Cybernotfall
Themenhub Geschäftsführerhaftung · Stand: Juni 2026

Geschäftsführerhaftung bei Cybervorfällen

Persönliche Verantwortung von Vorstand und Geschäftsführung für Cybersicherheit: Sorgfaltspflicht, Business Judgement Rule, D&O-Deckung, Organisationsverschulden und Haftung gegenüber Gesellschaft und Dritten.

Warum Cybersicherheit zur Chefsache geworden ist

Cybersicherheit ist seit der NIS2-Umsetzung kein delegierbares IT-Thema mehr. § 38 BSIG verlangt, dass die Geschäftsleitung die Risikomanagement-Maßnahmen ausdrücklich billigt und ihre Umsetzung überwacht. Zugleich treten allgemeine gesellschaftsrechtliche Pflichten aus § 43 GmbHG und § 93 AktG hinzu, die schon vor NIS2 galten und durch jeden gravierenden Cybervorfall scharf geprüft werden.

Dieser Themenbereich ordnet die Haftungsfragen, die nach einem Cybervorfall fast immer parallel laufen: die unternehmerische Bewertung der eigenen Entscheidungen (Business Judgement Rule), die Deckung durch D&O-Versicherungen, das Organisationsverschulden bei IT-Versäumnissen, insolvenzrechtliche Pflichten sowie Innen- und Außenhaftung gegenüber Gesellschaft, Behörden und Geschädigten.

Beiträge in diesem Themenbereich

  • Beitragverfügbar

    Business Judgement Rule bei Cyberentscheidungen: Was schützt die Geschäftsleitung

    Wann eine unternehmerische Entscheidung zu Cybersicherheits-Investitionen haftungsfrei bleibt und wann nicht.

  • Beitragverfügbar

    D&O-Versicherung nach Cybervorfall: Deckung, Ausschlüsse, Anzeigepflicht

    Welche Cyberrisiken die D&O-Police deckt, welche typischen Ausschlüsse greifen und wann eine Anzeige fällig ist.

  • Beitragverfügbar

    Organisationsverschulden: Wann die Geschäftsleitung für IT-Versäumnisse haftet

    Aufbau- und Ablauforganisation, Überwachungspflicht, Delegierbarkeit der IT-Sicherheit.

  • Beitragverfügbar

    Insolvenzantragspflicht nach Cybervorfall: Wenn der Angriff zur Krise wird

    Zahlungsunfähigkeit und Überschuldung als Folge eines Ransomware-Vorfalls, Pflichten nach § 15a InsO.

  • Beitragverfügbar

    Innenhaftung: Schadensersatz gegenüber der Gesellschaft nach § 43 GmbHG und § 93 AktG

    Wie Cybervorfälle zu persönlicher Haftung gegenüber der eigenen Gesellschaft führen können.

  • Beitragverfügbar

    Außenhaftung: Persönliche Inanspruchnahme durch Dritte und Behörden

    Persönliche Bußgelder nach NIS2, Inanspruchnahme durch Geschädigte, deliktische Haftung.

Anschluss an die anderen Themenbereiche

Geschäftsführerhaftung greift in jeden anderen Themenbereich hinein: NIS2 setzt die persönlichen Pflichten der Leitungsebene (siehe NIS2-Themenbereich), die Cyberversicherung und die D&O-Police entscheiden über die wirtschaftliche Tragbarkeit, und nach einem Ransomware-Vorfall (siehe Ransomware-Themenbereich) wird die Geschäftsleitung regelmäßig auf das gesamte Krisenmanagement geprüft.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil