Cybernotfall
Organisation und Haftung · Stand: Juni 2026

Geschäftsführerhaftung in der IT-Sicherheit

Persönliche Haftung von Geschäftsführern und Vorständen für Versäumnisse in der IT-Sicherheit nach den Sorgfaltsmaßstäben von GmbHG, AktG und NIS2UmsuCG.

Auch bekannt als: D and O, Persönliche Haftung

Rechtsgrundlagen
  • § 43 GmbHG
  • § 93 AktG
  • § 38 NIS2UmsuCG
  • Art. 5 Abs. 2 DSGVO

Sorgfaltsmaßstab

Geschäftsführer einer GmbH haften nach § 43 GmbHG für die Sorgfalt eines ordentlichen Geschäftsmanns. Vorstände einer AG haften nach § 93 AktG für die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Cybersicherheit ist seit langem Bestandteil dieser Sorgfaltspflicht. Bereits 2010 hat Thomas Kolb dazu auf der Cebit referiert.

Mit NIS2 ist die Pflicht ausdrücklich gesetzlich verankert. § 38 NIS2UmsuCG verpflichtet die Leitung wesentlicher und wichtiger Einrichtungen, die Risikomanagementmaßnahmen zu billigen, deren Umsetzung zu überwachen und an Schulungen teilzunehmen. Eine Delegation auf die IT-Leitung entlastet die Geschäftsleitung nicht.

Persönliche Haftung

Ein erfolgreicher Cyberangriff allein löst noch keine persönliche Haftung aus. Haftungsauslösend sind organisatorische Versäumnisse: fehlendes Risikomanagement, keine Notfallpläne, fehlende Schulungen, keine wirksamen TOM, unzureichendes Monitoring der IT-Sicherheit, kein Berichtswesen aus der IT in die Geschäftsleitung.

Schäden, die die Gesellschaft erleidet, können über Innenhaftung beim Geschäftsführer geltend gemacht werden. Bei AGs ist die Geltendmachung durch den Aufsichtsrat zwingend, wenn Anhaltspunkte für eine Pflichtverletzung vorliegen.

Sanktionen nach NIS2

NIS2 sieht über die zivilrechtliche Haftung hinaus persönliche Sanktionen gegen Leitungspersonen vor. Dazu zählen eigene Geldbußen und in schweren Fällen ein vorübergehendes Verbot der Ausübung von Leitungsfunktionen. Damit wird die Verantwortung für Cybersicherheit zur persönlichen Risikoposition.

Schutzmaßnahmen für die Geschäftsleitung

Die wirksame Verteidigung gegen persönliche Haftung besteht in der nachweisbaren Erfüllung der Sorgfaltspflicht: dokumentiertes Risikomanagement, verabschiedete Richtlinien, dokumentierte Schulungsteilnahme, dokumentierte regelmäßige Berichte aus der IT, externe Audits, ein geprüfter Notfallplan und der Abschluss einer D-and-O-Versicherung.

Wesentlich ist die Dokumentation. Wer im Streitfall nicht belegen kann, dass er sich mit dem Thema befasst hat, trägt das Beweisrisiko.

Häufige Fragen

Häufige Fragen

Reicht es, einen CISO zu benennen
Nein. Die Geschäftsleitung bleibt verantwortlich. Sie kann Aufgaben delegieren, muss aber Auswahl, Anleitung und Überwachung sicherstellen und das Thema regelmäßig in der Geschäftsleitung behandeln.
Hilft eine D-and-O-Versicherung im Cyberfall
Sie kann die Vermögensschäden der Leitungsperson abfedern, aber nicht alle Konstellationen. Vorsätzliche Pflichtverletzungen und Bußgelder gegen die Person sind in vielen Policen ausgeschlossen.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil