Datendiebstahl und Schadenersatz - Symbolbild von Kris / TheDigitalWay via Pixabay

EuGH zu Datendiebstahl durch Hacker: kein Schadenersatz „einfach so“, ohne Schaden

Ist Datendiebstahl stets ein Schaden? Genügt der Diebstahl persönlicher Daten, damit Betroffene vom Betreiber einer gehackten Trading App Schadenersatz fordern können? Oder müssen sie dafür konkrete Schäden nachweisen, zum Beispiel Identitätsdiebstahl? Dazu hat sich vor kurzem der Europäische Gerichtshof geäußert. Das Urteil ist für alle Unternehmen wichtig, die Daten von Kunden oder Interessenten speichern, wie E-Commerce-Anbieter und Shop-Betreiber.

Gleichzeitig ist die Frage nach der Haftpflicht für Datenschutzverletzungen nur ein Aspekt des Cyber-Risikos. Bei Online-Angriffen drohen auch immense Eigenschäden durch Betriebsunterbrechung und Neuinstallation. Zum Glück können beide Schadensarten versichert werden: durch Haftpflicht- und Cyber-Versicherungen.

Diebstahl persönlicher Daten als immaterieller Schaden?

Die Artikel 82 der Datenschutz-Grundverordnung ist eindeutig: Wer für einen Datenschutzverstoß verantwortlich ist, muss den Betroffenen Schadenersatz leisten. Das gilt für materielle Schäden, etwa durch Einkäufe mit gestohlener Identität. Es betrifft außerdem immaterielle Schäden wie Verletzungen des Persönlichkeitsrechts durch Veröffentlichung von Privatinformationen. Zahlen müssen nicht nur die Cyber-Kriminellen, die ohnehin selten gefasst werden. Auch die Betreiber gehackter Plattformen haften für mangelnde Sicherheitsmaßnahmen.

Ein Streitpunkt war lange, ob bereits der Datendiebstahl selbst zu einem immateriellen Schaden führt, weil die Besitzer der Daten in Sorge vor möglichem Missbrauch leben müssen. Das machten zwei Nutzer der Trading-App von Scalable Capital geltend, nachdem Hacker sich 2020 bei dem Online-Broker Zugriff auf viele Tausend Datensätze verschafft hatten. Zwei der Betroffenen klagten vor dem Amtsgericht München. Das Amtsgericht hatte Fragen zu dem Fall, die es dem Europäischen Gerichtshof vorlegte.

Schadenersatz nach einem Online-Angriff: Der EuGH nimmt Stellung

Der EuGH entschied, dass der Schadenersatz keine Straffunktion hat. Ausmaß und möglicher Vorsatz bei Datenschutzversäumnissen spielen für die Schadenersatzhöhe keine Rolle. Zwar wiegt der immaterielle Schaden durch Datendiebstahl per se nicht weniger schwer als etwa eine Körperverletzung. Allerdings genügt laut EuGH bei einem geringfügigen Schaden bereits ein symbolischer Schadenersatz. Und ein Identitätsdiebstahl, der eine entsprechende größere Schädigung belegen würde, liegt erst vor, wenn die gestohlenen Personendaten tatsächlich missbraucht werden.

Das Urteil stärkt einerseits die Rechte der Opfer von Datendiebstahl: auch ihre immateriellen Schäden müssen ersetzt werden und können zu Schmerzensgeld berechtigen. Andererseits liefert es keine Grundlage, um schon beim reinen Abfluss personenbezogener Daten Schadenersatz zu fordern. Dafür muss eine materielle oder immaterielle Schädigung belegt werden (EuGH, 20.06.2024 – C-182/22 und C-189/22).

In einem anderen Verfahren hatte das Landgericht München I einem Kunden von Scalable aufgrund des Diebstahls seiner Daten 2.500 Euro Schmerzensgeld zugesprochen. Inzwischen ist dieser Fall beim Oberlandesgericht anhängig (OLG München – 36 U 138/22).

Datenschutz-Haftung nach einem Datendiebstahl ist nur ein Aspekt: Was ist mit den Eigenschäden?

Die EuGH-Urteil findet medial große Beachtung. Die Haftung für gestohlene Daten gilt zurecht als brisant. Trotzdem kämpfen Unternehmen, die Opfer von Hackern werden, regelmäßig mit einem weiteren, mindestens ebenso großen Problem: den Eigenschäden durch wochenlange Betriebsunterbrechung, Image-Verlust, nicht erfüllte Verträge und teurer Neuinstallation der betrieblichen IT.

Viele Unternehmen sind gegen Schadenersatzpflichten durch Haftpflichtversicherungen ausreichend geschützt – dem Risiko, dass der EuGH in Bezug auf DSGVO-Verstöße ein Stück weit begrenzt hat. Gleichzeitig haben zahlreiche Betriebe weiterhin keine Cyber-Versicherung – und damit keine Deckung für die Eigenschäden, die ihnen durch Online-Kriminelle jederzeit entstehen können.

Im Berlin Capital Club: Business-Talk-Frühstück mit dem Ethical Hacker Immanuel Bär

Im Berlin Capital Club findet am Dienstag, den 10. September 2024  von 09:00 bis 10:30 ein Business-Talk-Frühstück mit Immanuel Bär statt. Der Mitgründer der Prosec GmbH prüft durch Sicherheits-Scans und Penetration Testing, ob die IT-Systeme von Unternehmen möglichen Angreifern standhalten. Die Tests im Kundenauftrag sind realistisch, aber gefahrlos.

Gemeinsam mit Frank Schwandt, Berliner Fachmakler für Cyber-Versicherungsschutz, stellt Immanuel Bär beim Business-Talk-Frühstück seine Arbeit vor. Er wird zeigen, wie Cyber-Sicherheit in der Praxis möglich ist. Und er wird auf das persönliche Haftungsrisiko eingehen, das die EU-Richtlinie zur Cyber-Sicherheit (NIS2) für Geschäftsführer bedeutet: sie haften persönlich für eine angemessene IT-Sicherheit.

Die Anmeldung zum Business-Talk-Frühstück mit Immanuel Bär und acant-Geschäftsführer Frank Schwandt ist unter events@berlincapitalclub.de oder unter +49 30 2062976 möglich.

Der Europäische Gerichtshof sorgt für verschärfte Haftung bei DSGVO-Verstößen, zum Glück kann die Schadenersatzpflicht versichert werden. Fotograf: Laurent Verdier via Pixabay

EuGH verschärft Datenschutz-Haftung – zum Glück lassen sich Datenschutzverletzungen versichern

Die Rechtsprechung des EuGH der letzten Monate verschärft das Risiko, für Datenschutzverletzungen zu haften. Unternehmen können solche Schadenersatzforderungen versichern. Allerdings ist der Versicherungsmarkt schwierig. Als Fach-Versicherungsmakler sorgt die Berliner acant.service GmbH für optimalen Schutz vor ruinösen Schadenersatzklagen aufgrund von Datenschutzverletzungen.

Schadenersatz für Datenschutzverstöße: neue Rechtsprechung steigert das Risiko

Der Europäische Gerichtshof hat in den letzten Monaten mehrere Entscheidungen zur DSGVO und zum Datenschutzrecht getroffen. In der Summe steigern sie das Risiko von Unternehmen, für Datenschutzverletzungen haften zu müssen, beträchtlich.

So können bereits „gefühlsmäßige Beeinträchtigungen“ durch eine Datenschutzverletzung Schadenersatzansprüche begründen. Mehr noch: allein schon die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann Schadenersatz rechtfertigen.

Angesichts dieser Entwicklung wird die Möglichkeit, das Unternehmen durch eine Cyberversicherung auch gegen DSGVO-Verstöße zu versichern, immer wichtiger. Gleichzeitig wird der Versicherungsmarkt zunehmend schwierig. Der Berliner Makler acant.service GmbH hilft Unternehmen dabei, individuell passenden Versicherungsschutz zu gestalten.

Der EuGH und die Schadenersatzpflicht für DSGVO-Verstöße

Der Europäische Gerichtshof hat sich in den letzten Monaten in einer ganzen Reihe von Urteilen zur Haftung für Datenschutzverstöße geäußert. Einige der Entscheidungen sind bemerkenswert:

  • Zwar reicht ein DSGVO-Verstoß für sich genommen nicht, um Schadenersatz zu fordern. Dafür genügen jedoch bereits kleine und auch immaterielle Schäden, beispielsweise „vorübergehende gefühlsmäßige Beeinträchtigungen“ durch den Datenmissbrauch. Eine Bagatellgrenze gibt es nicht. Dieses Fazit aus EuGH, 04.05.2023 – C-300/21 ist besonders dann fatal, wenn Daten einer großen Zahl von Personen missbraucht oder gestohlen werden: diese können dann grundsätzlich alle eine jeweils kleine, in der Summe aber sehr umfangreiche Entschädigung fordern. In dem Fall klagte ein Mann, dem die österreichische Post ohne Einwilligung eine hohe Affinität zu einer bestimmten Partei zugeordnet hatte. Er machte „großes Ärgernis“, einen „Vertrauensverlust“ und ein „Gefühl der Bloßstellung“ als Schaden geltend und forderte 1.000 Euro.

  • Unbefugter Zugriff auf personenbezogene Daten bedeutet zwar nicht automatisch, dass die Datenschutzmaßnahmen unzureichend waren. Allerdings ist das Unternehmen in der Beweispflicht, bei dem sich das Datenleck ereignet hat. Es muss nachweisen, dass es „in keinerlei Hinsicht“ verantwortlich ist. Und wenn eine betroffene Person den Missbrauch ihrer Daten auch nur befürchtet, kann das einen immateriellen Schaden darstellen, der zu Schadenersatz berechtigt. So kann man EuGH, 14.12.2023 – C-340/21 zusammenfassen. Die Klage drehte sich um einen Cyberangriff auf die IT-Systeme der bulgarischen Steuerverwaltung.

  • Datenschutzrechtlich Verantwortliche, also etwa Unternehmen, haften zwar nur dann für Missbrauch der von ihnen gespeicherten personenbezogenen Daten, wenn ihnen ein Verschulden anzulasten ist. Die Höhe der Entschädigung ist jedoch nicht an den Grad des Verschuldens gekoppelt. Damit sind selbst bei geringem Verschulden hohe Entschädigungen möglich, wenn der Datenverlust oder -missbrauch bei den Betroffenen zu hohen Schäden führt. Das Urteil EuGH, 21.12.2023 – C-667/21 kam zustande, nachdem der Angestellte des Medizinischen Dienstes einer Krankenkasse gegen seinen Arbeitgeber klagte.
    Auf seiner Grundlage werden jedoch auch hohe Schadenersatzpflichten begründbar, falls kleine technische Versäumnisse, von einfallsreichen Hackern für großangelegten Datendiebstahl genutzt werden.

  • Um Schadenersatzforderungen zu begründen, müssen Hacker gestohlene Daten nicht zum Identitätsdiebstahl genutzt haben. Ein entsprechender, immaterieller Schaden kann bereits dann bestehen, wenn Daten gestohlen wurden, die die Betroffenen identifizierbar machen. Das ergibt sich aus dem Schlussantrag des Generalanwalts zu den Fällen EuGH – C-182/22 und EuGH – C-189/22, die sich auf eine Datensicherheitsverletzung bei dem Broker Scalable Capital beziehen. Der EuGH hat noch nicht entschieden, folgt aber häufig dem Schlussantrag der Generalanwaltschaft.

Cyberversicherungen und Rechtsschutzversicherungen schützen

Das Risiko datenschutzrechtlicher Haftung wird für Unternehmen kontinuierlich brisanter. Dafür sorgen einerseits immer neue und raffinierte Angriffsmethoden von Cyber-Kriminellen. Andererseits setzt der europäische Gerichtshof einen Rechtsprechungsrahmen, der Schadenersatzforderungen gegen Unternehmen aufgrund von DSGVO-Verstößen in vielen Fällen begünstigt.

Ein Teil der notwendigen Reaktion sind professionelle IT-Sicherheit und Datenschutzvorkehrungen. Doch das genügt nicht. Solche Vorkehrungen gewährleisten nie komplette Sicherheit. Umso wichtiger ist Versicherungsschutz als Ergänzung:

  • Die finanziellen Folgen von Datenschutzverletzungen sind im Standardumfang von Cyber-Versicherungen abgedeckt. Eine Versicherungspolice fängt in der Regel die DSGVO-Schadenersatzpflichten nach einem erfolgreichen Hackerangriff auf.
  • Eine Rechtsschutzversicherung verhindert, dass Rechtsstreitigkeiten nach einem Datenverlust das betroffene Unternehmen ruinieren.

Als Fachmakler hilft acant dabei, den richtigen Versicherungsschutz zu erhalten

Allerdings ist der Markt für Cyber-Versicherungen in den letzten Jahren deutlich schwieriger geworden. Grund sind die massiv gestiegenen Schadensfälle durch erfolgreiche Angriffe auf Unternehmen. Die Versicherer bestehen auf umfangreichen Auflagen und Prüfungen. Außerdem haben sich die Versicherungsbedingungen vieler Angebote klar verschlechtert. Es wird schwieriger, individuell passende Policen zu finden bzw. auszuhandeln.

Umso wichtiger ist die Unterstützung und Beratung durch einen Fachmakler für Cyberversicherungen. Die acant.service GmbH hat 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen blickt das Berliner Unternehmen auf mehr als zehnjährige Erfahrung zurück: es kennt den Markt genau, hat direkte Kontakte zu den einschlägigen Versicherern und weiß, wie man auch in einem herausforderungsvollen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen gewährleistet.
Interesse? Rufen Sie uns an (0176 10318791) oder schreiben Sie uns eine Nachricht!

IT-Dienstleister hat die Zugangsdaten: Datenschutzverstoss - Symbolbild: Photo Mix via Pixabay

Datenklau mit Zugangsdaten des IT-Dienstleisters: Schadenersatz

Wer hat eigentlich Zugangsdaten zu Ihren IT-Systemen?

Nicht gelöschte Zugangsdaten werden schnell zum teuren Risiko. Zur IT-Sicherheit im Unternehmen gehört es, Zugänge von Mitarbeitern und Dienstleistern regelmäßig zu überprüfen und bei Bedarf zu löschen.

Wenn ein Unternehmen die Zugangsdaten früherer Mitarbeiter und Dienstleister nicht deaktiviert und Unbefugte damit Daten stehlen, drohen Schadenersatzansprüche – und die können ohne Versicherung existenzbedrohend werden.

All das zeigt ein Fall, über den das Landgericht München I vor kurzem entschieden hat (LG München, 09.12.2021 – 31 O 16606/20). Das Urteil unterstreicht, warum Unternehmen unbedingt ihre Haftung für Datenschutzverstöße versichern sollten.

Haftung für Kundendaten, die über den Zugang eines Dienstleisters gestohlen wurden

Das Gericht sprach einem früheren Kunden des Finanzdienstleisters Scalable Capital 2.500 Euro Schadenersatz und einen zusätzlichen Anspruch auf Ersatz aller noch entstehenden Schäden zu.

Der Mann hatte bei dem Online-Broker ein Depotkonto eingerichtet und dazu viele personenbezogene Daten übermittelt. Diese fielen unbekannten Datendieben in die Hände: von der Post- und E-Mail-Adresse sowie der Handynummer über das Geburtsdatum und die Steuer-ID bis zu Wertpapierabrechnungen und der IBAN des Referenzkontos. Auch eine Ausweiskopie und das Porträtfoto fürs Post-Ident-Verfahren wurden entwendet.

Ausgangspunkt waren Zugangsdaten von CodeShip Inc., ein früherer Cloud- bzw. SaaS-Dienstleister von Scalable Capital („Software as a Service“, Cloud-Hosting von Anwendungen). Obwohl die Geschäftsbeziehung schon 2015 geendet hatte, funktionierte der CodeShip-Zugang zur IT von Scalable Jahre später noch immer. Mit diesen Zugangsdaten unternahmen Unbekannte drei großen Daten-Raubzüge: im April, im August und im Oktober 2020 wurden 389.000 Datensätze von insgesamt 33.200 Scalable-Kunden ausgelesen. Die Informationen wurden später für versuchten Kreditbetrug genutzt und im Darknet zum Verkauf angeboten.

Zugangsdaten beim Dienstleister, Haftung beim Auftraggeber

Scalable muss also zahlen, obwohl für den Hack bei CodeShip hinterlegte Zugangsdaten missbraucht wurden. Dabei befasste sich das Gericht gar nicht erst mit der möglichen Verantwortlichkeit von Scalable für Sicherheitsmängel beim früheren Dienstleister. Es sah entscheidende Versäumnisse bei dem Online-Broker selbst: Der hätte den Zugang des ehemaligen Geschäftspartners längst deaktivieren bzw. die Löschung des Zugangs überprüfen müssen.

Stattdessen verließ er sich fahrlässigerweise darauf, dass der frühere Geschäftspartner die Zugangsdaten schon löschen würde. In diesem Versäumnis sahen die Richter einen Datenschutzverstoß. Dieser führte zur Haftung des Finanzunternehmens. Es nützte ihm wenig, dass er nach dem Vorfall sofort Gegenmaßnahmen getroffen hatte und dem betroffenen Kunden noch kein konkreter materieller Schaden entstanden war.

Dem Unternehmen droht eine Klagewelle

Die 2.500 Euro plus Zinsen, die dem klagenden Kunden zugesprochen wurden, sollte man nicht unterschätzen. Von der Datenschutzverletzung waren wie erwähnt mehr als dreißigtausend Kunden betroffen. Sollte sich eine größere Anzahl von ihnen zur Klage entschließen, können schnell gewaltige Summen zusammenkommen.

Das Risiko von Datenschutzverletzungen lässt sich versichern!

  • Immer häufiger gestehen die Gerichte den Betroffenen einer Datenschutzverletzung Anspruch auf Schadenersatz zu.
  • Ein konkreter finanzieller Schaden muss dafür nicht vorliegen. Auch Nichtvermögensschäden begründen Entschädigungsansprüche, etwa Identitätsdiebstahl, Rufschädigung, gesellschaftliche Nachteile oder der Verlust der Vertraulichkeit (LG München I, 02.09.2021 – 23 O 10931/20).
  • Dazu kommen Bußgelder. Die sind bei Verstößen gegen die Datenschutzvorschriften oft von empfindlicher Höhe.

  • Der Verweis auf das hohe IT-Sicherheitsniveau nützte Scalable Capital vor Gericht gar nichts. Ja, die IT-Infrastruktur war gemäß ISO 27001 zertifiziert. Entscheidend war jedoch der nicht gelöschte Zugang. Das bestätigt wieder einmal: Selbst aktuelle Technik und Zertifizierungen garantieren keine IT-Sicherheit. Genau deshalb sind Versicherungen sinnvoll.

  • Die gute Nachricht: Die Haftung aus Datenschutzverstößen lässt sich versichern, solange sie nicht gerade vorsätzlich begangen werden. Auch für das Risiko der Unternehmensleitung, für solche Vorfälle persönlich zu haften, gibt es Versicherungsschutz. Das Gleiche gilt für Eigenschäden aus einer Cyber-Attacke.

acant hilft Ihnen beim Risikomanagement

Wir von acant sind Spezialversicherungsmakler für technische Unternehmensrisiken, Cyber-Bedrohungen und Manager-Haftung. Wir beraten Sie gerne dazu, wie sich das Risiko der Datenschutzhaftung in Ihrem Unternehmen betriebswirtschaftlich sinnvoll versichern lässt. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns!

D&O-Versicherung prüfen - Symbolfoto: analogicus via Pixabay

Corona-Krise und Insolvenz-Sonderregeln: Geschäftsführer-Haftpflicht jetzt versichern oder verlängern

D&O-Versicherung für Geschäftsführer: Schutz vor Schadenersatz aufgrund persönliche Haftung für Pflichtversäumnisse

D&O-Versicherungen schützen Organe von Kapitalgesellschaften vor persönlicher Haftung: Geschäftsführer, Vorstände, Aufsichtsratsmitglieder und andere Mitglieder der Unternehmensführung sowie Prokuristen leitende Angestellte. Abgeschlossen werden sie allerdings in der Regel von der Gesellschaft. Der Versicherungsfall tritt ein, wenn Schadenersatzansprüche gegen den Geschäftsführer geltend gemacht werden – z. B. von der Gesellschaft selbst, weil der Geschäftsführer ihr gegenüber für Pflichtverletzungen haftet.

Besonders für AG-Vorstände und GmbH-Geschäftsführer ist das Haftungsrisiko sehr groß: sie sollten in jedem Fall gegen Schadenersatzansprüche aufgrund von Pflichtverletzungen versichert sein. Die D&O-Police kann der letzte Anker sein, der den privaten Ruin verhindert. Das ist keine Übertreibung.

Die Gefahr, mit dem gesamten Privatvermögen zu haften, ist vielen Geschäftsführen nicht wirklich bewusst. Doch nicht nur grob fahrlässige oder vorsätzliche Führungsversäumnisse führen in die Haftung. Grundsätzlich genügt ein einfacher Fehler.

Insolvenzverschleppung beispielsweise ist strafbar und begründet  Schadenersatzansprüche gegen den Geschäftsführer, Das gilt auch dann, wenn dem Geschäftsführer die rechnerische Überschuldung des Unternehmens gar nicht bekannt war.
Die derzeitige Aussetzung der Insolvenzantragspflicht ändert wenig am Risiko, durch eine Insolvenz in Haftung zu geraten, im Gegenteil. Doch dazu gleich mehr. Vorher lohnt sich ein Blick auf die Lage auf dem Markt für D&O-Versicherungen.

Corona-Krise und Marktprobleme: D&O-Versicherungen werden teuer und schwieriger zu bekommen

Ein Versicherungsprodukt, das Schadenersatzforderungen gegen Geschäftsführer deckt, lohnt sich für die Versicherer vor allem dann, wenn es der Wirtschaft gut geh. Dann fallen weniger Haftungsfälle an als in der Krise.

Da ist es kein Wunder, dass es auf dem Markt für diese Management-Haftpflichtversicherungen zurzeit keine Schnäppchen mehr gibt. Im Gegenteil, die Gesellschaften fahren das Geschäft eher zurück. Das war lange anders, die Versicherer waren bei Prämien und Konditionen vergleichsweise großzügig. Nun wird gegengesteuert. Manche Versicherungen bieten gar keine D&O-Versicherungen mehr an. Zumindest steigen die Prämien, besonders bei größeren Unternehmen.

Trotzdem: Jetzt erst recht

Dennoch sollten Geschäftsführer und Vorstände gerade jetzt aktiv werden und dafür sorgen, dass ihre Gesellschaft ihnen Versicherungsschutz besorgt oder bestehende Policen verlängert. Schließlich ist aktuell das Risiko besonders groß, in einer Haftungssituation zu enden. Die wirtschaftlichen Aussichten bleiben mittelfristig unsicher. Daran ändern kurze konjunkturelle Zwischenhochs wenig.

  • Für Geschäftsführer, die bisher keine D&O-Deckung haben, lautet der Rat: Jetzt abschließen. Das Produkt wird teurer, das Angebot wird immer kleiner, Warten verschlechtert die Position als Versicherungsnehmer.

  • Für bereits versicherte Geschäftsführer und Vorstände gilt: Ja, die Prämie wird teurer, wenn die Verlängerung ansteht. Noch wichtiger ist allerdings der Versicherungsschutz selbst. Denn viele Versicherer nehmen Änderungen vor, Deckungsausschlüsse kommen dazu. Eine genaue Prüfung der Versicherungsbedingungen ist wichtig. Wo die Konditionen stimmen, sollte eine vorzeitige Verlängerung der Police angestrebt werden.

  • Wichtig ist auch das Vertragsverhältnis zwischen dem Geschäftsführer und der Gesellschaft. Ist die GmbH verpflichtet, für den Geschäftsführer eine D&O-Versicherung abzuschließen? Ist ein bestimmter Deckungsumfang vereinbart? Und ist auch die Haftung nach einem Ausscheiden als Organ festgelegt? Das ist wichtig, aufgrund des „Claims-made“-Prinzips – dazu gleich mehr.
In jedem Fall können wir von acant helfen. Einer der Schwerpunkte von uns ist das Vermitteln von Versicherungsschutz für die persönliche Haftung des Managements: Geschäftsführung, Vorstand und Aufsichtsorgane. Wir kennen den Markt sehr genau und wissen, wie die besten Optionen am Markt aussehen.

Die Sache mit der „Claims-made“-Deckung

Ein wichtiger Aspekt von D&O-Versicherungen: Die Regulierung basiert auf dem „Claims-made“-Prinzip. Das bedeutet: Entscheidend ist nicht der Versicherungsschutz zu dem Zeitpunkt, als die Pflichtverletzung begangen wurde, sondern zum Zeitpunkt der Geltendmachung.

Beispiel: Im August 2020 durchläuft die GmbH eine Krise, es wird jedoch keine Insolvenz angemeldet. Im März 2021 kommt es doch zum Insolvenzantrag. Im Mai 2021 fordert der Insolvenzverwalter vom früheren Geschäftsführer Schadenersatz für Zahlungen der GmbH von August bis März. Begründung: Der Insolvenzantrag hätte schon im August, spätestens September 2020 gestellt werden müssen.

Sollte er damit Recht bekommen, dann gelten für die Regulierung der Forderung die Versicherungskonditionen vom Mai 2021. Welche D&O-Versicherungsvertrag im August 2020 galt, ist nicht ausschlaggebend.

Und genau deshalb ist es wichtig, die Entwicklung der Versicherungsbedingungen der eigenen Managerhaftpflicht genau im Auge zu behalten. Außerdem ist es wichtig, die einschlägige Rechtsprechung zu kennen, etwa zur Möglichkeit des Insolvenzverwalters, bestehende D&O-Policen zu kündigen.   Wir können Ihnen sagen, wie weit Ihr Versicherungsschutz konkret reicht.

Verlängerte Aussetzung der Insolvenzantragspflicht: eher Zusatzrisiko als Freibrief für Geschäftsführer

Die Regierung hat auf die Corona-Krise schon im März mit der befristeten Aussetzung der Insolvenzantragspflicht für GmbH-Geschäftsführer reagiert. Das galt zunächst bis Ende September. Jetzt wurde beschlossen, diese Regelung bis Jahresende zu verlängern.

Allerdings ist das nicht der Freibrief in Sachen Insolvenzrisiko, als der er oft verkauft wird. Trotz Insolvenzreife auf den Insolvenzantrag verzichten, das geht auch derzeit nur unter zwei Bedingungen:

  1. Das Unternehmen ist aufgrund der Pandemie insolvenzreif geworden. Das wird widerlegbar vermutet, wenn es nicht schon zum 31.12. 2019 insolvenzreif war.
  2. Eine Sanierung des Unternehmens hat reale Aussicht auf Erfolg.

Besonders der zweite Punkt kann später zur Haftungsfalle werden. Denn der GmbH-Geschäftsführer muss möglicherweise später nachweisen, dass er im Jahr 2020 nicht leichtfertig vom Insolvenzantrag Abstand genommen hat. Dafür muss zum Beispiel einen soliden, ausgearbeiteten, umsetzbaren Sanierungsplan existieren. Kann der Geschäftsführer die Sanierungsperspektive trotz Insolvenzreife nicht mit konkreten Zahlen und Informationen belegen, droht ihm nachträglich doch noch eine Anklage wegen Insolvenzverschleppung.

Und das bedeutet: die Gefahr der persönlichen Haftung mit dem Privatvermögen wird sehr konkret. Und damit die Frage, ob Versicherungsschutz besteht.

Wie bekommen Sie ihr persönliches Risiko in den Griff? Gemeinsam finden wir die optimale Lösung

Als Spezialmakler für Geschäftsführerhaftung vermitteln und optimieren wir seit vielen Jahren Versicherungen für die Manager-Haftpflicht. Wir finden auch für Ihre konkrete Situation die optimale Versicherungslösung. Sprechen Sie uns an.

Geschäftsführerhaftung - Symbolbild Foto: Lena Lindell via Pixabay

GmbH-Geschäftsführerhaftung? Da gibt es doch was vom … Versicherungsmakler

Die Haftung der Gesellschaft ist beschränkt. Nicht die des GmbH-Geschäftsführers.

Sind Sie Geschäftsführer einer GmbH oder auch einer UG (haftungsbeschränkt)? Oder planen Sie die Gründung einer GmbH oder UG, bei der Sie auch selbst die Geschäftsführung übernehmen wollen?

Dann sollten Sie über die GmbH-Geschäftsführerhaftung Bescheid wissen, zumindest in Grundzügen. Und Sie sollten wissen, dass Sie das Risiko persönlicher Haftung durch eine D&O-Versicherung ein gutes Stück weit entschärfen können. (Im Regelfall zahlt die Gesellschaft die Versicherungsprämie.)

Fiktives, aber realistisches Beispiel: Trojaner ruiniert GmbH-Geschäftsführer

Wenn keine Manager-Haftpflichtversicherung vorhanden ist, kann die GmbH-Geschäftsführerhaftung das komplette private Vermögen aufzehren, bis zur Pfändungsgrenze. Und dazu kommt es schneller als gedacht.

Nehmen wir ein (fiktives, aber realistisches) Beispiel: Einer Ihrer Mitarbeiter infiziert mit einem einzigen unvorsichtigen Klick Ihr Firmennetzwerk mit Ransomware. Der Verschlüsselungstrojaner macht im Hintergrund sämtliche Dateien unlesbar. Dann erscheint eine Erpresserbotschaft: 10 Bitcoin für den Code, der die Daten wieder entschlüsselt.

Im Unternehmen geht aufgrund der Verschlüsselung nichts mehr. Sie suchen erst einmal jemand, der weiß, wie man Bitcoin erwirbt und an die Erpresser transferiert. Leider ist die fünfstellige Euro-Summe für den Eintausch der Kryptowährung umsonst, sie erhalten keinen Dateischlüssel. Damit liegen Buchhaltung, Vertrieb und alle anderen Abteilungen lahm, weil kein Zugriff auf Kundendaten, Bestellungen, Abrechnungsprogramme und dergleichen mehr besteht. Betriebsunterbrechung und Lieferverzögerungen sorgen für Auftragsstornierungen und Umsatzverluste. Kunden springen ab, der Ruf des Unternehmens ist schwer beschädigt.

Und dafür macht man Sie verantwortlich, als Geschäftsführer der GmbH. Sie haben sich auf Ihren IT-Administrator verlassen, dessen System zur Datensicherung war jedoch der Aufgabe nicht gewachsen. Die Gesellschafter fordern von Ihnen Schadenersatz für sämtliche Schäden, die der Trojaner angerichtet hat: eine siebenstellige Summe.

Bei jeder Sorgfaltspflichtverletzung droht Haftung

Auch wenn dieser Irrglaube kaum auszurotten ist: Die Haftung mit Ihrem gesamten persönlichen Vermögen droht Ihnen als GmbH-Geschäftsführer keineswegs nur bei Insolvenz der Gesellschaft oder klarem Fehlverhalten in der Geschäftsführung.

Auch durch sogenannte Sorgfaltspflichtverletzungen können Sie sich schadenersatzpflichtig machen, weil Sie Ihre Aufgaben nicht mit der „Sorgfalt eines ordentlichen Kaufmanns“ versehen haben. (Diese Formulierung stammt direkt aus § 43 GmbH-Gesetz.)

Ob im konkreten Fall eine Verletzung der Sorgfaltspflicht vorliegt, ist eine Ermessensfrage. Eine völlig risikofreie Geschäftsführung ist schließlich nicht möglich. Als Sorgfaltspflichtverletzung kann es beispielsweise gelten, wenn …

  • Sie ein offensichtliches Risiko nicht versichert haben, obwohl das möglich gewesen wäre (z. B. Überschwemmungsschäden auf einem Grundstück in Ufernähe, aber auch die Folgen eines Ransomware-Angriffs)
  • nach einem Arbeitsunfall mit hohem Personenschaden der Vorwurf mangelhafter Sicherheitsvorkehrungen erhoben wird
  • ein Rechtsmittel nicht eingelegt wurde, etwa eine Klage, die dem Unternehmen unter Umständen Geld eingebracht hätte.

Im Zweifel entscheidet am Ende ein Richter darüber, ob Sie die konkrete Entscheidung zum Wohle der GmbH und frei von Interessenkonflikten getroffen haben, sich dabei ausreichend informiert hatten und kein unangemessenes Risiko eingegangen sind – also die nötige Sorgfalt an den Tag gelegt haben. Von seinem Urteil kann Ihr persönliches, finanzielles Schicksal abhängen.

In der Praxis besonders gefährlich: Überschuldung, Zahlungsunfähigkeit, Insolvenz

Zu Schadenersatzansprüchen gegen GmbH-Geschäftsführer kommt es besonders häufig in Folge von Überschuldung, Zahlungsunfähigkeit und Insolvenz der Gesellschaft. Nur zwei der damit verbundenen Hauptrisiken für den Geschäftsführer:

  • Er haftet mit seinem Privatvermögen für jede Zahlung, die trotz Insolvenzreife angewiesen wurde und nicht mit der „Sorgfalt eines ordentlichen Geschäftsmanns“ vereinbar ist. (Leitender Gesichtspunkt dafür ist das Interesse der Gläubiger, nicht die Perspektive der Geschäftsführung.)
  • Der Geschäftsführer haftet außerdem, wenn die Gesellschaft zu einem bestimmten Termin rechnerisch überschuldet oder zahlungsunfähig ist und er nicht unverzüglich, spätestens jedoch innerhalb von drei Wochen, Insolvenzantrag stellt. Mit jedem Tag, den die GmbH sich ab dann weiterschleppt, Ausgaben hat und neue Verträge abschließt, wächst die Liste der potenziellen Schadenersatzforderungen. Deshalb folgt aus der Insolvenz der Gesellschaft schnell der private Ruin des Geschäftsführers.

Das ist längst noch nicht alles in Sachen GmbH-Geschäftsführerhaftung

Wohlgemerkt: Das sind längst nicht alle Haftungsrisiken, mit denen ein GmbH-Geschäftsführer konfrontiert ist. Die Liste könnte noch lange fortgesetzt werden, etwa um die Haftung für Fehler von Mitgeschäftsführern, die Haftung für die Forderungsausfälle von Lieferanten, die besonderen Haftungsrisiken für nicht abgeführte Steuern und Sozialversicherungsbeiträge, die Haftung für mangelhafte Compliance etc. etc.

Anders gesagt: Die Haftungsmaterie ist ein komplexes Thema im GmbH-Recht, zu dem es viele Regalmeter an Literatur gibt. Die praktischen Auswirkungen der Rechtslage sind jedoch alles andere als abstrakt.

Und dazu kommt noch ein Punkt: Viele dieser Haftungstatbestände stehen mit Straftatbeständen in Verbindung. Das bedeutet: Erst drohen ein Strafverfahren mit Strafprozess und Verurteilung – und in der Folge noch eine existenzvernichtende Schadenersatzforderung.

„So etwas passiert mit unserer GmbH ja nicht.“

Trotzdem erlebe ich es häufig, dass GmbH-Geschäftsführern das Bewusstsein für ihr persönliches Risiko fehlt. Natürlich kann man darauf setzen, dass schon nichts passieren wird. Aber das ist dann eben Vogel-Strauß-Politik. Denn zu einer Insolvenz oder zum Vorwurf einer Sorgfaltspflichtverletzung kommt es keineswegs nur bei unfähigen Geschäftsführern – das ist schlicht ein allgemeines Berufsrisiko.

Die GmbH-Geschäftsführerhaftung lässt sich versichern. Fragen Sie uns einfach!

Zum Glück kann man vorbauen: durch eine D&O-Versicherung, die Schadenersatzforderungen aus der GmbH-Geschäftsführerhaftung abdeckt. Weil die Haftungsfragen rechtlich so komplex sind, kommt es bei einer Geschäftsführer-Haftpflichtpolice sehr auf die Versicherungsbedingungen an.

acant ist auf D&O-Versicherungen spezialisiert. Haben Sie Fragen? Wir beraten Sie gern, und selbstverständlich kostenlos.