Wer kann den Anspruch geltend machen?

Bei der GmbH die Gesellschaft selbst, vertreten durch einen anderen Geschäftsführer oder einen Sonderbeauftragten. Bei der AG der Aufsichtsrat, in der Insolvenz der Insolvenzverwalter, der die Ansprüche typischerweise verfolgt.

Wie hoch kann der Schaden ausfallen?

Unbegrenzt im Außenverhältnis. Begrenzung nur über die D&O-Versicherungssumme und ggf. vereinbarte Haftungshöchstsummen, die jedoch bei vorsätzlichen oder grob fahrlässigen Pflichtverletzungen nicht greifen.

Was ist eine Schadenschätzung nach § 287 ZPO?

Bei Cybervorfällen ist der Schaden oft schwer exakt zu beziffern. § 287 ZPO erlaubt dem Gericht eine Schätzung — typischerweise auf Basis der Wiederherstellungskosten, des Ertragsausfalls und der Bußgeldlast.

Bei der GmbH fünf Jahre (§ 43 Abs. 4 GmbHG), bei der AG fünf bzw. zehn Jahre bei börsennotierten Gesellschaften (§ 93 Abs. 6 AktG), beginnend mit der Anspruchsentstehung.

Wirkt eine Entlastung?

Die Entlastung durch die Gesellschafterversammlung schließt nur Ansprüche aus erkennbaren Sachverhalten aus. Cybervorfälle, die erst nach der Entlastung aufgedeckt werden, bleiben verfolgbar.

Kann die Gesellschaft auf den Anspruch verzichten?

GmbH eingeschränkt, AG nur sehr restriktiv (§ 93 Abs. 4 Satz 3 AktG: frühestens drei Jahre nach Entstehung, mit Hauptversammlungsbeschluss, keine Sperrminorität dagegen). In der Insolvenz ist ein Verzicht regelmäßig anfechtbar.

Innenhaftung: § 43 GmbHG / § 93 AktG nach Cybervorfall

Anspruchs-Schema

Voraussetzung	Inhalt	Beweislast
Pflichtverletzung	Verstoß gegen Sorgfaltspflicht (NIS2, Organisationspflicht, Meldepflicht).	Gesellschaft.
Verschulden	Vorsatz oder Fahrlässigkeit; Maßstab: ordentlicher Geschäftsmann.	Geschäftsleitung (§ 93 Abs. 2 S. 2 AktG, analog GmbHG).
Schaden	Wiederherstellung, Ertragsausfall, Bußgelder, Drittersatz, Reputationsschäden.	Gesellschaft, Schätzung nach § 287 ZPO möglich.
Kausalität	Pflichtverletzung als adäquate Ursache des Schadens.	Gesellschaft, oft mit Anscheinsbeweis.

Typische Cyber-Konstellationen

In der Beratungspraxis dominieren drei Konstellationen: erstens das Organisationsverschulden (fehlendes ISMS, kein Patch-Management, keine MFA — siehe Organisationsverschulden); zweitens die unterlassene oder verspätete Meldung mit Bußgeldfolge (siehe Datenpanne und Bußgeld); drittens die fehlerhafte Krisenentscheidung (etwa Lösegeldzahlung in der Insolvenzreife, siehe Insolvenzantragspflicht).

Beweislastumkehr und ihre praktische Wirkung

Die Geschäftsleitung muss nachweisen, dass sie sorgfaltsgemäß gehandelt hat. Ohne Dokumentation (Risikobewertungen, Berichte, Beschlüsse, externe Stellungnahmen) ist dieser Nachweis kaum zu führen. Die Praxis zeigt: viele Innenhaftungsprozesse werden nicht über die Pflichtverletzung gewonnen, sondern über die fehlende Dokumentation der Pflichterfüllung.

D&O als wirtschaftliche Brücke

Wirtschaftlich tragfähig wird die Innenhaftung erst über die D&O-Versicherung (siehe D&O-Versicherung). Ohne D&O steht die Geschäftsleitung mit ihrem Privatvermögen ein, was bei Großschadensfällen regelmäßig zur persönlichen Insolvenz führt.

Häufige Fragen

Wer kann den Anspruch geltend machen?: Bei der GmbH die Gesellschaft selbst, vertreten durch einen anderen Geschäftsführer oder einen Sonderbeauftragten. Bei der AG der Aufsichtsrat, in der Insolvenz der Insolvenzverwalter, der die Ansprüche typischerweise verfolgt.
Wie hoch kann der Schaden ausfallen?: Unbegrenzt im Außenverhältnis. Begrenzung nur über die D&O-Versicherungssumme und ggf. vereinbarte Haftungshöchstsummen, die jedoch bei vorsätzlichen oder grob fahrlässigen Pflichtverletzungen nicht greifen.
Was ist eine Schadenschätzung nach § 287 ZPO?: Bei Cybervorfällen ist der Schaden oft schwer exakt zu beziffern. § 287 ZPO erlaubt dem Gericht eine Schätzung — typischerweise auf Basis der Wiederherstellungskosten, des Ertragsausfalls und der Bußgeldlast.
Verjährung?: Bei der GmbH fünf Jahre (§ 43 Abs. 4 GmbHG), bei der AG fünf bzw. zehn Jahre bei börsennotierten Gesellschaften (§ 93 Abs. 6 AktG), beginnend mit der Anspruchsentstehung.
Wirkt eine Entlastung?: Die Entlastung durch die Gesellschafterversammlung schließt nur Ansprüche aus erkennbaren Sachverhalten aus. Cybervorfälle, die erst nach der Entlastung aufgedeckt werden, bleiben verfolgbar.
Kann die Gesellschaft auf den Anspruch verzichten?: GmbH eingeschränkt, AG nur sehr restriktiv (§ 93 Abs. 4 Satz 3 AktG: frühestens drei Jahre nach Entstehung, mit Hauptversammlungsbeschluss, keine Sperrminorität dagegen). In der Insolvenz ist ein Verzicht regelmäßig anfechtbar.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.