Drei Ebenen der Organisationspflicht
| Ebene | Inhalt | Beleg |
|---|---|---|
| Aufbau | Zuständigkeiten, Stellen, Vertretungsregeln, ISMS-Verantwortlicher, CISO. | Organigramm, Stellenbeschreibungen. |
| Ablauf | Prozesse für Patch, Backup, Incident-Response, Lieferantensteuerung, Schulung. | ISMS-Dokumentation, Richtlinien, Notfallplan. |
| Überwachung | Berichtswege, KPIs, Audits, Vorstandsbericht, Beschlüsse. | Reports, Sitzungsprotokolle, Beschlüsse. |
Auswahl, Anweisung, Überwachung
Die Rechtsprechung zur Delegationspflicht ist seit dem Baustoff-Urteil (BGH II ZR 175/13) und im IT-Kontext zuletzt durch das LG München I (5 HK O 1387/10, Siemens-Compliance) verfestigt. Die Geschäftsleitung muss geeignete Personen auswählen (Auswahlverschulden), ihnen klare Pflichten zuweisen (Instruktionsverschulden) und die Umsetzung überwachen (Überwachungsverschulden). Versäumnisse auf einer dieser drei Stufen begründen das Organisationsverschulden.
CISO und externe Dienstleister
Ein interner Chief Information Security Officer oder ein externer ISMS-Dienstleister kann die operative Last tragen. Die Letztverantwortung bleibt bei der Geschäftsleitung. § 38 BSIG verlangt ausdrücklich, dass die Geschäftsleitung die Risikomanagement-Maßnahmen billigt und ihre Umsetzung überwacht. Ein CISO-Bericht, der nicht in der Geschäftsleitung behandelt wird, schützt nicht.
Anscheinsbeweis bei typischen Schadensverläufen
Bei Schadensverläufen, die ohne Organisationsdefizit nicht eingetreten wären — etwa Ransomware nach jahrelang nicht gepatchten Systemen, Datenpanne nach fehlender Zugriffsbeschränkung, Phishing-Schaden ohne MFA — nimmt die Rechtsprechung regelmäßig einen Anscheinsbeweis für ein Organisationsverschulden an. Die Geschäftsleitung muss dann nachweisen, dass die Organisation den Vorfall trotz ordnungsgemäßer Aufstellung nicht verhindern konnte. Ohne Dokumentation ist dieser Nachweis kaum zu führen.
Verzahnung mit NIS2 und Innenhaftung
Die NIS2-Mindestmaßnahmen (siehe NIS2-Risikomanagement) definieren den Mindeststandard der Organisationspflicht. Wer sie nicht umsetzt, verletzt zugleich die allgemeine Sorgfaltspflicht nach § 43 GmbHG / § 93 AktG — und öffnet damit die Innenhaftung (siehe Innenhaftung).
Häufige Fragen
- Was ist Organisationsverschulden?
- Die Verletzung der Pflicht, Aufbau- und Ablauforganisation so zu gestalten, dass Risiken erkannt und beherrscht werden. Bei IT-Sicherheit umfasst es ein funktionierendes ISMS, klare Verantwortlichkeiten und eine wirksame Überwachung.
- Lässt sich IT-Sicherheit vollständig delegieren?
- Die operative Durchführung ja, die Verantwortung nein. Die Geschäftsleitung bleibt für Auswahl, Anweisung und Überwachung der zuständigen Personen oder Dienstleister verantwortlich (sogenannte horizontale und vertikale Delegationspflichten).
- Welche Rolle spielt der CISO?
- Ein bestellter CISO entlastet die Geschäftsleitung operativ, ersetzt aber nicht die Letztverantwortung. § 38 BSIG verlangt ausdrücklich die Billigung und Überwachung durch die Geschäftsleitung selbst.
- Welche Dokumentation ist erforderlich?
- Organigramm, Stellenbeschreibungen, Geschäftsverteilungsplan, ISMS-Dokumentation, Berichtswege, regelmäßige Berichte an die Geschäftsleitung und deren Beschlüsse.
- Wie wirkt sich ein CISO-Vakuum aus?
- Eine unbesetzte Schlüsselrolle ohne Ersatzregelung indiziert ein Organisationsverschulden. Eskaliert ein Vorfall in dieser Zeit, ist die Argumentation eines sorgfaltsgemäßen Handelns deutlich erschwert.
- Wann greift der Anscheinsbeweis?
- Bei typischen Schadensverläufen, die ohne Organisationsdefizit nicht eingetreten wären (etwa Ransomware nach jahrelang nicht gepatchten Systemen), nimmt die Rechtsprechung regelmäßig einen Anscheinsbeweis für ein Organisationsverschulden an.
Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.
