Cyberangriffe gehören heute zu den größten Risiken, mit denen Unternehmen konfrontiert werden. Die finanziellen Schäden durch gestohlene Daten, lahmgelegte IT-Infrastrukturen und den Vertrauensverlust bei Kundinnen und Kunden können enorm sein. Doch neben den operativen Herausforderungen werfen Cyberangriffe auch eine entscheidende Frage auf: Wer haftet im Schadensfall? Ist es die Geschäftsführung, der Anwender oder die Anwenderin, welche:r eine ernsthafte Schwachstelle zu verantworten hat, oder vielleicht der IT-Dienstleister? In diesem Beitrag geben wir Aufschluss über die Haftung bei Cyberangriffen.
Rechtliche Grundlagen der Haftung
Die Haftung eines Unternehmens bei Cyberangriffen ist in der Regel von verschiedenen Faktoren abhängig, darunter nationale und internationale Gesetze, vertragliche Verpflichtungen und branchenspezifische Regularien. In Deutschland spielen insbesondere die folgenden rechtlichen Rahmenbedingungen eine zentrale Rolle:
- DSGVO (Datenschutz-Grundverordnung): Unternehmen, die personenbezogene Daten verarbeiten, tragen eine besondere Verantwortung. Wird durch einen Cyberangriff die Sicherheit dieser Daten verletzt, drohen empfindliche Geldbußen. Artikel 32 DSGVO verpflichtet Unternehmen, technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten zu implementieren. Kommt es zu einer Datenschutzverletzung aufgrund unzureichender Schutzmaßnahmen, können Unternehmen für den entstandenen Schaden haftbar gemacht werden.
- BGB (Bürgerliches Gesetzbuch): Im Rahmen der allgemeinen deliktischen Haftung (§ 823 BGB) können Unternehmen für Schäden haften, wenn nachweislich durch Fahrlässigkeit oder Pflichtverletzungen ein Schaden verursacht wurde.
- IT-Sicherheitsgesetz 2.0: Dieses Gesetz legt fest, dass kritische Infrastrukturen (KRITIS) wie Energie, Gesundheit oder Verkehr besonders hohe Sicherheitsanforderungen erfüllen müssen. Verstöße können nicht nur Bußgelder, sondern auch zivilrechtliche Haftungsansprüche nach sich ziehen.
Wer haftet bei einem Cyberangriff?
Bei einem Cyberangriff können verschiedene Akteure haftbar gemacht werden, abhängig von den Umständen des Falls und den rechtlichen Grundlagen:
Das Unternehmen selbst
In den meisten Fällen ist das betroffene Unternehmen der primäre Haftungsträger. Es wird haftbar gemacht, wenn nachweislich Versäumnisse im Bereich der IT-Sicherheit oder des Datenschutzes vorliegen. Beispielsweise können unzureichende Schutzmaßnahmen, fehlende Updates oder eine mangelhafte Risikobewertung dazu führen, dass das Unternehmen seine Sorgfaltspflichten verletzt.
Geschäftsführer und Führungskräfte
Auch die Geschäftsführung kann persönlich haftbar gemacht werden, insbesondere wenn sie ihren Pflichten nicht nachgekommen ist. Nach § 43 GmbHG (Geschäftsführerhaftung) und § 93 AktG (Vorstandshaftung) müssen Geschäftsleiter die erforderliche Sorgfalt bei der Unternehmensführung walten lassen. Unterlassen sie es, angemessene Maßnahmen zur IT-Sicherheit und zum Schutz von Daten zu implementieren, können sie im Schadensfall persönlich in die Verantwortung genommen werden.
„Geschäftsführer und Vorstände müssen sich der Tatsache bewusst sein, dass ihre persönliche Haftung bei Cyberangriffen durchaus im Raum stehen kann. Insbesondere dann, wenn sie ihrer Pflicht zur Risikoüberwachung und Implementierung angemessener Schutzmaßnahmen nicht nachkommen. Ein regelmäßiger Austausch mit der IT-Abteilung und unabhängige Audits der IT-Sicherheitsvorkehrungen sind essenzielle Schritte, um dieser Verantwortung gerecht zu werden.“
IT-Dienstleister und externe Partner
Wenn ein Cyberangriff durch Sicherheitslücken bei einem externen Dienstleister oder Partnerunternehmen ermöglicht wurde, können diese ebenfalls haftbar gemacht werden. Allerdings hängt dies davon ab, ob vertragliche Vereinbarungen, wie Service-Level-Agreements (SLAs), oder gesetzliche Vorschriften verletzt wurden. Unternehmen sollten daher bei der Auswahl ihrer Dienstleister hohe Standards ansetzen und klare vertragliche Regelungen treffen.
Mitarbeiter
In seltenen Fällen können auch Mitarbeiter persönlich haftbar gemacht werden, insbesondere wenn sie vorsätzlich oder grob fahrlässig gehandelt haben. Dies gilt beispielsweise, wenn ein Mitarbeiter bewusst Sicherheitsvorgaben missachtet oder sensible Informationen unbefugt weitergibt. In der Regel liegt die Hauptverantwortung jedoch beim Unternehmen, das für die Handlungen seiner Angestellten einstehen muss.
Angreifer
Rein theoretisch können auch die Täter, also die Hacker selbst, haftbar gemacht werden. In der Praxis ist dies jedoch schwierig, da die Angreifer häufig anonym agieren und sich in anderen Ländern aufhalten, in denen sie nur schwer rechtlich verfolgt werden können. Dennoch sollten Unternehmen im Fall eines Cyberangriffs stets Anzeige erstatten, um eine strafrechtliche Verfolgung einzuleiten.
„Unternehmen, die personenbezogene Daten verarbeiten, sind gemäß der DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen, sofern die Schwellenwerte erreicht werden. Der Datenschutzbeauftragte übernimmt eine zentrale Rolle bei der Überprüfung der Einhaltung von Datenschutzvorschriften. Fehler oder Unterlassungen in diesem Bereich können nicht nur die Unternehmenshaftung, sondern auch die persönliche Haftung des Datenschutzbeauftragten betreffen.“
Mögliche rechtliche Konsequenzen
Die rechtlichen Konsequenzen eines Cyberangriffs können für Unternehmen weitreichend sein. Besonders schwer wiegen zivilrechtliche Ansprüche, die sich ergeben, wenn Kunden oder Geschäftspartner durch den Angriff geschädigt werden. So können betroffene Kunden beispielsweise Schadenersatz fordern, wenn ihre personenbezogenen Daten gestohlen und dadurch finanzielle Schäden oder Identitätsdiebstähle verursacht werden. Voraussetzung dafür ist, dass dem Unternehmen eine Verletzung seiner Sorgfaltspflichten nachgewiesen wird, etwa durch unzureichende Sicherheitsvorkehrungen. Auch Geschäftspartner können Ansprüche geltend machen, vor allem, wenn vertraglich vereinbarte Datenschutz- oder IT-Sicherheitsstandards nicht eingehalten wurden. Neben zivilrechtlichen Forderungen drohen auch regulatorische Sanktionen. Datenschutzverletzungen, wie sie durch die DSGVO geregelt sind, können Bußgelder in Millionenhöhe nach sich ziehen – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Für Unternehmen, die in kritischen Infrastrukturen tätig sind, etwa im Gesundheitswesen oder in der Energieversorgung, gelten zudem verschärfte Anforderungen des IT-Sicherheitsgesetzes 2.0. Werden diese Vorgaben verletzt, kann dies nicht nur zu Bußgeldern, sondern auch zu weitreichenden zivilrechtlichen Haftungsansprüchen führen. In extremen Fällen können strafrechtliche Ermittlungen gegen Verantwortliche eingeleitet werden, insbesondere wenn vorsätzlich oder grob fahrlässig gehandelt wurde. Doch nicht nur juristische Konsequenzen belasten betroffene Unternehmen: Cyberangriffe führen häufig zu einem Vertrauensverlust bei Kunden und Partnern. Dieser Reputationsschaden, auch wenn er nicht direkt rechtlicher Natur ist, kann langfristige finanzielle Folgen haben, die den unmittelbaren Schaden durch Bußgelder und Klagen übersteigen.
Minimierung der Haftungsrisiken
Um die Haftungsrisiken bei Cyberangriffen zu minimieren, müssen Unternehmen präventiv und umfassend handeln. Ein zentraler Ansatzpunkt ist die Stärkung der IT-Sicherheit. Dies umfasst Investitionen in moderne Schutzlösungen wie Firewalls, Endpoint-Protection-Software und regelmäßige Updates, um Schwachstellen in der IT-Infrastruktur zu schließen. Gleichzeitig sollten Mitarbeiter regelmäßig geschult werden, da menschliches Fehlverhalten oft eine der größten Sicherheitslücken darstellt. Schulungen zu Themen wie der Erkennung von Phishing-Versuchen, der sicheren Passwortnutzung und dem Schutz vor Social-Engineering-Angriffen sind essenziell.
Ein weiterer wichtiger Baustein ist die Entwicklung eines Notfallplans, der den Umgang mit Cyberangriffen klar regelt. Ein durchdachter Incident-Response-Plan ermöglicht es, im Ernstfall schnell zu reagieren und den Schaden zu begrenzen. Ergänzend dazu können Cyber-Versicherungen helfen, die finanziellen Risiken abzufedern und einen Teil der Schäden abzudecken. Nicht zuletzt sollte auch die juristische Absicherung nicht vernachlässigt werden. Regelmäßige Überprüfungen von Verträgen, Datenschutzrichtlinien und IT-Sicherheitsmaßnahmen durch rechtliche Experten stellen sicher, dass das Unternehmen alle gesetzlichen Vorgaben einhält. Mit einer Kombination aus technischer Vorsorge, organisatorischer Vorbereitung und juristischer Absicherung können Unternehmen nicht nur ihre Haftungsrisiken reduzieren, sondern sich auch effektiv gegen die Folgen von Cyberangriffen wappnen.
„Neben zivil- und öffentlich-rechtlichen Haftungsfragen können Cyberangriffe auch strafrechtliche Konsequenzen nach sich ziehen. Unternehmen sollten sich dessen bewusst sein, dass IT-Sicherheitslücken und mangelnde Schutzmaßnahmen – insbesondere bei KRITIS-Unternehmen – auch strafrechtlich verfolgt werden können. Eine rechtzeitige Beratung durch einen Fachanwalt für IT- oder Strafrecht ist in solchen Fällen ratsam.“
Fazit
Die Haftung bei Cyberangriffen ist ein vielschichtiges Thema, das Unternehmen auf mehreren Ebenen betrifft – rechtlich, finanziell und organisatorisch. Wer im Schadensfall haftet, hängt von den spezifischen Umständen ab: Von der Geschäftsführung, die ihre Pflichten vernachlässigt hat, über IT-Dienstleister bis hin zu Mitarbeitern können verschiedene Akteure zur Verantwortung gezogen werden. Das betroffene Unternehmen selbst trägt jedoch in der Regel die Hauptverantwortung, insbesondere wenn es seine Sorgfaltspflichten in Bezug auf Datenschutz und IT-Sicherheit verletzt hat. Die rechtlichen Konsequenzen reichen von zivilrechtlichen Schadenersatzforderungen und regulatorischen Bußgeldern bis hin zu möglichen strafrechtlichen Ermittlungen.
Um die Risiken zu minimieren, ist eine umfassende Vorsorge unerlässlich. Investitionen in IT-Sicherheitsmaßnahmen, regelmäßige Schulungen der Mitarbeiter, klar definierte Notfallpläne und der Abschluss einer Cyber-Versicherung gehören zu den wichtigsten Bausteinen einer effektiven Strategie. Gleichzeitig sollten Unternehmen ihre vertraglichen und organisatorischen Strukturen regelmäßig rechtlich überprüfen lassen, um mögliche Schwachstellen frühzeitig zu identifizieren.
Cyberangriffe lassen sich zwar nie vollständig ausschließen, doch mit einer proaktiven Herangehensweise können Unternehmen nicht nur ihre Haftungsrisiken reduzieren, sondern auch ihre Widerstandsfähigkeit stärken. In einer Welt, in der digitale Sicherheit immer mehr an Bedeutung gewinnt, ist ein fundierter Schutz vor Cyberangriffen keine Option, sondern eine Notwendigkeit – sowohl für den rechtlichen Schutz als auch für das Vertrauen von Kunden und Partnern.