Geschäftsführerhaftung - Symbolbild Foto: Lena Lindell via Pixabay

GmbH-Geschäftsführerhaftung? Da gibt es doch was vom … Versicherungsmakler

Die Haftung der Gesellschaft ist beschränkt. Nicht die des GmbH-Geschäftsführers.

Sind Sie Geschäftsführer einer GmbH oder auch einer UG (haftungsbeschränkt)? Oder planen Sie die Gründung einer GmbH oder UG, bei der Sie auch selbst die Geschäftsführung übernehmen wollen?

Dann sollten Sie über die GmbH-Geschäftsführerhaftung Bescheid wissen, zumindest in Grundzügen. Und Sie sollten wissen, dass Sie das Risiko persönlicher Haftung durch eine D&O-Versicherung ein gutes Stück weit entschärfen können. (Im Regelfall zahlt die Gesellschaft die Versicherungsprämie.)

Fiktives, aber realistisches Beispiel: Trojaner ruiniert GmbH-Geschäftsführer

Wenn keine Manager-Haftpflichtversicherung vorhanden ist, kann die GmbH-Geschäftsführerhaftung das komplette private Vermögen aufzehren, bis zur Pfändungsgrenze. Und dazu kommt es schneller als gedacht.

Nehmen wir ein (fiktives, aber realistisches) Beispiel: Einer Ihrer Mitarbeiter infiziert mit einem einzigen unvorsichtigen Klick Ihr Firmennetzwerk mit Ransomware. Der Verschlüsselungstrojaner macht im Hintergrund sämtliche Dateien unlesbar. Dann erscheint eine Erpresserbotschaft: 10 Bitcoin für den Code, der die Daten wieder entschlüsselt.

Im Unternehmen geht aufgrund der Verschlüsselung nichts mehr. Sie suchen erst einmal jemand, der weiß, wie man Bitcoin erwirbt und an die Erpresser transferiert. Leider ist die fünfstellige Euro-Summe für den Eintausch der Kryptowährung umsonst, sie erhalten keinen Dateischlüssel. Damit liegen Buchhaltung, Vertrieb und alle anderen Abteilungen lahm, weil kein Zugriff auf Kundendaten, Bestellungen, Abrechnungsprogramme und dergleichen mehr besteht. Betriebsunterbrechung und Lieferverzögerungen sorgen für Auftragsstornierungen und Umsatzverluste. Kunden springen ab, der Ruf des Unternehmens ist schwer beschädigt.

Und dafür macht man Sie verantwortlich, als Geschäftsführer der GmbH. Sie haben sich auf Ihren IT-Administrator verlassen, dessen System zur Datensicherung war jedoch der Aufgabe nicht gewachsen. Die Gesellschafter fordern von Ihnen Schadenersatz für sämtliche Schäden, die der Trojaner angerichtet hat: eine siebenstellige Summe.

Bei jeder Sorgfaltspflichtverletzung droht Haftung

Auch wenn dieser Irrglaube kaum auszurotten ist: Die Haftung mit Ihrem gesamten persönlichen Vermögen droht Ihnen als GmbH-Geschäftsführer keineswegs nur bei Insolvenz der Gesellschaft oder klarem Fehlverhalten in der Geschäftsführung.

Auch durch sogenannte Sorgfaltspflichtverletzungen können Sie sich schadenersatzpflichtig machen, weil Sie Ihre Aufgaben nicht mit der „Sorgfalt eines ordentlichen Kaufmanns“ versehen haben. (Diese Formulierung stammt direkt aus § 43 GmbH-Gesetz.)

Ob im konkreten Fall eine Verletzung der Sorgfaltspflicht vorliegt, ist eine Ermessensfrage. Eine völlig risikofreie Geschäftsführung ist schließlich nicht möglich. Als Sorgfaltspflichtverletzung kann es beispielsweise gelten, wenn …

  • Sie ein offensichtliches Risiko nicht versichert haben, obwohl das möglich gewesen wäre (z. B. Überschwemmungsschäden auf einem Grundstück in Ufernähe, aber auch die Folgen eines Ransomware-Angriffs)
  • nach einem Arbeitsunfall mit hohem Personenschaden der Vorwurf mangelhafter Sicherheitsvorkehrungen erhoben wird
  • ein Rechtsmittel nicht eingelegt wurde, etwa eine Klage, die dem Unternehmen unter Umständen Geld eingebracht hätte.

Im Zweifel entscheidet am Ende ein Richter darüber, ob Sie die konkrete Entscheidung zum Wohle der GmbH und frei von Interessenkonflikten getroffen haben, sich dabei ausreichend informiert hatten und kein unangemessenes Risiko eingegangen sind – also die nötige Sorgfalt an den Tag gelegt haben. Von seinem Urteil kann Ihr persönliches, finanzielles Schicksal abhängen.

In der Praxis besonders gefährlich: Überschuldung, Zahlungsunfähigkeit, Insolvenz

Zu Schadenersatzansprüchen gegen GmbH-Geschäftsführer kommt es besonders häufig in Folge von Überschuldung, Zahlungsunfähigkeit und Insolvenz der Gesellschaft. Nur zwei der damit verbundenen Hauptrisiken für den Geschäftsführer:

  • Er haftet mit seinem Privatvermögen für jede Zahlung, die trotz Insolvenzreife angewiesen wurde und nicht mit der „Sorgfalt eines ordentlichen Geschäftsmanns“ vereinbar ist. (Leitender Gesichtspunkt dafür ist das Interesse der Gläubiger, nicht die Perspektive der Geschäftsführung.)
  • Der Geschäftsführer haftet außerdem, wenn die Gesellschaft zu einem bestimmten Termin rechnerisch überschuldet oder zahlungsunfähig ist und er nicht unverzüglich, spätestens jedoch innerhalb von drei Wochen, Insolvenzantrag stellt. Mit jedem Tag, den die GmbH sich ab dann weiterschleppt, Ausgaben hat und neue Verträge abschließt, wächst die Liste der potenziellen Schadenersatzforderungen. Deshalb folgt aus der Insolvenz der Gesellschaft schnell der private Ruin des Geschäftsführers.

Das ist längst noch nicht alles in Sachen GmbH-Geschäftsführerhaftung

Wohlgemerkt: Das sind längst nicht alle Haftungsrisiken, mit denen ein GmbH-Geschäftsführer konfrontiert ist. Die Liste könnte noch lange fortgesetzt werden, etwa um die Haftung für Fehler von Mitgeschäftsführern, die Haftung für die Forderungsausfälle von Lieferanten, die besonderen Haftungsrisiken für nicht abgeführte Steuern und Sozialversicherungsbeiträge, die Haftung für mangelhafte Compliance etc. etc.

Anders gesagt: Die Haftungsmaterie ist ein komplexes Thema im GmbH-Recht, zu dem es viele Regalmeter an Literatur gibt. Die praktischen Auswirkungen der Rechtslage sind jedoch alles andere als abstrakt.

Und dazu kommt noch ein Punkt: Viele dieser Haftungstatbestände stehen mit Straftatbeständen in Verbindung. Das bedeutet: Erst drohen ein Strafverfahren mit Strafprozess und Verurteilung – und in der Folge noch eine existenzvernichtende Schadenersatzforderung.

„So etwas passiert mit unserer GmbH ja nicht.“

Trotzdem erlebe ich es häufig, dass GmbH-Geschäftsführern das Bewusstsein für ihr persönliches Risiko fehlt. Natürlich kann man darauf setzen, dass schon nichts passieren wird. Aber das ist dann eben Vogel-Strauß-Politik. Denn zu einer Insolvenz oder zum Vorwurf einer Sorgfaltspflichtverletzung kommt es keineswegs nur bei unfähigen Geschäftsführern – das ist schlicht ein allgemeines Berufsrisiko.

Die GmbH-Geschäftsführerhaftung lässt sich versichern. Fragen Sie uns einfach!

Zum Glück kann man vorbauen: durch eine D&O-Versicherung, die Schadenersatzforderungen aus der GmbH-Geschäftsführerhaftung abdeckt. Weil die Haftungsfragen rechtlich so komplex sind, kommt es bei einer Geschäftsführer-Haftpflichtpolice sehr auf die Versicherungsbedingungen an.

acant ist auf D&O-Versicherungen spezialisiert. Haben Sie Fragen? Wir beraten Sie gern, und selbstverständlich kostenlos.

D&O-Versicherung - Symbolblid von A. Krebs auf Pixabay

Als GmbH-Geschäftsführer sollten Sie Ihre D&O-Versicherung prüfen lassen – möglichst bald

Von wegen „mit beschränkter Haftung“ – Geschäftsführer haften mit ihrem gesamten Privatvermögen

Geschäftsführer einer GmbH oder einer anderen Kapitalgesellschaft haben eine riskante Position. Vielen Geschäftsleuten, die eine GmbH leiten, ist dies nicht klar. Dabei sind die Risiken ganz real: im Zweifel haften sie für Fehler mit dem gesamten privaten Vermögen. Besonders riskant sind finanzielle Schieflagen der GmbH.

So gesehen ist nicht viel dran an der „beschränkten Haftung“.

Das sollte man wissen, wenn man eine GmbH leitet

  • Geschäftsführer haften nicht nur bei Vorsatz oder bei grob fahrlässigen Fehlentscheidungen. Ihnen droht schon bei geringer Fahrlässigkeit die volle Haftung für die gesamten Schäden, der den Gesellschafter oder den Gläubigern der Gesellschaft entsteht.
  • Die Rechtsprechung zieht in Sachen Geschäftsführer-Haftung die Zügel immer weiter an. Gerade in den letzten Jahren haben einige Urteile das Haftungsrisiko weiter vergrößert.
  • Die Haftung kann in den persönlichen Ruin führen: Die Gesellschaft oder der Insolvenzverwalter können grundsätzlich Schadenersatzansprüche bis zur Pfändungsgrenze durchsetzen. Haus und Auto sind dann in der Regel weg. Und auch die Altersvorsorge ist akut gefährdet.
  • Die größten Haftungsrisiken drohen nicht von Lieferanten der Gesellschaft o. ä. Meistens sind es Gesellschafter, die auf Schadenersatz bestehen, und vor allem Insolvenzverwalter, die Ersatz für Zahlungen fordern, die „kurz vor Schluss“ vorgenommen wurden.

„Aber ich habe doch eine D&O-Versicherung?“

Angesichts des Risikos ist eine Manager-Haftpflichtversicherung für Geschäftsführer, eine sogenannte D&O-Versicherung, mehr als sinnvoll. Sie wird (in der Regel) vom Unternehmen abgeschlossen und bezahlt, versichert ist jedoch der Geschäftsführer. Oder vielmehr seine Inanspruchnahme, falls er für seine Entscheidungen haftet.

Allerdings muss man bei D&O-Versicherungen sehr genau hinschauen. Ob die Versicherung im Ernstfall ihre Funktion als Sicherheitsnetz erfüllt, hängt sehr davon ab, was wirklich versichert worden ist. Hier gibt es auch und gerade bei Manager-Haftpflichtversicherungen bedeutende Unterschiede.

Haftung für Zahlungen nach Insolvenzreife

Ein gutes Beispiel dafür lieferte ein Urteil des Oberlandesgerichts Düsseldorf vom letzten Jahr (OLG Düsseldorf, 20. Juli 2018 – 4 U 93/16). Dabei ging es um eines der Haupt-Haftungsrisiken für Geschäftsführer, das sich aus § 64 Satz 1 GmbH-Gesetz ergibt: „Die Geschäftsführer sind der Gesellschaft zum Ersatz von Zahlungen verpflichtet, die nach Eintritt der Zahlungsunfähigkeit der Gesellschaft oder nach Feststellung ihrer Überschuldung geleistet werden.“

Daraus folgt, ganz praktisch gesagt:

  • Wenn die Geschäftsführung der GmbH das Ausmaß der finanziellen Schieflage nicht erkennt, oder sie zwar erkennt, aber in der Hoffnung auf Rettungsmöglichkeiten nicht rechtzeitig Insolvenzantrag stellt, …
  • … dann wird der Insolvenzverwalter später von den Geschäftsführern Ersatz für alle Zahlungen fordern, die dann noch getätigt wurden. (Wenn er das nicht tut, haftet er nämlich selbst.)

Aus der genannten Entscheidung des OLG Düsseldorf folgt nun, dass solche Forderungen des Insolvenzverwalters an den früheren Geschäftsführer nur dann von dessen D&O-Versicherung bezahlt werden müssen, wenn die Haftung aus § 64 GmbHG auch explizit in den Versicherungsbedingungen erwähnt wird.

D&O-Versicherungsvertrag überprüfen lassen – und nur mit Beratung neu abschließen

Dieses Urteil hat handfeste Konsequenzen:

  • GmbH-Geschäftsführer sollten von uns prüfen lassen, ob die Deckung ihrer D&O-Versicherung die angesprochene Haftung umfasst. Ist dies nicht der Fall, muss die Police angepasst oder der Versicherer gewechselt werden.

  • Wer als Gründer für sein Start-Up die Rechtsform GmbH oder UG (haftungsbeschränkt) wählt, sollte unbedingt mögliche Forderungen aus der Geschäftsführer-Haftung versichern. Dabei muss man jedoch genau hinschauen: Haftung im Insolvenzfall – für Gründer ein besonderes Risiko – ist in vielen Start-Up-Policen ausgeschlossen. Auch hier sollten Sie mit uns sprechen.

Wir beraten Sie kostenlos, und als Spezialmakler für D&O-Versicherungen kennen wir den Markt sehr genau. Außerdem geht es uns nicht um den schnellen, einmaligen Abschluss. Wir möchten Ihre Versicherungen gern langfristig betreuen. Das setzt zufriedene Kunden voraus.
Rufen Sie uns an (0176 1031 8791) oder schreiben Sie uns eine Nachricht, wir melden uns umgehend zurück.

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990

Kommunale IT-Dienstleister, Cyber-Risiken und Haftungsrisiko

Technik ist immer nur ein Teil der Absicherung

Das Bewusstsein für Cyber-Gefahren wächst, auch und gerade in Verwaltungen und öffentlichen Einrichtungen. Neue Gesetze, Maßnahmen und Initiativen sollen Sicherheit schaffen. Das ist natürlich grundsätzlich positiv. Allerdings werden die IT-Dienstleister, die für Kommunen und ihre Verwaltungseinrichtungen und Versorgungsbetriebe tätig werden, dadurch vor neue Anforderungen gestellt. Parallel dazu steigt durch die juristische Entwicklung ihr Risiko, mit Haftungsansprüchen konfrontiert zu werden.

Deshalb sollten auch kommunale IT-Dienstleister ihr Interesse nicht nur auf Technologien und Strategien für Intrusion Detection, Disaster Recovery, Data Loss Prevention und ähnliches mehr legen. Technische und organisatorische Standards sind natürlich ein zentraler Teil der IT-Sicherheit. Eine wichtige Rolle können aber auch Versicherungen spielen, die vor den finanziellen Schäden und Haftungsansprüche nach einem Cyber-Angriff oder einer IT-Panne schützen, sowohl im eigenen Haus als auch beim Kunden.

Risikomanagement durch Versichern kommt in der IT-Sicherheitsdebatte oft sehr kurz. Dabei kann ein zusätzlicher Schutzring aus einer geeigneten Cyber-Police sowie aus Haftpflichtversicherungen für den IT-Betrieb und seine Geschäftsführung existenziell wichtig werden. Und zwar schon deshalb, weil eine Versicherung weder durch neue Angriffstechniken noch durch dumme Zufälle ausgehebelt werden kann – ein großer Unterschied zu jeder Technologie.

Das Risiko ist nicht mehr zu ignorieren

Auch bei Kommunal- und Stadtverwaltungen, städtischen Versorgern und anderen Verwaltungseinrichtungen entwickelt sich spätestens jetzt ein Bewusstsein dafür, wie gefährlich Cyber-Angriffe und IT-Havarien sind. Schließlich reagieren Bürger auf leichtsinnigen Umgang mit ihren Daten eben so allergisch wie auf den Ausfall öffentlicher Dienste.

Die Presse dagegen freut sich über solche Fälle: Dass die Berliner Bürgerämter durch eine neue Meldewesen-Software im Februar zunächst nicht entlastet, sondern erst recht lahmgelegt wurden, war wochenlang Medienthema: Selbst die ordnungsgemäße Durchführung der Wahlen sei bedroht, war zu lesen. Für die Politiker der Hauptstadt, das Berliner kommunale IT-Dienstleistungszentrum ITDZ oder den namentlich erwähnten Software-Hersteller keine angenehme Lektüre.

Ein anderes Beispiel liefert der Erpressungstrojaner Locky, der in Nordrhein-Westfalen auch in sechs Kliniken Dokumente und Verzeichnisse verschlüsselte und so den Klinikablauf massiv störte. Das war dann nicht nur Thema in den Abendnachrichten im Fernsehen, es rief auch das Landeskriminalamt auf den Plan, das in einer Pressemitteilung zu mehr Sicherheitsbewusstsein aufrief.

Dabei ist das Problem ja längst bekannt, und es tut sich auch etwas. Schon 2014 hat der Deutsche Städtetag einen Leitfaden zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen veröffentlicht, den die Arbeitsgemeinschaft kommunaler IT-Dienstleister (Vitako) erarbeitet hat. Die IT-Sicherheitsbeauftragten von Ländern und Kommunen arbeiten seit geraumer Zeit in einem eigenen Arbeitsforum bundesweit zusammen. Und in Hessen wurde vor kurzem ein Kommunales Dienstleistungszentrum Cybersicherheit initiiert, das die Kommunen beraten soll.

Dazu kommt das IT-Sicherheitsgesetz

Und natürlich ist da auch das neue IT-Sicherheitsgesetz. Die Kommunalverwaltungen selbst fallen zwar nicht unter die darin erfassten Betreiber kritischer Infrastrukturen, sie sind jedoch ausdrückliche Adressaten des KRITIS-Projekts. Und von den kommunalen Versorgungsbetrieben werden viele zum Kreis der KRITIS- Unternehmen zählen, die auf ein Informations-Sicherheits-Management-System (ISMS) nach Maßgabe von ISO 27001 verpflichtet werden.

Die genaue Abgrenzung der KRITIS-Unternehmen ist noch nicht vollständig,  die gerade beschlossene erste Kritis-Verordnung betrifft zunächst nur die Teilbereiche Energie, IT /TK, sowie Wasser und Ernährung. Nicht für die Betreiber entsprechender Anlagen liegt die Latte damit höher, auch für ihre Dienstleister und Auftragnehmer im IT-Sektor.

Für die IT-Dienstleister wächst das Haftungsrisiko – in mehrfacher Hinsicht

Von der Verwaltung beauftragte IT-Dienstleister der öffentlichen Hand stehen damit vor neuen Herausforderungen und neuen Haftungsrisiken. Das Gleiche gilt für öffentlich-rechtliche Kommunal- und Eigenbetriebe im IT-Bereich.

  • Zum einen steigt mit jedem neuen Cyber-Angriff die Gefahr, in Haftung genommen zu werden, und das um so mehr, je unverzichtbar die IT-Systeme sind, die der Anbieter liefert, installiert oder betreut. Wenn ein Hacker zuschlägt oder es zu einer Datenpanne kommt, kann daran auch ein bislang vertrauensvolles Verhältnis zum öffentlichen Kunden zerbrechen – um so mehr, wenn zum wirtschaftlichen  noch politischer Druck kommt.
    Aus einem echten oder vermeintlichen Programmierfehler oder einer mangelhaft implementierten Sicherheitsfunktion werden dann schnell Schadenersatzforderungen, die die Anwälte beschäftigt halten und dem Dienstleister große Kosten und viel Ärger einbringen können.
  • Neue verpflichtende Zertifizierungen und IT-Sicherheitslevel erhöhen das Haftungsrisiko für die Dienstleister auch schon per se. Wenn Kommunen und ihre Versorgungsbetriebe IT-Sicherheitsleitlinien erlassen, ISO 27001-Zertifizierungen oder IT-Grundschutzlevel fordern, ergeben sich für die Dienstleister, Systemhäuser sowie Software- und Hardware-Zulieferer ja nicht nur inhaltlich neue Anforderungen. Für sie entsteht auch ein zusätzliches Risiko, Pflichtverletzungen zu begehen, denn sie werden ja gesetzlich oder vertraglich auf das entsprechende Sicherheitsniveau verpflichtet.
  • Und dabei geht es nicht nur um die Haftung des Unternehmens oder Betriebs, sondern auch um eine persönliche Haftung der Verantwortlichen. Wenn ein Unternehmen von Gesetzes wegen, durch verbindliche Leitlinien für Informationssicherheit oder durch Verträge auf besondere Standards in der IT-Sicherheit festgelegt ist und diese nicht einhält, dann muss sich sehr schnell auch die Geschäftsführung verantworten.
    Eine solche Inanspruchnahme kann Existenzen vernichten: 2013 verurteilte das Landgericht München einen ehemaligen Siemens-Manager dazu, seinem früheren Arbeitgeber 15 Mio Euro Schadensersatz zu zahlen, weil er nicht für Compliance in den Geschäftsabläufen gesorgt hatte.

Gegenmittel: Unternehmen und Geschäftsführung gezielt versichern

  • Persönliche Haftung:Um die mögliche persönliche Haftung abzudecken, die schnell in existenzgefährdende Bereiche gehen kann, sollte der Vorstand oder die Geschäftsführung durch eine sogenannte D&O- Police (Managerhaftpflichtversicherung) und gegebenenfalls eine Managerrechtsschutzversicherung geschützt sein.
  • Unternehmensrisiken:Aber natürlich benötigt auch der Betrieb selbst Versicherungsschutz für den Fall einer Cyber-Attacke oder IT-Havarie – schließlich ist diese immer mit Kosten verbunden. Da diese Kosten nicht planbar und auch nicht aus Rückstellungen finanzierbar sind, bleibt nur, sie im Schadensfalls aus dem Budget, d. h. aus dem Cash Flow heraus zu bezahlen – oder aber man fängt das Risiko durch planbare Versicherungsbeiträge für eine Cyber-Versicherung auf, die zudem die Steuerlast senken. Aus betriebswirtschaftlicher Sicht und im Hinblick auf den Bilanzschutz ist das natürlich vorteilhafter.Dabei ist das Schadenspotenzial beträchtlich: Es umfasst Eigenschäden wie die Forensik zur Aufklärung des Vorfalls, die Kosten für die Wiederherstellung von Daten und Systemen, Maßnahmen zur Wiederherstellung der beschädigten Reputation und Anwaltskosten. Dazu kommen Schadenersatzforderungen und Haftungsansprüche, wenn Daten Dritter kompromittiert oder vertragliche Verpflichtungen nicht eingehalten werden.

Wenn die Versicherung nicht zur individuellen Situation passt, bietet sie keinen Schutz

Natürlich haben Betriebe im Regelfall bereits typische betriebliche Versicherungen abgeschlossen. Bestehende Sachversicherungen wie Feuer-, Elektronik- oder Maschinenversicherungen sowie die vorhandenen Betriebshaftpflichtversicherungen decken Schäden aus Cyber-Risiken jedoch nur unzureichend oder gar nicht ab. Haftpflichtpolicen beispielsweise greifen nicht, wenn der Schaden ohne eigenes Verschulden eintrat. Maschinen- und Elektronikversicherungen versichern im Regelfall keine Schadensersatzansprüche Dritter. Genau deshalb ist seit einigen Jahren das Produktspektrum der Cyber-Versicherungen entstanden, dass die Folgen digitaler Angriffe im Querschnitt abdeckt – eigene Schäden, Schadensersatzforderungen Dritter und eigene Rechtskosten.
Allerdings ist der Absicherungsbedarf immer sehr individuell. Einer der Gründe dafür, dass Unternehmen wie Kommunen sich für die Cyber-Versicherung nur allmählich erwärmen, liegt sicher im Misstrauen gegenüber Standard-Lösungen begründet. Wer gut beraten wird, muss sich darum allerdings nicht sorgen – schließlich gehört es zur Verantwortung eines Fach-Versicherungsmaklers, die Bausteine einer Police genau zum Risikoprofil des Kunden passend zu kombinieren und kritische Punkte mit den Versicherern individuell nachzuverhandeln. Dabei sollte der Makler auch dafür sorgen, dass bereits durch vorhandene Versicherungen abgedeckte Teilrisiken nicht ein zweites Mal versichert werden.

Was eine gute Cyber-Versicherung leisten sollte: Deckungen und Leistungen im Überblick

So lassen sich aus einem ganzen Spektrum einzelner Bausteine Risiken gezielt abdecken. Eine gute Police umfasst etwa folgende Punkte, soweit diese für den Versicherungsnehmer relevant sind:

Kriminalitätsrisiken, etwa

  • Angriffe durch Viren, Würmer oder Hacker
  • unautorisierter Zugriff durch Mitarbeitern auf das Finanz- und Sachvermögensschäden
  • Erpressungen und Lösegeldforderungen
  • „Kapern“ von EDV-Systemen zur Durchführung krimineller Handlungen

Schädigungen Dritter, z. B.

  • Diebstahl und Manipulation von Daten Dritter
  • Diebstahl von Know-how Dritter
  • Schadenersatzansprüche Dritter wegen Urheberrechtsverletzungen

Vermögensschäden, etwa durch

  • Betriebsunterbrechung durch Hardware-Schäden oder DoS-Attacken
  • Nichtverfügbarkeit des Cloud-Service bzw. des fremden Server-Dienstleisters
  • Mehrkosten durch veränderte Betriebsabläufe
  • Wiederherstellung des Unternehmensimage
  • Ermittlungen durch Datenschutzbehörden

Folgende Kosten sollte eine Cyber-Versicherung abdecken, soweit das Risiko in Ihrem Fall relevant ist:

  • Kosten für forensische Untersuchungen
  • Benachrichtigungen aller Betroffenen bei Datenschutzverletzungen (gesetzlich vorgeschrieben)
  • Öffentlichkeitsarbeit, Maßnahmen zur Wiederherstellung der Reputation
  • Kosten bei Erpressung
  • Beauftragung einer Sicherheitsfirma
  • Erstattung von Lösegeldzahlungen
  • Vermögensschaden-Haftpflicht aufgrund von Datenrechtsverletzung (z. B. Markteinbußen des Kunden)
  • Inanspruchnahme durch einen Dritten
  • Verletzung der Persönlichkeitsrechte Dritter durch Online-Inhalte
  • Ersatz und Wiederherstellung von Daten
  • Absicherung des Ertragsausfalls

Fazit

Die stark steigende Zahl von Cyber-Angriffen übt auch auf kommunale IT-Dienstleister Druck aus. Die Anbieter müssen sich nicht nur mit dem wachsenden Bedrohungsrisiko auseinandersetzen, sondern auch mit einem zunehmend stärker reglementierten Umfeld. In dieser Situation kann Versicherungsschutz ein wichtiger Teil des Risikomanagements sein. Allerdings bringen Versicherungen nur dann ein Plus an Sicherheit, wenn sie sich wirklich an der individuellen Situation des Betriebs ausrichten.

Falls Sie Fragen haben:

Haben Sie Interesse an Cyber-Versicherungen oder konkrete Nachfragen? Wir von der acant.service GmbH sind Spezialmakler für Cyber-Policen und D&O-Versicherungen. Sprechen Sie uns einfach an – wir stehen zu Ihrer Verfügung. Telefon: 030 863 926 990

Von Winterkorn lernen heißt: sich eine D&O-Versicherung zulegen

Über die Abgastest-Tricksereien bei VW haben Sie bestimmt schon jede Menge gelesen. Ich will nicht noch mal alles wiederkäuen. Nur ein paar Anmerkungen aus meiner Warte:

  • Software kann einen ins Verderben reiten – bzw. in die persönliche Haftung. Auch wenn es hier ausnahmsweise daran lag, dass sie funktioniert hat.
  • VW hat, so hört man, die persönliche Haftpflicht der Vorstände mit 500 Millionen Euro abgesichert. Die Zurich-Gruppe, die das Risiko versichert hat, soll schon Rückstellungen bilden.
  • Die 500 Millionen Euro Deckungssumme werden aber nicht reichen. Schließlich drohen viele Milliarden an Schäden – für die die Manager persönlich haftbar gemacht werden dürften.
  • Wenn Winterkorn und seinen Kollegen nachgewiesen werden kann, dass sie selbst hinter den Tricksereien stecken, werden die D&O-Versicherungen nicht zahlen. Das tun sie bei Vorsatz nie. Dann kann der Konzern bei den Vorständen pfänden, was zu holen ist, und bleibt auf dem Rest der Summe sitzen.
  • Bei strafrechtlichen Ermittlungen  oder Anklageerhebung hilft nur eine persönliche Rechtsschutzversicherung, die auch Strafrechtsschutz umfasst. Sie verhindert natürlich keine Verurteilung – aber sie zahlt neben dem Anwalt auch für Gutachter und Sachverständige. Wenn es allerdings zu einer Verurteilung wegen einer vorsätzlichen Straftat kommt, ist der Versicherungsschutz rückwirkend hinfällig.
  • In solchen Fällen gehen dann auch Topmanager in die Privatinsolvenz, so wie Ex-Arcandor-Chef Middelhoff.
  • Wenn die Vorstände tatsächlich nichts von der defeat device gewusst haben sollten, hilft Ihnen das erst mal gar nichts. Es liegt in ihrer Verantwortung als Vorstände, die betrieblichen Prozesse so zu organisieren, dass Pflichtverletzungen unterbleiben,  zumindest aber bekannt und abgestellt werden.
  • Vorstände können sogar für Compliance-Verstöße haftbar gemacht werden, die in einem ganz anderen Geschäftsbereich passiert sind. Das hat auch einem Siemens-Manager das Genick gebrochen: 15 Millionen Euro plus Zinsen.
  • Man muss kein VW-Vorstand sein, um ein solches Haftungsrisiko zu haben. Das ist beim Geschäftsführer eines mittelständischen Unternehmens nicht anders. Gut, dann erreichen die Schäden vielleicht keine zehnstelligen Summen. Aber auch für einige Millionen persönlich geradestehen zu müssen ändert die Lebensperspektive sehr entscheidend.
  • Die D&O-Versicherung zahlt das Unternehmen.
  • Eine Telefonnummer für alle, die noch keine haben: 030 863 926 990. Glauben Sie mir – wenn Sie ein Unternehmen verantwortlich leiten, brauchen Sie eine solche Versicherung. Und wir sind Spezialisten dafür.

D&O-Versicherungen und ihre typischen Versicherungslücken

Wenn ein Kunde neu zu uns kommt, prüfe ich als Erstes die vorhandenen Versicherungsverträge auf Versicherungslücken – und zwar die Versicherungen für das Unternehmen selbst ebenso wie die Haftpflichtpolicen für die Entscheidungsträger. Dabei treffe ich immer wieder auf die gleichen Deckungslücken.

D&O-Versicherungen sind für Verantwortungsträger im Unternehmen ein Muss

D&O-Versicherungen sind personenbezogene Haftpflichtpolicen für Geschäftsführer, Vorstände, Abteilungsleiter etc – und unverzichtbar. Ohne diesen Schutz können ein zu spät gestellter Antrag auf Insolvenz, Versäumnisse beim Datenschutz, ein nicht angemeldetes Patent oder andere geschäftliche Entscheidungen bis in die Privatinsolvenz führen. Seit dem „Siemens/Neubürger“-Urteil muss es noch nicht einmal mehr eine echte, eigene Entscheidung sein, die mittelbare Verantwortung für Versäumnisse im Unternehmen reicht  (und zwar im konkreten Fall für Forderungen  in Höhe von 15 Mio. € plus Zinsen gegen den ehemaligen Vorstand, LG München, 10.12.2013 – 5 HK O 1387/10, jetzt in Berufung vor dem OLG München, Az. 7 U 113/14).

Immer wieder die gleichen Fehler

Deshalb schaue ich mir die D&O-Versicherungen neuer Kunden immer sehr genau an. Leider finden sich bei der persönlichen Absicherung von Verantwortungsträgern regelmäßig die folgenden Versicherungslücken:

  • Nach dem Ausscheiden besteht kein oder kein zuverlässiger Schutz mehr: Auch Forderungen an einen ehemaligen Vorstand oder die frühere Geschäftsführerin sind juristisch problemlos möglich. Oft sieht der D&O-Vertrag aber keine Rückwärtsdeckung oder Nachhaftung vor, und per „Claims-made“-Prinzip wird der Haftungszeitraum eingeschränkt. Dann ist der ehemalige Geschäftsführer schutzlos.
  • Nur privatrechtliche Ansprüche sind versichert, öffentlich-rechtliche nicht: Oft umfasst die Haftpflichtversicherung nicht die persönliche Haftung für Steuerschulden des Unternehmens oder Außenstände bei den Sozialversicherungen – dabei sind das oft absolut existenzbedrohende Summen.
  • Ansprüche des Unternehmens selbst gegen den Geschäftsführer, Vorstand oder Aufsichtsrat sind nicht mitversichert. Diese Deckung ist bei Versicherungsgesellschaften unbeliebt, weil sie Angst vor Unregelmäßigkeiten haben. Aber diese Art der Forderung ist in der Praxis eines der größten Risiken für die „Organe“ einer Kapitalgesellschaft.

Solche Lücken lassen sich beheben. Aber dazu muss man sie zunächst einmal aufspüren!

Wie bei allen Versicherungen gilt auch für eine D&O-Police: Schutz bietet Ihnen nicht die Überschrift über dem Vertrag und auch nicht das Geld, das Sie jedes Jahr überweisen. Schutz bieten nur die genauen Details im VertragHat Ihr persönlicher Haftungsschutzschirm ebenfalls Löcher? Ich kann es Ihnen sagen.

Cyber-Angriff + Kündigungsschutz = Risiko persönlicher Haftung

„Eine Betriebsunterbrechungsversicherung sorgt dafür, dass im Schadensfall – z. B. Betriebsausfall durch Brand – die fixen Kosten übernommen werden. Dazu gehören auch Löhne und Gehälter.

Und weil es solche Versicherungen gibt, wird es schwierig bis unmöglich, Mitarbeiter betriebsbedingt zu kündigen, nur weil  die Firma gerade abgebrannt ist. Begründung der Arbeitsrichter: „Sie, Herr Geschäftsführer, hätten ja versichern können.” Hat der Manager die Versicherung versäumt, droht ihm die persönliche Haftung für die Lohnkosten der Mitarbeiter, die jetzt unproduktiv herumsitzen.

Genau das gleiche Risiko zeichnet sich auch bei Cyber-Angriffen ab. Datenbank platt, Produktion lahmgelegt, enorme Ausfälle – aber Kündigungen gehen trotzdem nicht durch. Statt dessen muss die Geschäftsführung sich mit Fragen zur persönlichen Haftung herumschlagen – wenn es keine Cyber-Risk-Versicherung gab.

Cyber-Risiken sind eben nicht (nur) das Problem der IT-Abteilung. Eine Cyber-Versicherung auch für die Geschäftsführung wichtig.  Und eine D&O-Police zur Absicherung der persönlichen Haftpflicht ebenfalls.

Sachbeschädigung: Wenn der Manager auf die Konkurrenz losgeht …

In Berlin soll ein LG-Manager in einem „Saturn“-Markt vier Waschmaschinen von Samsung beschädigt haben, was für entsprechendes Medienecho sorgte. Die Polizei ermittelt wegen Sachbeschädigung, LG verteidigt sich mit dem Hinweis, der Mitarbeiter habe die Geräte nur auf wackelnde Türen überprüfen wollen – das jedenfalls berichtete Heise vor einer Weile.

Als Versicherungsmakler frage ich mich bei solchen Geschichten natürlich immer: Zahlt da wohl eine Versicherung? Eines kann man klar sagen: Bei vorsätzlicher Sachbeschädigung zahlt die Versicherung den Schaden nicht. Sie leistet höchstens Rechtsschutz bei Einleitung eines Strafverfahrens.

Wenn der Manager aber im Zuge seiner Tätigkeit für den Arbeitgeber (also LG) die Geräte versehentlich beschädigt haben sollte, dann müsste wohl die Betriebshaftpflicht  für den Schaden einstehen. Falls LG, was theoretisch möglich ist, dafür dann seinen Manager wiederum persönlich in Anspruch nimmt, könnte wiederum dessen D&O-Versicherung eintreten, falls er eine besitzt.

Eine „Directors and Officers“-Police ist quasi eine Berufshaftpflichtversicherung speziell für Geschäftsführer, Vorstände und Aufsichtsräte – und angesichts der gesetzlichen Haftungsrisiken dieser „Organe“ unbedingt empfehlenswert. Selbst wenn man nicht gewohnheitsmäßig an den Türen der Konkurrenz rüttelt.

Nachtrag, 28. 12. 2014: Die Sache hatte jetzt in Südkorea ein juristisches Nachspiel. Wie unter anderem N-TV berichtet, wurden in Südkorea deshalb die Konzernzentrale von LG und eine Haushaltsgerätefabrik von der Polizei durchsucht. Samsung habe mehrere LG-Manager wegen „Verleumdung, Sachbeschädigung und Geschäftsbehinderung“ verklagt.
Da macht sich eine „Directors and Officers“-Police vermutlich inzwischen wirklich bezahlt. Gut, wenn man sie hat.