Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

GF-Haftung nach §43 GmbHG und NIS-2: Warum 'Cyber ist IT-Sache' 2026 zur Privatinsolvenz führen kann

SecTepe Redaktion
|
|
7 Min. Lesezeit

Cyber-Sicherheit war bis 2024 für viele Geschäftsführer eine Sache, die „die IT" oder „die Versicherung" macht. 2026 ist diese Sicht erledigt – und zwar nicht durch Soft-Law, sondern durch knallharte Haftungsrechtsprechung.

Drei Rechtsgrundlagen, die ineinander greifen

  • §43 GmbHG (Sorgfalt eines ordentlichen Geschäftsmannes): persönliche Haftung mit Privatvermögen für Schäden, die durch Pflichtverletzung entstehen. Cyber-Vorfall ohne dokumentierte Sicherheitsmaßnahmen = Pflichtverletzung.
  • §93 AktG (Sorgfaltspflicht des Vorstands): analog für AGs, plus Beweislastumkehr – der Vorstand muss beweisen, dass er sorgfältig war.
  • NIS-2 Art. 20: Geschäftsleiter sind explizit verantwortlich für die Genehmigung und Überwachung der Cyber-Risiko-Maßnahmen. Persönliche Sanktionen bei Verstoß.

Die Kombination ist neu: NIS-2 macht die Geschäftsleiter-Pflicht explizit, §43/§93 macht sie persönlich. „Hab ich nicht gewusst" funktioniert nicht mehr.

Was ein Gericht 2026 als Pflichterfüllung anerkennt

  1. Risiko-Inventar mit GF-Unterschrift: jährlich aktualisiert, mit Treatment-Entscheidungen pro Top-10-Risiko.
  2. ISMS nach anerkanntem Standard: ISO 27001 oder BSI IT-Grundschutz. „Eigene Methode" reicht nur, wenn dokumentiert besser.
  3. Incident Response Plan">Incident-Response-Plan, getestet: jährliche Tabletop-Übung mit Geschäftsleitung. Protokoll im Audit-Trail.
  4. Awareness-Programm mit Nachweis: Phishing-Simulation, Schulungsquoten, Wirksamkeitsmessung.
  5. Lieferanten-Risiko-Bewertung (TPRM): NIS-2 Art. 21(2)(d) macht Lieferketten-Sicherheit explizit zur Pflicht.
  6. Audit-Trail aller relevanten Entscheidungen: wer hat wann mit welcher Begründung welches Risiko akzeptiert.

Fehlt einer dieser Punkte und passiert ein Vorfall, gerät die GF in Beweisnot. Die D&O-Versicherung deckt persönliche Haftung nicht, wenn vorsätzliche Pflichtverletzung im Raum steht – und „kein ISMS trotz NIS-2-Pflicht" wird genau so ausgelegt.

Der Kosten-Vergleich, der Geschäftsführer wachrüttelt

Ein realistisches Szenario: Mittelständler 200 Mitarbeiter, Ransomware-Vorfall mit 5 Tagen Stillstand und 80.000 € Lösegeld-Verhandlung. Direktschaden: ~1,2 Mio. €. Gesellschafter klagt gegen die GF auf Erstattung wegen unzureichender Cyber-Maßnahmen. Ohne dokumentiertes ISMS: Aussichten der Klage gut.

Im Vergleich: ISMS mit GRC-Plattform (z. B. SecTepe.Core), self-hosted Mail-Security mit CTI/Sandbox (SecTepe.Comm) – Investition über 3 Jahre: ~150–250 k€. Risiko-Reduktion deutlich, Haftungsschutz dokumentiert.

Was die GF konkret tun sollte – diesen Monat noch

  • Status-Audit: gibt es ein dokumentiertes ISMS? Wurde es zuletzt extern geprüft? Wann?
  • Risiko-Top-10 anfordern: vom CISO/IT-Leiter, mit Treatment-Status. Wenn die Antwort „die haben wir mündlich" lautet, ist das ein Befund.
  • Incident-Response-Test planen: Tabletop-Übung mit externer Moderation. Protokoll archivieren.
  • NIS-2-Betroffenheit final klären: betrifft uns das? Welche Branche, welche Größenklasse, welche Verantwortlichkeiten?
  • D&O-Police lesen: was ist bei Cyber wirklich gedeckt? Welche Ausschlussklauseln?

Compliance-Mapping

  • NIS-2 Art. 20: Geschäftsleiter-Pflicht zur Genehmigung und Überwachung von Cyber-Risiko-Maßnahmen.
  • NIS-2 Art. 21: Mindest-Sicherheitsmaßnahmen-Katalog (10 Bereiche).
  • §43 GmbHG / §93 AktG: persönliche Haftung mit Beweislastumkehr.
  • BSI BSI-Standard 200-1/-2/-3: anerkannte ISMS-Methodik in Deutschland.
  • D&O-Standard-Klauseln: prüfen, ob „grobe Fahrlässigkeit Cyber" ausgeschlossen ist.

Fazit

„Cyber ist IT-Sache" war 2018 eine schlechte, 2024 eine riskante und 2026 eine potenziell privatinsolvenz-relevante Aussage. Geschäftsführer, die in den nächsten 12 Monaten kein ISMS-Foundation-Projekt aufsetzen, akzeptieren ein Haftungsrisiko, das ihre persönliche Vermögensplanung massiv treffen kann. Die gute Nachricht: das ISMS ist machbar, kalkulierbar und – mit der richtigen Plattform – nicht das 18-Monate-Excel-Projekt aus den 2010er-Jahren.

Alle Artikel ansehen Mehr aus dieser Kategorie