Cyberrisiken: Wer für die Schäden einstehen muss

Als sich Ian Murphy alias Captain Zap 1981 in das AT&T-Netzwerk einhackte und die Systemuhrzeit verstellte, führte dies „nur“ zu künstlich niedrigen Telefontarifen zu Spitzenzeiten. Der Vorfall wirft ein Schlaglicht auf die fast 40-jährige Geschichte der Cyberrisiken. Murphy wurde damals verurteilt und die Juristen hatten ein neues Thema, das sie bis heute nicht loslässt. Straf- aber auch zivilrechtlich ist einigermaßen geklärt, dass sich ein Täter durch Cyberangriffe strafbar oder ersatzpflichtig für den Schaden macht. Das Wissen darum, wer aufseiten des Geschädigten – etwa eines Unternehmens oder einer Behörde – ebenfalls zur Verantwortung gezogen werden kann, ist oft noch dürftig. Hinzu kommen Unsicherheiten durch offene Rechtsfragen.

Nach § 93 des Aktiengesetzes haben Vorstandsmitglieder „bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“. In Absatz 2 heißt es: „Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet.“ Die Vorschriften gelten auch für GmbH-Geschäftsführer und gesetzliche Vertreter anderer Unternehmensformen. Relevant gerade für den Bereich der Cybersecurity ist § 93 Absatz 2 Satz 1 des Aktiengesetzes: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“