Was schützt die Business Judgement Rule konkret?

Sie schließt die Haftung für unternehmerische Fehlentscheidungen aus, wenn die Geschäftsleitung auf Grundlage angemessener Information vernünftigerweise annehmen durfte, zum Wohl der Gesellschaft zu handeln. Die Norm steht in § 93 Abs. 1 Satz 2 AktG und gilt entsprechend für die GmbH.

Gilt sie auch für Cybersicherheits-Investitionen?

Ja. Auch Entscheidungen über Budgets, Anbieterauswahl und Schutzniveau sind unternehmerische Entscheidungen. Voraussetzung ist eine dokumentierte Informationsgrundlage und ein nachvollziehbarer Abwägungsprozess.

Was zählt als angemessene Informationsgrundlage?

Risikobewertung, Marktrecherche, fachliche Beratung intern oder extern, Bezugnahme auf den Stand der Technik. Eine reine Bauchentscheidung reicht nicht.

Greift die Regel auch bei Pflichtaufgaben?

Nein. Sie schützt nur das unternehmerische Ermessen. Gesetzlich oder satzungsmäßig zwingende Pflichten (etwa Meldepflichten, Mindestmaßnahmen nach § 30 BSIG) fallen nicht unter die Business Judgement Rule.

Welche Rolle spielt die Dokumentation?

Eine entscheidende. Im Haftungsprozess trägt die Geschäftsleitung nach § 93 Abs. 2 Satz 2 AktG die Beweislast dafür, dass sie sorgfältig gehandelt hat. Ohne Protokolle, Entscheidungsvorlagen und Risikobewertungen ist die Berufung auf die Regel praktisch nicht zu führen.

Schließt die Regel Bußgelder aus?

Nein, sie betrifft nur die Innenhaftung gegenüber der Gesellschaft. Persönliche Bußgelder nach NIS2 oder DSGVO werden davon nicht berührt.

Business Judgement Rule: Cyberentscheidungen haftungsfest treffen

Wortlaut und Funktion

§ 93 Abs. 1 Satz 2 AktG lautet: „Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln." Für die GmbH-Geschäftsführung gilt die Regel entsprechend (BGH II ZR 47/09). Sie ist ein „Safe Harbor", der den notwendigen unternehmerischen Spielraum vor einer reinen Erfolgshaftung schützt.

Die vier Voraussetzungen

Voraussetzung	Praxis bei Cyberentscheidungen
Unternehmerische Entscheidung	Budget, Anbieterauswahl, Schutzniveau, Lösegeldverhandlung — Ermessensentscheidungen, keine Pflichtaufgaben.
Handeln zum Wohl der Gesellschaft	Kein Sonderinteresse, keine Eigeninteressen-Lage, keine Begünstigung Dritter.
Angemessene Informationsgrundlage	Risikoanalyse, Marktrecherche, fachliche Beratung intern oder extern, Bezug zum Stand der Technik.
Guter Glaube an Vernünftigkeit	Nachvollziehbare Abwägung; keine offensichtlich unvertretbare Entscheidung.

Wo die Regel nicht greift

Die Business Judgement Rule schützt das unternehmerische Ermessen — nicht die Erfüllung gesetzlicher Pflichten. Zu den nicht-schutzfähigen Pflichtaufgaben gehören insbesondere: die NIS2-Mindestmaßnahmen nach § 30 BSIG, die Meldepflichten nach Art. 33 DSGVO und § 32 BSIG, die Buchführungspflichten und die Insolvenzantragspflicht nach § 15a InsO. Wer eine Meldepflicht versäumt, kann sich nicht auf eine „unternehmerische Entscheidung" berufen.

Beweislast und Dokumentation

Nach § 93 Abs. 2 Satz 2 AktG trägt die Geschäftsleitung im Innenhaftungsprozess die Beweislast für sorgfaltsgemäßes Handeln. Praktisch bedeutet das: ohne Protokolle, Entscheidungsvorlagen und Risikobewertungen ist die Berufung auf die Business Judgement Rule kaum zu führen. Eine belastbare Dokumentation umfasst regelmäßig die Sachverhaltsdarstellung, die geprüften Handlungsoptionen, die Risikobewertung, externe Stellungnahmen und das Beschlussprotokoll mit Stimmverhalten.

Verzahnung mit der NIS2-Pflicht

Seit der NIS2-Umsetzung verlangt § 38 BSIG, dass die Geschäftsleitung die Risikomanagement-Maßnahmen ausdrücklich billigt und überwacht. Wer diese Billigung nicht dokumentiert, verliert die Argumentationsbasis für die Business Judgement Rule. Beide Pflichten greifen ineinander: die NIS2-Billigung liefert die formale Dokumentation, die die Business Judgement Rule materiell trägt. Mehr dazu im Beitrag NIS2 und Geschäftsleitungshaftung.

Häufige Fragen

Was schützt die Business Judgement Rule konkret?: Sie schließt die Haftung für unternehmerische Fehlentscheidungen aus, wenn die Geschäftsleitung auf Grundlage angemessener Information vernünftigerweise annehmen durfte, zum Wohl der Gesellschaft zu handeln. Die Norm steht in § 93 Abs. 1 Satz 2 AktG und gilt entsprechend für die GmbH.
Gilt sie auch für Cybersicherheits-Investitionen?: Ja. Auch Entscheidungen über Budgets, Anbieterauswahl und Schutzniveau sind unternehmerische Entscheidungen. Voraussetzung ist eine dokumentierte Informationsgrundlage und ein nachvollziehbarer Abwägungsprozess.
Was zählt als angemessene Informationsgrundlage?: Risikobewertung, Marktrecherche, fachliche Beratung intern oder extern, Bezugnahme auf den Stand der Technik. Eine reine Bauchentscheidung reicht nicht.
Greift die Regel auch bei Pflichtaufgaben?: Nein. Sie schützt nur das unternehmerische Ermessen. Gesetzlich oder satzungsmäßig zwingende Pflichten (etwa Meldepflichten, Mindestmaßnahmen nach § 30 BSIG) fallen nicht unter die Business Judgement Rule.
Welche Rolle spielt die Dokumentation?: Eine entscheidende. Im Haftungsprozess trägt die Geschäftsleitung nach § 93 Abs. 2 Satz 2 AktG die Beweislast dafür, dass sie sorgfältig gehandelt hat. Ohne Protokolle, Entscheidungsvorlagen und Risikobewertungen ist die Berufung auf die Regel praktisch nicht zu führen.
Schließt die Regel Bußgelder aus?: Nein, sie betrifft nur die Innenhaftung gegenüber der Gesellschaft. Persönliche Bußgelder nach NIS2 oder DSGVO werden davon nicht berührt.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Business Judgement Rule bei Cyberentscheidungen