Bußgeld- und Aufsichtsverfahren.
- Beweissicherung: Rechtliche Koordination forensischer Untersuchungen, IT-Forensik, interner Untersuchungen, Mitarbeiterbefragungen und Sicherung haftungsrelevanter Beweise.
- Krisenstab & Eskalation: Aufbau und rechtliche Begleitung eines unternehmensweiten Krisenstabs für IT-Incidents, einschließlich Entscheidungs-, Berichts- und Dokumentationsstrukturen.
- Kommunikation: Beratung zur internen und externen Krisenkommunikation, Kunden- und Geschäftspartnerinformation, Pressearbeit und Mitarbeiterinformation im Cyberfall.
Haftungsabwehr, D&O- und Cyber-Versicherung & Organstreit
- Haftungsanalyse: Bewertung persönlicher Haftungsrisiken von Geschäftsführern, Vorständen und Aufsichtsräten nach Cyber-Vorfällen, Datenpannen und IT-Ausfällen.
- Business Judgment Rule: Strategische Beratung zur Dokumentation IT-bezogener Geschäftsleitungsentscheidungen (Investitionen in IT-Sicherheit, Auswahl von Cloud-Anbietern, Cyber-Versicherung).
- Abwehr von Schadensersatz: Verteidigung gegen Innen- und Außenhaftungsansprüche wegen unzureichender IT-Sicherheit, Datenschutzverstößen, Aufsichtsversagen und Krisenmanagementfehlern.
- D&O-Versicherung: Prüfung und Optimierung von D&O-Policen im Hinblick auf Cyber- und Datenschutzhaftung, Selbstbehalte, Ausschlüsse, Nachmeldefristen und Deckungsumfang.
- Cyber-Versicherung: Rechtliche Begleitung von Cyber-Versicherungsverträgen, Schadensmeldungen, Deckungskonflikten und der Koordination mit D&O-Schutz.
- Regress & Innenausgleich: Beratung zu Regressansprüchen der Gesellschaft, internen Haftungsabsprachen, Freistellungen und Haftungsverteilung im Vorstands- bzw. Geschäftsführungsgremium.
„Wer als Geschäftsleiter IT- und Cyberrisiken nicht in Governance, Dokumentation und Versicherung übersetzt, läuft im Schadensfall persönlich, nicht das Unternehmen."
Geschäftsführer · Rechtsanwalt
Schwerpunkte
Vertieft. Geordnet. Durchdacht.
Häufige Fragen
Antworten, bevor Sie fragen.
Ihre Ansprechpartner
Persönliche Mandatsführung.
Ihr Ansprechpartner
Hendrik Schade
Geschäftsführer
Rechtsanwalt
Gründer und Geschäftsführer von @legal. Fachanwalt für Handels- und Gesellschaftsrecht sowie für Informationstechnologierecht.
Ihr Ansprechpartner
Melissa Mache
Rechtsanwältin
Associate
Associate bei @legal mit Schwerpunkten im Handels-, Gesellschafts- und Wirtschaftsrecht.
Aktuelle Beiträge & Insights